ISMS-P 항목 살펴보기 | I. 관리체계 수립 및 운영 - 1.1 관리체계 기반 마련

ISMS-P 시험 일정이 다시 발표되었다. 

11월 14일에 심사원 자격시험이 있다. 

1달가량 ISMS-P 인증 가이드의 주요 사항을 달달 암기하기로 했다.

암기하여야 하는 사항을 블로그에 정리하겠다. 

---

 

 I. 관리체계 수립 및 운영 - 1.1 관리체계 기반 마련

 

1.1.1 경영진의 참여

<주요 확인사항>

1. 보고 및 의사결정 등 경영진의 책임과 역할 문서화(활동 근거)
2. 보고, 검토, 승인 절차 수립/이행

<결함 사례>

1. 정책서에 경영진에게 정기 보고하도록 규정한 정보보호 활동에 대해 장기간 보고하지 않음
2. 중요 정보보호 활동*을 수행하면서 활동 관련 보고, 승인 등 의사결정에 경영진이 참여하지 않았거나 관련 증적이 확인 되지 않은 경우

* 경영진에게 보고해야 할 주요 정보보호 활동 : 위험평가, 위험수용 수준(DOA) 결정, 정보보호 대책 이행계획, 정보보호 대책 이행결과, 보안감사 결과

 

1.1.2 최고책임자 지정

<주요 확인사항>

1. 개인정보 및 정보보호 최고책임자는 인사발령 등을 통해서 공식적으로 지정
2. 개인정보 및 정보보호 최고 책임자는 자원(예산, 인력) 할당 권한이 있는 임원급으로 지정하고 법적 자격요건에 해당되는 사람을 지정해야 한다. 

<정보보호 최고책임자 법적 요건 : 정보통신망법 제45조의 3 관련>

1. 최고책임자 신고 의무 대상이 된 후 90일 이내에 과학기술부 장관에게 신고
2. 최고책임자를 지정하지 않아도 되는 자 : 
   - 부가통신사업자
   - 소상공인
   - 전기통신사업자 또는 정보통신사업자(IDC제외) 중 전년도 말 직전 3개월 일일 평균 100만 명 미만 또는 매출액 100억 원 미만
3. 최고책임자 자격(다음 중 어느 하나에 해당)
   - 정보보호 또는 IT 관련 석사학위 이상
   - 정보보호 또는 IT 관련 학사학위 이상, 관련 경력 3년 이상
   - 정보보호 또는 IT 관련 전문학사학위 이상, 관련 경력 5년 이상
   - 정보보호 또는 IT 관련 경력 10년 이상 
   - ISMS 심사원 자격 보유자 
   - 해당 기관 소속 정보보호 관련 부서의 장 1년 이상
4. 최고책임자 겸직 금지 기관 
   - 전년도 말 자산총액 5조 이상
   - ISMS 인증 의무대상이면서 자산총액 5천억 이상 
5. "4. 최고책임자 겸직 금지 기관"은 "3. 최고책임자 자격"에 다음 중 하나의 자격 추가 필요
   - 정보보호 관련 경력 4년 이상
   - IT 및 정보보호 관련 경력 5년 이상(그중 정보보호 관령 경력 2년 이상)

<결함 사례>

1. 정보보호 최고책임자 신고의무대상기관에 해당하면서 신고하지 않은 경우
2. 민간기업 개인정보 처리자인데, 임원이 있는데도 불구하고 부서장을 개인정보보호책임자로 지정한 경우
3. 조직도에는 정보보호책임자가 표시되어 있으나, 인사발령 등 공식 지정 절차를 거치지 않은 경우

 

1.1.3 조직 구성

<주요 확인사항>

1. 실무조직(책임자의 업무 지원, 정보보호 및 개인정보보호(이하 보안) 활동을 체계적으로 운영)을 구성/운영
2. 위원회(주요 보안 관련 사항 검토, 승인, 의사결정) 구성/운영
3. 실무협의체(전사적 보안 활동을 위하여 관련 담당자 및 부서별 담당자로 구성) 구성/운영

* 위원회 검토 및 의사결정 필요 사항 

• 정책 지침 제/개정
• 위험평가 결과
• 보안 예산 및 자원 할당
• 내부 보안사고 및 주요 위반사항 조치
• 내부감사 결과

<결함 사례>

1. 위원회를 구성하였으나 임원 없이 부서의 장으로만 구성하여 실제 의사결정이 불가능한 경우
2. 실무 협의체를 구성하였으나 장기간 활동 내역이 없는 경우
3. 위원회를 구성하였으나 연간 계획, 교육 계획, 예산, 인력 등 주요 사항이 검토 및 의사결정되지 않은 경우

 

 

1.1.4 범위 설정

<주요 확인 사항>

1. 핵심자산을 포함하여 범위 설정
2. 범위 설정 예외 발생 시 명확한 사유, 관련자 협의, 책임자 승인 등 관련 근거 기록/관리
3. 범위 설정 관련 문서(업무 및 서비스 현황, 정보시스템 목록, 문서목록 등) 작성/관리

<결함 사례>

1. 관련 시스템, 외주업체 직원, PC, 테스트용 단말기 누락
2. 주요 의사결정자 역할 임직원, 핵심 조직(인력) 누락
3. 인증범위 내 조직 및 인력에 적용하고 있는 보안시스템 누락
4. ISMS 의무대 상임에도 불구하고 공개 웹사이트 일부 누락

 

1.1.5 정책 수립

<주요 확인 사항>

1. 최상위 정책 수립
2. 정책 시행을 위한 방법, 절차, 주기 등을 규정한 지침, 절차, 매뉴얼 수립
3. 정책/시행문서 제/개정 시 최고경영자 또는 최고경영자의 권한을 위임한 자에게 승인
4. 임직원에게 이해하기 쉬운 형태로 제공

* 최상위 정책에 포함하여야 하는 사항

• 경영진의 의지 및 방향
• 역할, 책임, 대상, 범위
• 관리적/기술적/물리적 활동의 근거

* 개인정보 내부관리계획 포함 내용(개인정보의 안전성 확보조치 기준 제4조)

1. 개인정보 보호책임자의 지정
2. 개인정보 보호책임자 및 개인정보 취급자의 역할 및 책임
3. 취급자 교육
4. 접근권한 관리
5. 접근통제
6. 개인정보의 암호화 조치
7. 접속기록 보관 및 점검
8. 악성프로그램 등 방지에 관한 사항
9. 물리적 안전조치에 관한 사항
10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
11. 사고 대응 계획 수립/시행
12. 위험도 분석 및 대응방안
13. 재해 및 재난 대비 개인정보처리 시스템의 물리적 안전조치
14. 개인정보 수탁사 관리/감독
15. 그밖에 개인정보보호를 위해 필요한 사항

<결함 사례>

1. 내부 규정상 정책서 제/개정 시 위원회 심의/의결을 거치도록 규정하였으나, 위원회 심의/의결 없이 정보보호 최고책임자 승인을 근거로만 개정
2. 보안 정책/지침 최근 개정내용이 관련부서에 공유되지 않아 구버전 근거로 업무가 수행되고 있는 경우
3. 정책/지침서를 보안부서에서만 관리하고 임직원이 열람할 수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우

1.1.6 자원 할당

1. 보안 전문성 있는 인력 확보
2. 관리체계 구현 및 지속적 운영을 위한 예산, 인력 지원
3. 연간 세부 업무 추진 계획 수립, 추진 결과 심사분석/평가 수행

<결함 사례>

1. 보안 실무조직에 IT/보안 전문성 있는 인력이 없는 경우
2. 필요한 솔루션 구입 비용을 최고경영자가 지원하지 않아서 법적 위험을 수용하는 경우
3. 인증 획득 후 할당된 인력을 타 부서로 배치하거나, 인력 및 예산을 삭감하거나, 할당된 예산을 다른 용도로 사용함