오늘은 1.3 관리체계 운영과 1.4 관리체계 점검 및 개선에 대해서 살펴보겠다.
1.3 관리체계 운영은
1.2 위험관리를 통해 식별된 위험에 대해서 보호대책을 수립하고, 그 보호대책에 대한 이행계획을 수립했다면,
그 이행계획을 실제로 구현하고, 운영할 때의 절차 및 준수사항에 대한 내용이다.
1.4 관리체계 점검 및 개선은
관리체계 기준 및 법적 요건에 따라 관리체계 현황을 점검하고
발견된 문제점에 대하여 재발하지 않도록 대책 수립에 관한 내용이다.
I. 관리체계 수립 및 운영 - 1.3 관리체계 운영
1.3.1 보호대책 구현
<주요 확인사항>
- 이행 계획에 따라 효과적으로 보호대책을 구현하고 이행 결과의 정확성/효과성을 경영진이 확인할 수 있도록 보고
- 보호대책 구현 및 운영 현황을 기록한 운영 명세서 작성
<결함 사례>
- 보호대책 이행완료 결과를 경영진에게 보고하지 않은 경우
- 위험조치 이행결과보고서에는 "조치 완료"로 되어 있으나, 관련된 위험이 여전히 존재하거나 이행결과의 정확성/효과성이 확인되지 않은 경우
- 전년도 정보보호 대책 이행계획에 따라 중/장기로 분류된 위험들이 해당 연도에 구현이 되지 않고 있거나, 이행결과를 경영진이 검토/확인하지 않은 경우
1.3.2 보호대책 공유
<주요 확인사항>
- 구현된 보호대책을 실제 시행/운영할 부서 및 담당자를 파악
- 구현된 보호대책을 실제 시행/운영할 부서 및 담당자에게 관련 내용을 공유/교육
<결함 사례>
- 보호대책이 구현되었으나 실제 시행/운영할 부서 및 담당자에게 충분한 공유/교육이 되지 않아 부서 및 담당자가 인식하지 못하고 있는 경우
1.3.3 운영현황 관리
<주요 확인사항>
- 관리체계를 운영하기 위해 수행할 상시/주기적 활동을 문서화
- 경영진은 관리체계 운영 활동 효과성을 측정/관리
※ 주요 확인사항에는 운영현황표를 주기적으로 검토하라는 내용이 없으나, 결함 사례에서는 주기적으로 검토하지 않은 경우는 결함 사례로 명시하고 있으므로 운영현황표도 반드시 주기적 검토를 수행해야 한다.
<결함 사례>
- 운영현황표를 문서화하지 않음
- 운영현황표를 문서화했으나 주기적으로 검토하지 않아 일부 활동 누락 또는 수행 여부 미확인
I. 관리체계 수립 및 운영 - 1.4 관리체계 점검 및 개선
1.4.1 법적 요구사항 준수 검토
<주요 확인사항>
- 조직이 준수해야 하는 법적 요구사항 파악, 최신성 유지
- 법적 요구사항 준수 여부를 연 1회 주기적 검토
<결함 사례>
- 법이 최근 개정되었으나, 개정사항이 조직에 미치는 영향을 분석하지 않고 정책서에 반영하지 않아 정책서와 법이 상이한 경우
- 법이 개정되었으나 1년 넘게 법 준거성 검토를 수행하지 않은 경우
- 법적 준거성 준수 여부에 대한 검토가 이루어지지 않아 법규 위반사항이 다수 발생한 경우
1.4.2 관리체계 점검
※ 구 ISMS 버전에서는 내부감사라는 용어로 명시되었던 내용이 "관리체계 점검"이라는 용어로 바뀌었다.
<주요 확인사항>
- 법적 요구사항 및 수립된 정책에 따라 관리체계가 효과적으로 운영되는지 점검하기 위해 점검 기준, 범위, 주기, 점검인력, 자격요건 등을 포함한 관리체계 점검계획 수립
- 점검 계획에 따라 독립성, 객관성, 전문성이 확보된 인력으로 구성된 점검을 연1회 수행하고, 발견된 문제점은 경영진 보고
<결함 사례>
- 관리체계 점검인력에 전산팀 직원이 포함되어 독립성 훼손
- 관리체계 점검을 실시하였으나, 범위가 일부로 국한되어 있어 관리체계 전체 범위를 포괄하지 못하는 경우
- 관리체계 점검 시 발견된 문제점에 대해 조치계획을 수립하지 않았거나 조치 완료 여부를 확인하지 않은 경우
1.4.3 관리체계 개선
<주요 확인사항>
- 점검 시 발견된 문제점의 근본 원인 파악, 재발 방지/개선 대책 수립/이행
- 재발방지/개선 대책 조치 결과의 정확성/효과성 판단 기준/절차를 수립(핵심 성과지표 수립)
※ 주요 확인사항에는 핵심 성과지표 측정 결과를 경영진에 보고하라는 내용이 없으나, 결함 사례에서는 경영진에게 보고하지 않은 경우 결함이라고 명시하고 있으므로, 반드시 경영진 보고 필요
<결함 사례>
- 내부 점검을 통해 발견된 문제점이 매번 동일하게 발생하는 경우
- 최근 수행된 내부 점검에서 발생된 문제점의 근본 원인 분석, 재발방지 대책이 수립되지 않은 경우
- 재발방지 대책을 수립하고 핵심 성과지표를 마련하여 주기적으로 측정하고 있으나 그 결과에 대한 경영진 보고가 장기간 이루어지지 않은 경우
'ISMS-P' 카테고리의 다른 글
[ISMS-P] IP주소 class와 서브넷마스크 (0) | 2020.11.01 |
---|---|
ISMS-P 오답노트 1 (0) | 2020.10.31 |
ISMS-P 항목 살펴보기 | I. 관리체계 수립 및 운영 - 1.2 위험관리 (0) | 2020.10.22 |
ISMS-P 항목 살펴보기 | I. 관리체계 수립 및 운영 - 1.1 관리체계 기반 마련 (0) | 2020.10.18 |
ISMS-P 개인정보보호법 주요내용 정리(6) 제29조 ~ 제32조 (0) | 2020.09.22 |