ISMS-P

ISMS-P 항목 살펴보기 | I. 관리체계 수립 및 운영 - 1.3 관리체계 운영, 1.4 관리체계 점검 및 개선

영차영차33 2020. 10. 24. 13:11

오늘은 1.3 관리체계 운영과 1.4 관리체계 점검 및 개선에 대해서 살펴보겠다.

 

1.3 관리체계 운영은

1.2 위험관리를 통해 식별된 위험에 대해서 보호대책을 수립하고, 그 보호대책에 대한 이행계획을 수립했다면, 

그 이행계획을 실제로 구현하고, 운영할 때의 절차 및 준수사항에 대한 내용이다. 

 

1.4 관리체계 점검 및 개선은

관리체계 기준 및 법적 요건에 따라 관리체계 현황을 점검하고

발견된 문제점에 대하여 재발하지 않도록 대책 수립에 관한 내용이다. 

 

 


 I. 관리체계 수립 및 운영 - 1.3 관리체계 운영

 

1.3.1 보호대책 구현

<주요 확인사항>

  • 이행 계획에 따라 효과적으로 보호대책을 구현하고 이행 결과의 정확성/효과성을 경영진이 확인할 수 있도록 보고
  • 보호대책 구현 및 운영 현황을 기록한 운영 명세서 작성

<결함 사례>

  • 보호대책 이행완료 결과를 경영진에게 보고하지 않은 경우
  • 위험조치 이행결과보고서에는 "조치 완료"로 되어 있으나, 관련된 위험이 여전히 존재하거나 이행결과의 정확성/효과성이 확인되지 않은 경우
  • 전년도 정보보호 대책 이행계획에 따라 중/장기로 분류된 위험들이 해당 연도에 구현이 되지 않고 있거나, 이행결과를 경영진이 검토/확인하지 않은 경우

 

1.3.2 보호대책 공유

<주요 확인사항>

  • 구현된 보호대책을 실제 시행/운영할 부서 및 담당자를 파악
  • 구현된 보호대책을 실제 시행/운영할 부서 및 담당자에게 관련 내용을 공유/교육

<결함 사례>

  • 보호대책이 구현되었으나 실제 시행/운영할 부서 및 담당자에게 충분한 공유/교육이 되지 않아 부서 및 담당자가 인식하지 못하고 있는 경우

1.3.3 운영현황 관리

<주요 확인사항>

  • 관리체계를 운영하기 위해 수행할 상시/주기적 활동을 문서화
  • 경영진은 관리체계 운영 활동 효과성을 측정/관리

※ 주요 확인사항에는 운영현황표를 주기적으로 검토하라는 내용이 없으나, 결함 사례에서는 주기적으로 검토하지 않은 경우는 결함 사례로 명시하고 있으므로 운영현황표도 반드시 주기적 검토를 수행해야 한다. 

<결함 사례>

  • 운영현황표를 문서화하지 않음
  • 운영현황표를 문서화했으나 주기적으로 검토하지 않아 일부 활동 누락 또는 수행 여부 미확인

 

 I. 관리체계 수립 및 운영 - 1.4 관리체계 점검 및 개선

1.4.1 법적 요구사항 준수 검토

<주요 확인사항>

  • 조직이 준수해야 하는 법적 요구사항 파악, 최신성 유지
  • 법적 요구사항 준수 여부를 연 1회 주기적 검토 

<결함 사례>

  • 법이 최근 개정되었으나, 개정사항이 조직에 미치는 영향을 분석하지 않고 정책서에 반영하지 않아 정책서와 법이 상이한 경우
  • 법이 개정되었으나 1년 넘게 법 준거성 검토를 수행하지 않은 경우
  • 법적 준거성 준수 여부에 대한 검토가 이루어지지 않아 법규 위반사항이 다수 발생한 경우

 

1.4.2 관리체계 점검

※ 구 ISMS 버전에서는 내부감사라는 용어로 명시되었던 내용이 "관리체계 점검"이라는 용어로 바뀌었다. 

<주요 확인사항>

  • 법적 요구사항 및 수립된 정책에 따라 관리체계가 효과적으로 운영되는지 점검하기 위해 점검 기준, 범위, 주기, 점검인력, 자격요건 등을 포함한 관리체계 점검계획 수립
  • 점검 계획에 따라 독립성, 객관성, 전문성이 확보된 인력으로 구성된 점검을 연1회 수행하고, 발견된 문제점은 경영진 보고

<결함 사례>

  • 관리체계 점검인력에 전산팀 직원이 포함되어 독립성 훼손
  • 관리체계 점검을 실시하였으나, 범위가 일부로 국한되어 있어 관리체계 전체 범위를 포괄하지 못하는 경우
  • 관리체계 점검 시 발견된 문제점에 대해 조치계획을 수립하지 않았거나 조치 완료 여부를 확인하지 않은 경우

1.4.3 관리체계 개선

<주요 확인사항>

  • 점검 시 발견된 문제점의 근본 원인 파악, 재발 방지/개선 대책 수립/이행
  • 재발방지/개선 대책 조치 결과의 정확성/효과성 판단 기준/절차를 수립(핵심 성과지표 수립)

※ 주요 확인사항에는 핵심 성과지표 측정 결과를 경영진에 보고하라는 내용이 없으나, 결함 사례에서는 경영진에게 보고하지 않은 경우 결함이라고 명시하고 있으므로, 반드시 경영진 보고 필요

 

<결함 사례>

  • 내부 점검을 통해 발견된 문제점이 매번 동일하게 발생하는 경우
  • 최근 수행된 내부 점검에서 발생된 문제점의 근본 원인 분석, 재발방지 대책이 수립되지 않은 경우
  • 재발방지 대책을 수립하고 핵심 성과지표를 마련하여 주기적으로 측정하고 있으나 그 결과에 대한 경영진 보고가 장기간 이루어지지 않은 경우