2. 보호대책 요구사항(1)

2.1 정책, 조직, 자산 관리

2.1.1 정책의 유지관리

- 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토해 필요한 경우 제/개정하고 그 내역을 이력관리해야 함

• 검토 주기: 연 1회 이상 검토 필요
• 후속조치: 정책 및 시행문서 제/개정이 필요한 경우 관련 절차, 내부 협의 및 보고 절차

2.1.2 조직의 유지관리

- 조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계 수립하여 운영해야 함

*KPI: 중요한 비즈니스 목표 대비 팀이나 조직의 진행 상태를 나타내는 정량적인 지표

 

2.1.3 정보자산 관리

- 정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립/이행하고, 자산별 책임소재를 명확히 정의해 관리해야 함

• 정보자산의 보안등급에 따른 취급절차 및 보호대책 정의 및 이행
• 식별된 정보자산에 대해 책임자 및 관리자 지정 여부

 

2.2 인적보안

2.2.1 주요 직무자 지정 및 관리

- 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정해 그 목록을 최신으로 관리해야 함

*개인정보취급자

: 임직원, 파견 근로자, 시간제 근로자 등 개인정보취급자의 지휘/감독을 받아 개인정보를 처리하는 자

 

2.2.2 직무 분리

- 권한 오/남용 등으로 인한 잠재적인 피해 예방을 위해 직무 분리 기준을 수립하고 적용해야 함, 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련해 이행해야함

• 직무 분리 관련 지침
• 직무기술서
• 직무 미분리 시 보완통제 현황

2.2.3 보안 서약

- 정보자산을 취급하거나 접근권한이 부여된 임직원, 임시직원, 외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 함

• 정보보호 서약서
• 비밀유지서약서(퇴직자)

2.2.4 인식제고 및 교육훈련

- 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립/운영하고, 그 결과에 따른 효과성을 평가해 다음 계획에 반영해야 함

• 관리체계 범위 내 모든 임직원과 외부자를 대상으로 연간 교육 계획에 따라 연 1회 이상 정기적으로 교육을 수행하고, 관련 법규 및 규정의 중대한 변경 시 이에 대한 추가교육 수행해야 함

2.2.5 퇴직 및 직무변경 관리

- 퇴직 및 직무변경 시 인사/정보보호/개인정보보호/IT 등 부서별 이행하여야 할 자산 반납, 계정 및 접근권한 회수/조정, 결과확인 등의 절차를 수립/관리하여야 함

 

2.2.6 보안 위반 시 조치

- 임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립/이행하여야 함

증거 자료

• 인사 규정
• 위반자 징계 내역
• 사고 사례(전사 공지, 교육 내용)