Home » security

Category: security

ISMS 인증기준 – 정보보호대책 (정보보호교육)

5.1 교육 프로그램 수립 5.1.1 교육 계획 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 정보보호교육 계획을 수립하여야 한다. 정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 정보보호교육 계획을 수립하고 있는가? ㅇ 정보보호교육을 시행할 수 있도록 다음과 항목이 포함된 정보보호 교육 계획을 전년도말 혹은 당해 1/4분기 이내에 수립하여야 한다. – …

Read more

ISMS 인증기준 – 정보보호대책 (정보자산분류)

4.1 정보자산 식별 및 책임 4.1.1 정보자산 식별 조직의 업무특성에 따라 정보자산 분류기준을 수립하고 정보보호 관리체계 범위 내 모든 정보자산을 식별하여야 한다. 또한 식별된 정보자산을 목록으로 관리하여야 한다. 정보자산(정보시스템, 정보보호시스템, 정보)의 분류기준을 수립하고 정보보호 관리체계 범위 내 모든 정보자산을 식별하고 있는가? ㅇ 다음의 정보자산에 대해 조직의 업무 특성에 적합한 분류기준을 정의하여야 한다. ※ 정보자산 ※ …

Read more

ISMS 인증기준 – 정보보호대책 (외부자보안)

3.1 보안요구사항 정의 3.1.1 외부자 계약 시 보안요구사항 조직의 정보처리 업무를 외부자에게 위탁하거나 정보자산에 대한 접근을 허용할 경우, 또는 업무를 위해 클라우드 서비스 등 외부 서비스를 이용하는 경우에는 보안요구사항을 식별하고 관련 내용을 계약서 및 협정서 등에 명시하여야 한다. 조직의 정보처리 업무를 외부자에게 위탁하는 경우 다음과 같은 보안요구사항을 정의하여 계약 시 반영하고 있는가? 정보보호 관련 법률 …

Read more

ISMS 인증기준 – 정보보호대책 (정보보호조직)

2.1 조직 체계 2.1.1 정보보호 최고책임자 지정 최고경영자는 임원급의 정보보호 최고책임자를 지정하고 정보보호 최고책임자는 정보보호정책 수립, 정보보호 조직 구성, 위험관리, 정보보호위원회 운영 등의 정보보호에 관한 업무를 총괄 관리하여야 한다. 최고경영자는 조직의 정보보호 관련 업무를 총괄 관리할 수 있는 임원급의 정보보호 최고책임자(CISO)를 지정하고 있는가? ㅇ 최고경영자는 조직 내에서 정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄 …

Read more

ISMS 인증기준 – 정보보호대책 (정보보호정책)

1.1 정책의 승인 및 공표 1.1.1 정책의 승인 정보보호정책은 이해관련자의 검토와 최고경영자의 승인을 받아야 한다. 정보보호정책 및 정책시행 문서(지침, 절차 등)의 제 ∙ 개정 시 이해관련자의 검토를 받고 있는가? ㅇ 정책은 정보보호 활동을 규정한 상위 정보보호정책과 상위 정책 시행을 위한 문서(지침, 절차, 매뉴얼 등)로 구분하여 제정할 수 있다. ㅇ 문서의 제 ・ 개정 시에는 이해 …

Read more