Home » ISMS 인증기준 – 정보보호대책 (인적보안)

ISMS 인증기준 – 정보보호대책 (인적보안)

정보보호 책임

6.1.1 주요 직무자 지정 및 감독

인사정보, 영업비밀, 산업기밀, 개인정보 등 중요정보를 대량으로 취급하는 임직원의 경우 주요직무자로 지정하고 주요직무자 지정을 최소화 하는 등 관리할 수 있는 보호대책을 수립하여야 한다.

  • 조직 내 중요 정보자산(정보, 시스템 등)을 취급하는 직무를 정의하고 해당 직무를 수행하는 주요 직무자를 지정하고 있는가?
ㅇ 다음을 주요직무로 분류할 수 있으며 이 업무를 수행하는 임직원을 주요 직무자로 지정하여야 한다.

– 중요정보(개인정보, 인사정보, 영업비밀, 산업기밀, 재무정보 등)를 취급
– 주요 정보시스템(서버, DB, 응용 프로그램 등) 운영 및 개발
– 정보보호시스템 운영
– 정보보호관리업무 수행

  • 중요정보를 취급하는 주요 직무자는 최소한으로 지정하고 주기적으로 주요 직무자 현황을 관리하고 있는가?
ㅇ 중요정보를 취급하는 주요 직무자의 경우 업무 범위 및 목적에 벗어나는 정보 처리 권한을 부여하지 않도록 관련 직무자를 최소한으로 지정하여야 한다.

ㅇ 중요정보 처리 권한이 부여된 주요 직무자의 현황을 주기적으로 관리하여 직무자별 업무 성격에 따라 적정한 권한이 부여되었는 지 여부를 검토하여야 한다.

6.1.2 직무 분리

권한 오남용 등 고의적인 행위로 인해 발생할 수 있는 잠재적인 피해를 줄이기 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 인적자원 부족 등 불가피하게 직무분리가 어려운 경우 별도의 보완통제를 마련하여야 한다.

  • 직무의 권한 오남용을 예방하기 위하여 정보보호 관련 주요 직무 분리 기준을 수립하고 직무별 역할과 책임을 명확하게 기술하고 있는가?
ㅇ 직무별 권한과 책임을 분산시켜 직무 간 상호견제를 할 수 있도록 직무 분리 기준을 수립하여야 한다.

– 개발과 운영 직무 분리 (필수)
– 정보시스템(서버, DB, 네트워크 등)간 운영직무 분리
– 정보보호 관리와 정보시스템 운영직무 분리
– 정보보호 관리와 정보시스템 개발직무 분리 등

  • 직무분리가 어려운 경우 직무자간 상호 검토, 상위관리자 정기 모니티링 및 변경사항 승인, 책임추적성 확보 방안 등의 보완통제를 마련하고 있는가?
ㅇ 조직 규모가 작거나 인적 자원 부족 등의 사유로 인해 불가피하게 직무 분리가 어려운 경우, 직무자간의 상호 검토, 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토/승인, 직무자의 책임추적성 확보 등의 보완통제를 마련하여야 한다.

6.1.3 비밀유지서약서

임직원으로부터 비밀유지 서약서를 받아야 하고 임시직원이나 외부자에게 정보시스템에 대한 접근권한을 부여할 경우에도 비밀유지서약서를 받아야 한다.

  • 신규 인력 채용 시 정보보호 책임이 명시된 정보보호서약서를 받고 있는가?
ㅇ 신규로 채용된 인력은 조직의 중요정보 취급 및 관리 시 정보보호의 필요성과 책임에 대해 명시된 정보보호서약서에 서명하고 조직에 제출하여야 한다.

ㅇ 정보보호서약서의 제출 의무에 대해 신규 인력 채용 절차 중 기본적인 사항으로 인식하고 관리 부서를 지정하여 정보보호서약서를 관리하여야 한다. (일반적으로 신규 인력 채용 시 인력관리부서에서 정보보호서약서를 수집 및 관리하고 있다.)

  • 임시직원 혹은 외주용역과 같은 외부자에게 정보자산에 대한 접근권한을 부여할 경우, 정보보호에 대한 책임을 계약서에 명시하고 이에 대한 정보보호서약서를 받고 있는가?
ㅇ 임시직원 혹은 외주용역업체직원과 같은 외부자에게 정보자산에 대한 접근권한을 부여할 경우 정보보호 책임, 조직 내 정보보호 규정 준수 의무, 정보보호 의무에 미준수로 인한 사건 ∙ 사고 발생 시 손해배상 책임 등의 내용을 정보보호서약서에 명시하고 서명을 받아야 한다.
  • 임직원 퇴직 시 별도의 비밀유지에 관련한 서약서를 받고 있는가?
ㅇ 직무 상 알게 된 조직의 중요정보에 대한 퇴사 후 누출 방지를 위하여 인력 퇴사 절차 내 비밀유지서약서를 받고 누출 발생 시 그에 따르는 법적 책임이 있음을 상기시켜야 한다.

ㅇ 직무변경과 같이 인력의 고용조건에 변화가 발생한 경우 이전에 습득한 비밀정보를 누출하지 않도록 정보보호서약서의 내용을 환기시키는 것이 좋다.

  • 정보보호서약서 및 비밀유지서약서는 법적 분쟁 발생 시 증거자료로 사용할 수 있도록 안전하게 보존하고 용이하고 찾아볼 수 있도록 관리하고 있는가?
ㅇ 정보보호서약서 및 비밀유지서약서는 법적 분쟁 발생 시 법률적 책임에 대한 증거자료로 사용할 수 있기 때문에 필요 시 용이하게 찾아볼 수 있는 형태로 보관하여야 한다.

ㅇ 정보보호서약서 및 비밀유지서약서에 개인정보가 포함될 경우 비인가된 제 3자에게 누출되지 않도록 물리적으로 안전한 장소에 보관하여야 한다.

인사규정

6.2.1 퇴직 및 직무변경 관리

퇴직 및 직무변경 시 인사부서와 정보보호 및 시스템 운영 부서 등 관련 부서에서 이행해야 할 자산반납, 접근권한 회수ㆍ조정, 결과 확인 등의 절차를 수립하여야 한다.

  • 부서 및 직무변경, 휴직, 퇴직 등으로 인한 인사변경 내용이 인사부서, 정보보호부서, 정보시스템 운영부서 간에 공유되고 있는가?
ㅇ 부서 및 직무변경, 휴직, 퇴직 등 인사 변경 발생 시 정보자산 반납, 접근권한의 변경 ∙ 회수 조치가 신속하게 이루어질 수 있도록 인사부서는 변경내용을 정보보호부서, 정보시스템 운영부서 등에 공유하여야 한다.
  • 조직 내 인력(정규직 임직원, 임시직원, 외주용역업체 직원 등)의 직무변경 혹은 퇴직 시 정보자산 반납, 접근권한 조정 ∙ 회수, 결과 확인 등 수립된 절차에 따라 지체 없이 이행하고 있는가?
ㅇ 조직 내 인력(정규직 임직원, 임시직원, 외주용역업체 직원 등)의 직무 변경 혹은 퇴직 발생 시 정보자산 반납, 접근권한의 조정 ∙ 회수 등을 수립된 절차에 따라 시행하고 결과를 확인하여야 한다.

ㅇ 직무변경자 혹은 퇴직자가 불가피하게 정보시스템 및 정보보호시스템 계정을 공유 사용하고 있었다면 계정의 비밀번호를 즉시 변경하여야 한다.

6.2.2 상벌규정

인사규정에 직원이 정보보호 책임과 의무를 충실히 이행했는지 여부 등 정보보호 활동 수행에 따른 상벌 규정을 포함하여야 한다.

  • 인사규정에 임직원이 정보보호 책임과 의무를 충실히 수행했는지 여부에 따른 상벌규정이 문서로 명시화 되어 있는가?
ㅇ 임직원이 정보보호 관련 조직 내부 규정(예 : 정책, 지침, 절차 등) 및 비밀유지서약서에 명시된 정보보호 책임을 충실히 이행하지 않고 조직 내 중요정보를 훼손, 누출한 경우, 관계법령상의 책임 및 처벌규정을 인사규정에 포함하고 아울러 정보보호 책임을 충실히 이행한 경우에 대한 보상방안도 함께 마련하여야 한다.