Home » ISMS 인증기준 – 정보보호대책 (정보보호정책)

ISMS 인증기준 – 정보보호대책 (정보보호정책)

1.1 정책의 승인 및 공표

1.1.1 정책의 승인

정보보호정책은 이해관련자의 검토와 최고경영자의 승인을 받아야 한다.

  • 정보보호정책 및 정책시행 문서(지침, 절차 등)의 제 ∙ 개정 시 이해관련자의 검토를 받고 있는가?
ㅇ 정책은 정보보호 활동을 규정한 상위 정보보호정책과 상위 정책 시행을 위한 문서(지침, 절차, 매뉴얼 등)로 구분하여 제정할 수 있다.

ㅇ 문서의 제 ・ 개정 시에는 이해 관련자의 검토(협의 및 조정 등)를 통해 조직 내에서 실제 수행하고 있는 정보보호 활동이 내용에 반영될 수 있도록 하여야 한다.

– 또한, 실무협의회를 운영하고 있는 경우 이 협의회를 통해 검토할 수 있다.

ㅇ 이해관련자는 상위정책과 정책시행 문서의 시행주체가 되는 부서 및 담당자(정보보호부서, 정보시스템 운영 및 개발 부서, 현업부서)를 의미한다.

  • 정보보호정책 제 ・ 개정 시 최고경영자의 승인을 받고 있는가?
ㅇ 정보보호 활동에 대한 최고경영자 등 경영진의 참여와 지원을 보장하기 위하여 상위 수준의 정보보호정책은 최종적으로 최고경영자의 승인을 받아야 한다.

  • 지침, 절차 등 정책시행 문서 제 ・ 개정 시 최고경영자의 위임을 받은 책임자(CISO 등)의 승인을 받고 있는가?
ㅇ 정책시행을 위하여 필요한 세부 방법, 절차, 주기 등을 규정한 정보보호 지침, 절차, 매뉴얼의 제 ∙ 개정 시 최고경영자의 위임 규정에 따라 정보보호 최고책임자 등의 승인을 받아야 한다.

1.1.2 정책의 공표

정보보호정책 문서는 모든 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다.

  • 정보보호정책 및 정책시행 문서의 제 ・ 개정 시 그 내용을 관련 임직원에게 공표하고 있는가?
ㅇ 정보보호정책 및 정책시행 문서의 제 ・ 개정 시 그 내용과 시행사실을 관련 임직원이 알 수 있도록 공표(교육, 메일, 게시판 등 활용)하여야 한다.

  • 정보보호정책 및 정책시행 문서를 관련 임직원에게 이해하기 쉬운 형태로 전달하고 최신본으로 제공하고 있는가?
ㅇ 정보보호정책 및 정책시행 문서를 관련 임직원이 용이하게 참고할 수 있는 형태(예 : 전자게시판, 책자, 교육 자료 등)로 전달하여야 하며 최신 정책 및 정책시행 문서를 언제든지 확인할 수 있도록 하여야 한다.

1.2 정책의 체계

1.2.1 상위 정책과의 연계성

정보보호정책은 상위조직 및 관련 기관의 정책과 연계성을 유지하여야 한다.

  • 정보보호정책이 상위 조직 및 관련기관의 정책과 연계성이 있는 지 검토하고 있는가?
ㅇ 정보보호정책이 상위조직 및 관련 기관 정보보호정책과의 연계성이 있는 지 분석하여 내용상 상호 부합되지 않은 요소가 있는 지 확인하고 정책간 상하체계가 적절한 지 여부를 검토하여야 한다. (예 : 자회사의 경우 본사 정책과의 연계성 검토 등)

1.2.2 정책시행 문서수립

정보보호정책의 구체적인 시행을 위한 정보보호지침, 절차를 수립하고 관련 문서간의 일관성을 유지하여야 한다.

  • 정보보호정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 정보보호 지침, 절차, 매뉴얼 등을 수립하고 있는가?
ㅇ 임직원이 상위 정보보호정책에서 정한 정보보호 활동을 일관성 있게 수행하기 위해서는 시행주체(책임과 역할 정의), 방법, 주기 등을 구체적으로 정한 정보보호지침, 절차, 매뉴얼 등을 수립하여야 하며 필요한 경우 서비스별, 시스템별 지침, 절차를 별도로 마련하여야 한다.

ㅇ 담당자에 의한 임의적, 임기응변식 정보보호 활동 수행은 지양하여야 하며 정보보호 활동은 관련 근거 규정을 반드시 제시할 수 있어야 한다.

  • 정보보호정책과 지침, 절차 등과 같은 정책시행 문서 간 내용의 일관성 여부를 검토하고 유지하고 있는가?
ㅇ 정책, 지침, 절차에서 정하고 있는 정보보호 활동의 주기, 수준, 방법 등을 일관성 있게 유지하여야 한다.
(예 : 시스템 대상 패스워드 복잡도 기준이 각 문서별로 다르게 기술되어 있을 경우 문서 간 일관성이 결여되어 있다고 할 수 있음)

1.3 정책의 유지관리

1.3.1 정책의 검토

정기적으로 정보보호정책 및 정책 시행문서의 타당성을 검토하고, 중대한 보안사고 발생, 새로운 위협 또는 취약성의 발견, 정보보호 환경에 중대한 변화 등이 정보보호정책에 미치는 영향을 분석하여 필요한 경우 제 ∙ 개정하여야 한다.

  • 정보보호정책 및 정책시행 문서의 정기적 타당성 검토 절차를 수립하고 있는가?
ㅇ 다음과 같은 상황이 발생한 경우를 포함하여 주기적으로 정보보호정책 및 정책시행 문서의 타당성을 검토하여 제 ∙ 개정을 통해 관련 문서에 반영하여야 한다.

– 내부감사 수행 결과
– 중대한 보안사고 발생
– 개인정보 및 정보보호 관련 법령 제 ∙ 개정
– 새로운 위협 또는 취약점 발견
– 정보보호 환경의 중대한 변화
– 조직 사업 환경의 변화 (예 : 신규 사업)
– 정보시스템 환경의 중대한 변화 (예 : 차세대 시스템 구축)

ㅇ 보안점검, 내부감사 결과 분석 등을 통해 정책, 정책시행 문서에서 규정하고 있는 정보보호 활동의 주기, 방법 등이 적절한 지 정기적으로 검토하여야 하며 필요한 경우 제 ∙ 개정을 통해 문서에 반영하여야 한다.

  • 중대한 환경 변화 시 정보보호정책 및 정책시행 문서에 미치는 영향을 분석하고 제 ・ 개정 필요성 여부를 검토하고 있는가?
ㅇ 다음과 같은 상황이 발생한 경우 정보보호정책 및 정책시행 문서에 미치는 영향을 분석하고 필요 시 문서에 반영하여야 한다.

– 중대한 보안사고 발생
– 정보보호 및 개인정보 관련 법률 제 ・ 개정
– 새로운 위협 또는 취약성의 발견
– 비즈니스 환경의 변화 (신규 사업 영역 진출 등)
– 정보보호 및 IT 환경의 중대한 변화 등

1.3.2 정책문서 관리

정보보호정책 및 정책 시행문서의 이력관리를 위해 제정, 개정, 배포, 폐기 등의 관리절차를 수립하고 문서는 최신본으로 유지하여야 한다. 또한 정책문서 시행에 따른 운영기록을 생성하여 유지하여야 한다.

  • 정보보호정책 및 정책시행 문서의 제정, 개정, 배포, 폐기 등의 이력을 확인할 수 있도록 관리절차를 수립 ∙ 이행하고 있는가?
ㅇ 정보보호정책 및 정책시행 문서의 제정, 개정, 폐기 시 이력(일자, 내용, 작성자, 승인자 등)을 확인할 수 있는 관리절차를 수립하고 이행하여야 한다.

– 제 ∙ 개정으로 인한 문서의 효력 발생일은 일반적으로 최고경영자 혹은 정보보호책임자의 승인일 혹은 공표일로 하여야 한다.

  • 정보보호정책 및 정책시행 문서는 최신본으로 관리하고 있는가?
정보보호정책 및 정책시행 문서는 최신본으로 유지하여야 한다.

  • 정보보호정책 및 정책시행 문서에서 정한 정보보호 활동 수행에 관한 운영 기록을 생성하여 유지하고 있는가?
ㅇ 정보보호 활동 수행 과정에서 생성된 각종 양식, 대장, 로그, 결재문서 등 운영기록의 보관방법, 보호대책, 유지기간, 접근통제 등 관리절차를 마련하여야 한다.

ㅇ 운영기록 확인을 통해 관련 활동의 정상적인 이행 여부를 확인할 수 있어야 하며 정보보호 관리체계 인증기준(104개)의 이행 확인이 가능하도록 운영기록(증적)을 확보하고 있어야 한다.