분류 전체보기40 단계별 내부통제항목 - 예방(3) ④ 비밀 유지서약서 작성 조직 내 모든 내부자에게 “비밀 유지서약서”를 받아야 한다. 여기서 내부자는 광의의 내부자를 의미한다. 비밀 유지서약서에는 보안 규정 미준수로 인한 “벌칙”과 “손해배상 책임” 등의 내용을 명시하고 “서명”을 받아야 한다. 또한 임직원의 퇴사 시 또는 외부자와의 계약 만료, 업무 종료 시 별도의 비밀 유지서약서를 받고 위반 시 “법적 책임”이 있음을 상기시켜야 한다. 비밀 유지서약서는 “법적 분쟁” 발생 시 “증거자료”로 사용할 수 있도록 보존하고 관리하여야 한다. 관련표준 및 지침 K-ISMS 6.1.3 비밀유지서약서 ISO/IEC 27002:2013 A.7.1.2 Terms and conditions of employment A.13.2.4 Confidentiality or .. 2022. 7. 18. 단계별 내부통제항목 - 예방(2) 3) 정보자산 분류 조직 내의 모든 자산을 명확하게 식별하고 중요자산을 분류하며 자산별 관리자를 지정하여 관리하여야 한다. 또한 정보자산을 “민감성(Sensitivity)”과 “중요도(Criticality)”에 따라 보호 등급을 결정하고 보호 등급에 따른 접근통제를 실시하여야 한다. ① 정보자산 식별 조직의 특성에 맞는 정보자산의 “분류기준을 수립”하고 분류기준에 따른 정보자산을 “식별”하고 “목록”을 관리하여야 한다. 또한 “도입”, “변경”, “폐기”되는 정보자산 현황을 파악할 수 있도록 정기적으로 “조사”를 실시하고 정보자산 목록을 “최신으로 유지”하여야 한다. 관련표준 및 지침 K-ISMS 4.1.1 정보자산 식별 ISO/IEC 27002:2013 A.8.1.1 Inventory of assets.. 2022. 7. 17. 단계별 내부통제항목 - 예방(1) 예방(Prevention) 1) 보안조직 구성 ① 보안조직 구성 경영진은 조직의 보안 관련 업무를 총괄할 수 있는 “정보보호 최고책임자(CISO)”를 지정 및 지원하고 보안 활동을 체계적으로 수행할 “보안조직”을 구성하여야 한다. “정보보호 실무자는 정보보호 최고책임자의 관리 업무를 실무적으로 이행할 수 있도록 직무기술서 등을 통해 책임과 역할을 구체적으로 정의하여야 한다.” “정보통신망 이용촉진 및 정보보호 등에 관한 법률” “제45조의3(정보보호 최고책임자의 지정 등)” 조항에 다음과 같이 정보보호 최고책임자 지정을 규정하고 있다. 『제45조의3(정보보호 최고책임자의 지정 등) ① 정보통신 서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 임원급의 정보보호 최고책임자를 지.. 2022. 7. 16. 단계별 내부통제항목 - 억제(2) ⑦ 보안정책 관리 정기적으로 보안정책 및 지침, 절차, 매뉴얼의 “타당성을 검토”하고 “보안정책에 미치는 영향을 분석”하여 필요한 경우 제·개정하여야 한다. “중대한 보안사고 발생”, “정보보호, 개인정보 및 관련 법률 제·개정”, “새로운 위협 또는 취약점 발견”, “비즈니스 환경 변화”, “정보보호 및 IT 환경의 중대한 변화” 등의 상황이 발생한 경우 보안정책 및 지침, 절차, 매뉴얼 등에 미치는 영향을 분석하고 해당 문서에 반영하여야 한다. 보안 정책과 관련된 문서는 최신 본을 유지하여야 하며 제·개정 시에는 경영자와 정보보호 책임자의 승인받고 공표하여야 한다. 관련표준 및 지침 K-ISMS 1.3.1 정책의 검토 1.3.2 정책문서 관리 ISO/IEC 27002:2013 A.5.1.2 Revie.. 2022. 7. 15. 이전 1 2 3 4 5 6 7 ··· 10 다음
