정보보안 정책 문서
정보보호 정책 문서는 경영진에 의해 승인되고 문서화되어야 하며 모든 임직원과 관련 외부 조직들이 알고 있어야 한다. 정보보호정책의 구체적 시행을 위하여 세부적인 지침, 절차가 수립되어 있습니다 또한, 상하위 문서 간의 상호관계 및 적용범위가 적정합니까? 정보보호 정책/지침/절차가 최고경영자에 의해 승인되었습니다. 모든 정보보호 정책은 문서화되어 있어야 하며 모든 임직원과 관련자들에게 이해하기 쉬운 형태로 배포하였습니다.
정보보안정책의 검토
정보보호 정책은 정기적으로 혹은 중대한 변화가 발생할 경우 정책의 적합성, 적절성, 유효성 등을 확인하기 위하여 검토되어야 한다. 정기적으로 정보보호정책 및 관련 문서의 적합성, 적절성, 유효성을 검토하고 있습니다. 중대한 변화가 발생할 경우 정보보호정책의 적합성, 적절성, 유효성을 추가로 검토하고 있습니다.
- 중대한 보안사고 발생
- 새로운 위협 또는 취약성의 발생
- 정보보호 환경에 대한 중대한 변화 등
정보보안에 대한 경영층 의지
경영진은 정보보호 책임에 대한 명확한 방향, 의무 공시, 명시적 역할 분담과 인지를 통해 조직 내 보안을 적극적으로 지원하여야 한다. 정보보호 관리자는 최고경영자(CEO)의 지정을 받았습니다. 정보보호 관리자는 정보보호에 관한 업무를 총괄 관리하고 있습니다.
- 정보보호정책 수립
- 정보보호 위원회의 구성 및 운영
- 위험분석 및 관리
- 보안사고 대응 및 복구 등
정보보안 역할 조정
정보보호 활동은 관련 있는 역할과 직무를 수행하는 조직의 서로 다른 부서들의 대표자들에 의해 조정되어야 한다. 정보보호 조직의 구성 및 각 조직과 구성원에 대한 업무분장 및 역할을 정의한 규정이 있습니다. 규정에 따라 정보보호 관리 활동을 계획, 관리하는 정보보호 조직 체계가 있으며, 관련 있는 조직의 부서들의 대표자들에 의해 조정되고 있습니다.
정보보안 책임의 배정
모든 정보보호 책임은 명확하게 정의되어야 한다. 모든 정보보호 책임은 명확하게 정의되어 있으며, 정보보호위원회의 역할 및 책임을 정의하고 있습니까?
- 정보보호 관련 심의 및 승인
- 정보보호 자원할당 및 적절한 정보보호 관리 활동 지원(수행)
- 경영자의 정보보호 의지 지원
- 조직 전반에 걸친 정보보호 제안에 대한 합의(조정)
정보보안 책임의 배정 모든 정보보호 책임은 명확하게 정의되어야 한다. 모든 정보보호 책임은 명확하게 정의되어 있으며, 정보보호위원회의 역할 및 책임을 정의하고 있습니까?
- 정보보호 관련 심의 및 승인
- 정보보호 자원할당 및 적절한 정보보호 관리 활동 지원(수행)
- 경영자의 정보보호 의지 지원
- 조직 전반에 걸친 정보보호 제안에 대한 합의(조정)
정보처리 설비에 대한 인가 절차
새로운 정보처리설비를 위한 경영진 허가 절차가 정의되고 이행되어야 한다. 정보자산 도입 시 인가와 승인 절차가 수립되어 있으며 이를 이행하고 있습니까? 기밀유지 서약서 정보보호를 위한 조직의 필요 사항들을 반영하는 기밀 혹은 비공개 협약에 대한 요구조건들이 식별되고 정기적으로 검토되어야 한다. 비밀유지 서약서 서명을 실시하도록 규정하고 있습니까?
- 정직원 채용시
- 임시직원이나 제삼자 채용 시
- 직원의 고용계약에 변경이 있을 경우(퇴사 및 계약기간 만료 시)
정규직, 임시직 채용 및 외부자에게 접근권한 부여 시 비밀유지 서약서에 서명하도록 규정하고 있습니까? 상급기관과의 연락 관련 당국과의 적절한 접촉이 유지되어야 한다. 중요 정보보호관리 활동을 위하여 상급기관과의 유기적인 관계를 맺고 있습니까? 전문가 이해 집단과의 연락 특수이익집단 혹은 다른 전문가 보안 포럼들과 전문가협회들과의 적절한 접촉은 유지되어야 한다. 중요 정보보호관리 활동에 도움을 받기 위하여 외부 전문가의 도움을 받고 있습니까?
- 정보보호정책 수립
- 위험분석·평가
- 통제사 항의 선택과 구현
- 보안사고 대응 등
정보보안에 대한 독립적인 검토 정보보호 관리와 이행(정보보호의 통제 목적, 통제방안, 정책, 절차, 처리)에 대하여 조직은 정기적으로 혹은 정보보호 구현에 중대한 변화가 발생할 경우 독립적으로 검토하여야 한다. 정보보호 위원회는 정책 및 절차 등에 관하여 정기적 혹은 중대한 변화가 발생할 경우 독립적으로 검토 활동을 수행하는가? 외부업체와 관련된 위험 식별 외부 조직이 관련된 업무 처리 상 조직의 정보와 정보처리설비에 대한 위험은 식별되고 접근 허용이 되기 전에 적절한 통제 방안이 구현되어야 한다. 외부 위탁하는 업무에 대하여 위험을 식별하고 관련된 위험에 대하여 적절한 통제 방안이 구현되어 있습니까? 고객 대응 시 보안 언급 식별된 보안 요구사항들은 고객들에게 조직의 정보나 자산에 접근을 허용하기 전에 명시되어야 한다. 제삼자 및 고객에게 정보자산에 대한 접근을 허용하는 계약을 체결하는 경우 자사의 정보보호 정책 준수 및 필수 보안요건을 계약서에 포함하고 있습니까?
- 물리적 접근에 대한 보안 요구사항
- 발생한 피해에 대한 처벌 및 손해배상, 책임소재, 보고 방법
- 정보 습득 시 자사의 정보 취급절차 규정 준수- 습득한 정보의 파기, 반납 준수
- 정보의 파기, 반납 조건의 불이행 책임 요건 제약
3자 합의에서의 보안 언급 조직의 정보 혹은 정보처리설비에 대한 접근, 처리, 통신, 관리 및 정보처리설비에 대한 제품이나 서비스의 추가 등을 포함하는 제삼자 협약은 모든 관련 보안 요구사항들을 다루어야 한다. 외부 위탁하는 업무에 대하여 정보시스템, 네트워크, 인력 및 사무환경 등을 관리/통제하기 위한 보안 요구사항을 계약서에 명시하고 있습니까?
- 물리적 접근에 대한 보안 요구사항
- 발생한 피해에 대한 처벌 및 손해배상, 책임소재, 보고 방법
- 정보 습득 시 자사의 정보 취급절차 규정 준수
- 습득한 정보의 파기, 반납 준수
- 정보의 파기, 반납 조건의 불이행 책임 요건