본문 바로가기

Security31

[인증기준] 2.2 인적 보안 / 2.2.6 보안 위반 시 조치 항 목 2.2.6 보안 위반 시 조치인증기준임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다.주요 확인사항◌ 임직원 및 관련 외부자가 법령과 규제 및 내부정책에 따른 정보보호 및 개인정보보호 책임과 의무를 위반한 경우에 대한 처벌 규정을 수립하고 있는가?◌ 정보보호 및 개인정보 보호 위반 사항이 적발된 경우 내부 절차에 따른 조치를 수행하고 있는가? 세부 설명□ 임직원 및 관련 외부자가 법령과 규제 및 내부정책에 따른 정보보호 및 개인정보보호 책임과 의무를 위반한 경우에 대한 처벌 규정을 수립하여야 한다.◌ 관련 법규 및 내부 규정 미준수, 책임 미이행, 중요 정보 및 개인정보의 훼손, 유·노출, 오·남용 등이 발견된 경우 조사, 소명, .. 2026. 1. 22.

[인증기준] 2.2 인적 보안 / 2.2.5 퇴직 및 직무변경 관리 항 목 2.2.5 퇴직 및 직무변경 관리인증기준퇴직 및 직무변경 시 인사·정보보호·개인정보보호·IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수·조정, 결과확인 등의 절차를 수립·관리하여야 한다.주요 확인사항◌ 퇴직, 직무변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호 및 개인정보보호 부서, 정보시스템 및 개인정보처리시스템 운영부서 간 공유되고 있는가?◌ 조직 내 인력(임직원, 임시직원, 외주용역직원 등)의 퇴직 또는 직무변경 시 지체 없는 정보자산 반납, 접근권한 회수·조정, 결과 확인 등의 절차를 수립·이행하고 있는가?관련 법규◌ 개인정보 보호법 제29조(안전조치의무)◌ 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리) 세부 설명□ 퇴직, 직.. 2026. 1. 22.

[인증기준] 2.2 인적 보안 / 2.2.4 인식제고 및 교육훈련 항 목 2.2.4 인식제고 및 교육훈련인증기준임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있또록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.주요 확인사항◌ 정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가?◌ 관리체계 범위 내 모든 임직원과 외부자를 대상으로 연간 교육 계획에 따라 연 1회 이상 정기적으로 교육을 수행하고, 관련 법규 및 규정의 중대한 변경 시 이에 대한 추가교육을 수행하고 있는가?◌ 임직원 채용 및 외부자 신규 계약 시 업무 시작 전에 정보보호 및 개인정보보호 교육을 시행하고 있.. 2026. 1. 22.

[인증기준] 2.2 인적 보안 / 2.2.3 보안 서약 항 목 2.2.3 보안 서약인증기준정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다.주요 확인사항◌ 신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받고 있는가?◌ 임시직원, 외주용역직원 등 외부자에게 정보자산에 대한 접근권한을 부여할 경우 정보보호 및 개인정보보호에 대한 책임, 비밀유지 의무 등이 명시된 서약서를 받고 있는가?◌ 임직원 퇴직 시 별도의 비밀유지에 관련한 서약서를 받고 있는가?◌ 정보보호, 개인정보보호 및 비밀유지 서약서는 안전하게 보관하고 필요 시 쉽게 찾아볼 수 있도록 관리하고 있는가? 세부 .. 2026. 1. 22.

[인증기준] 2.2 인적 보안 / 2.2.2 직무 분리 항 목 2.2.2 직무 분리인증기준권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다.주요 확인사항◌ 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하여 적용하고 있는가?◌ 직무 분리가 어려운 경우 직무자 간 상호 검토, 상위관리자 정기 모니터링 및 변경사항 승인, 책임추적성 확보 방안 등의 보완통제를 마련하고 있는가? 세부 설명□ 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 다음과 같이 직무 분리 기준을 수립하여 적용하여야 한다.◌ 개발과 운영 직무 분리◌ 정보보호담당자, 개인정보취급자와 정보보호 및 개인정보 모니터링 직무 .. 2026. 1. 22.

[인증기준] 2.2 인적 보안 / 2.2.1 주요 직무자 지정 및 관리 항 목 2.2.1 주요 직무자 지정 및 관리인증기준개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.주요 확인사항◌ 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가?◌ 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가?◌ 업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하고 있는가?◌ 업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립·이행하고 있는가?관련 법규◌ 개인정보 보호법 제28조(개인정보취급자에 대한 감독), 제29조(안.. 2026. 1. 22.

이전 1 2 3 4 ··· 6 다음

티스토리툴바