7.1.1. 법적 요구사항 준수 + 7.1.2. 정보보호 정책 준수 + 7.2.1. 독립적 보안감사
1. 법 및 정책 준수의 개요
가. 법 및 정책 준수의 정의
-기관이 준수해야 할 다양한 법률을 식별하고 식별된 법률에서 요구하는 다양한 사항을 반영하여 미준수 시 발생되는 위험을 감소시키는 관리 활동
나. 법 및 정책 준수의 특징
| 법률 위반 위험 감소 | 기관이 해당 업무를 수행함에 있어 관련된 다양한 법률을 식별하고 검토하여 위반 가능성 감소 |
| 고객 신뢰도 | 고객과의 계약으로부터 발생되는 다양한 요구사항도 반영하여 평소 업무 수행 시 준수하고 증적 생성 및 보관 |
| 보안 감사 | 주기적으로 보안 요구사항의 준수여부를 독립적 감사를 통해 점검 및 보완 |
2. 법 및 정책 준수 방안의 개념도 및 설명
가. 법 및 정책 준수 방안의 개념도
나. 법 및 정책 준수 방안의 설명
| 구분 | 특징 | 설명 |
| 방안 A | -임직원이 준수해야 할 기준에 대한 뚜렷한 기준선 제시 가능 -요구사항, 법률, 정책/지침의 일관성 유지 |
-기관이 준수하여야 할 법률 등 식별 -고객과의 계약 등에서 발생되는 중요 요구사항 식별 -식별된 다양한 요구사상이 반영된 정책/지침 수립 -주기적으로 정책 및 지침의 준수 여부 확인 -법률, 기업 환경 등이 변경 사항을 주기적으로 검토 및 반영 |
| 방안 B | -임직원이 준수해야 할 법률에 대한 인식 차이 발생 -임직원이 준수해야 할 기준의 명확한 제시 어려움 |
-고객과의 계약 등에서 발생되는 중요 요구사항 식별하여 정책 및 지침에 반영 -기관이 준수하여야 할 법률 등은 식별 -정책/지침과 법률 요구사항을 각각 해당 업무에 적용 후 준수 유무 확인 |
-업무에서 정책 및 지침의 준수 여부를 감사 등을 통해 점검하기 위해서는 적절하게 증적 생성 필요
3. 법 및 정책 준수 여부 점검 방법 가이드
| 법적 요구사항 식별 | 법률 현황 및 법률 요구사항을 다양한 도구를 통해 식별 |
| 주기적인 요구사항 업그레이드 | 주기적인 검토를 통해 법률 변경 사항 반영 |
| 정책 및 지침 검토 | 법률 요구사항의 정책 및 지침 반영 여부 검토 |
| 정책 및 지침 제개정 | 법률 요구사항을 반영하지 못하는 미흡한 부분 제개정 |
| 주기적 점검 | 정책 및 지침을 기반으로 주기적인 내부 점검/감사 수행 |
-대내외적으로 법적 요구사항의 준수여부를 명확하게 설명하기 위해서는 각 활동의 결과를 문서 등을 통해 확인 가능하도록 관리
'(부제) 나는 CISO 이다 > ISMS-P 인증심사' 카테고리의 다른 글
| (ISMS-P) 관리자 계정을 공용으로 사용하는 문제점 (0) | 2021.07.09 |
|---|---|
| (ISMS-P) 개인정보 유출 및 침해사고 등 발생 시 신고기관 및 이용자 통지 (0) | 2021.06.29 |
| (ISMS-P) (Oracle) Database Audit Log 관리 방법 (1) | 2021.06.24 |
| (ISMS-P) 개인정보 수집 이용 제공 동의 시 미흡사항 (0) | 2021.06.16 |
| (ISMS-P) 화상회의 서비스 인증 시 추가 점검 기준 (0) | 2021.06.14 |
댓글