구분 변경 전 변경 후
항목 1.3.1 보호대책 구현 -
상세내용 선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다. -
주요 확인사항 ∙ 이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여부를 경영진이 확인할 수 있도록 보고하고 있는가?
∙ 관리체계 인증기준 별로 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하고 있는가?		 -

 

구분 변경 전 변경 후
항목 1.3.2 보호대책 공유 -
상세내용 보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다. -
주요 확인사항 ∙ 구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하고 있는가?
∙ 구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하고 있는가?		 -

 

구분 변경 전 변경 후
항목 1.3.3 운영현황 관리 -
상세내용 조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행하여야 하는 운영활동 및 수행 내역은 식별 및 추적이 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영활동의 효과성을 확인하여 관리하여야 한다. -
주요 확인사항 ∙ 관리체계 운영을 위해 주기적 또는 상시적으로 수행해야 하는 정보보호 및 개인정보보호 활동을 문서화하여 관리하고 있는가?
∙ 경영진은 주기적으로 관리체계 운영활동의 효과성을 확인하고 이를 관리하고 있는가?		 -
저작자표시 비영리 변경금지

'ISMS-P > 23.9.15 개보법 개정 이후 자료' 카테고리의 다른 글

ISMS 인증 조항 - 2.3 외부자 보안  (0) 2023.11.08
ISMS 인증 조항 - 1.4 관리체계 점검 및 개선  (0) 2023.11.08
ISMS 인증 조항 - 1.2 위험 관리  (0) 2023.11.08
정보보호 및 개인정보보호 관리체계 인증 고시 변경  (0) 2023.11.08
ISMS 인증 조항 - 2.9 시스템 및 서비스 운영 관리  (0) 2023.11.08

 

구분 변경 전 변경 후
항목 1.2.1 정보자산 식별 -
상세내용 조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별∙분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다. -
주요 확인사항 ∙ 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는가?
∙ 식별된 정보자산에 대해 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가?
∙ 정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가?		 -

 

구분 변경 전 변경 후
항목 1.2.2 현황 및 흐름분석 -
상세내용 관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다. -
주요 확인사항 ∙ 관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화하고 있는가?
∙ 관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보흐름도 등으로 문서화하고 있는가?
∙ 서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 주기적으로 검토하여 흐름도 등 관련 문서의 최신성을 유지하고 있는가?		 -

 

구분 변경 전 변경 후
항목 1.2.3 위험 평가 -
상세내용 조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다. -
주요 확인사항 ∙ 조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가?
∙ 위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)를 구체화한 위험관리계획을 매년 수립하고 있는가?
∙ 위험관리계획에 따라 연 1회 이상 정기적으로 또는 필요한 시점에 위험평가를 수행하고 있는가?
∙ 조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하고 있는가?
∙ 위험식별 및 평가 결과를 경영진에게 보고하고 있는가?		 -

 

구분 변경 전 변경 후
항목 1.2.4 보호대책 선정 -
상세내용 위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정∙담당자∙예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다. -
주요 확인사항 ∙ 식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정하고 있는가?
∙ 보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에 보고하고 있는가?		 -
저작자표시 비영리 변경금지

'ISMS-P > 23.9.15 개보법 개정 이후 자료' 카테고리의 다른 글

ISMS 인증 조항 - 1.4 관리체계 점검 및 개선  (0) 2023.11.08
ISMS 인증 조항 - 1.3 관리체계 운영  (0) 2023.11.08
정보보호 및 개인정보보호 관리체계 인증 고시 변경  (0) 2023.11.08
ISMS 인증 조항 - 2.9 시스템 및 서비스 운영 관리  (0) 2023.11.08
ISMS 인증 조항 - 2.8 정보시스템 도입 및 개발 보안  (0) 2023.11.08

조문별 제ㆍ개정이유서
(정보보호 및 개인정보보호 관리체계 인증등에 관한 고시)

 

1. 개정이유

해당 개정안은 「개인정보 보호법」 개정(법률 제19234호, 2023.3.14.공포, 2023. 9.15.시행) 및 같은 법 시행령 개정안(2023.5.19. 입법예고)의 변경된 내용을반영하고, 개인정보 보호법 상의 원칙을 중심으로 인증 체계를 정비하기위해 「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」 별표7의인증기준을 개정하고자 함

 

2. 주요내용

가. 인증기준 현행화 및 체계 정비

- 개인정보 보호법 및 동법 시행령 개정사항*을 반영하여 인증기준 정비

* 개인정보 수집·이용, 이동형 영상정보 처리기기, 가명정보 처리, 개인정보 처리위탁, 휴면이용자개인정보 파기규정 삭제 등의 법 개정사항을 인증기준에 반영

 

- 개인정보 보호법 상 원칙을 중심으로 인증기준 체계 정비

* 구체적이고 세부적인 점검 사항을 기술한 인증항목(개인정보 표시제한 및 이용 시 보호조치(3.2.3)를 삭제하고, 응용프로그램 접근(2.6.3), 업무환경 보안(2.4.7), 가명정보 처리(3.2.5) 항목하위의 세부 점검항목으로 분산 이관

 

나. 정보보호관리체계 인증 기준

구분 분야 항목 내용
관리체계 수립

운영		 1.1.  관리체계 기반 마련 1.1.1 경영진의 참여  
1.1.2 최고책임자의 지정  
1.1.3 조직 구성  
1.1.4 범위 설정   
1.1.5 정책 수립  
1.1.6 자원 할당  
1.2.  위험 관리 1.2.1 정보자산 식별  
1.2.2 현황 및 흐름분석  
1.2.3 위험 평가  
1.2.4 보호대책 선정  
1.3.  관리체계 운영 1.3.1 보호대책 구현  
1.3.2 보호대책 공유  
1.3.3 운영현황 관리  
1.4.  관리체계 점검 및 개선 1.4.1 법적 요구사항 준수 검토  
1.4.2 관리체계 점검  
1.4.3 관리체계 개선  
보호대책
요구사항		 2.1.  정책, 조직, 자산 관리 2.1.1 정책의 유지관리  
2.1.2 조직의 유지관리  
2.1.3 정보자산 관리  
2.2.  인적 보안 2.2.1 주요 직무자 지정 및 관리  
2.2.2 직무 분리  
2.2.3 보안 서약  
2.2.4 인식제고 및 교육훈련  
2.2.5 퇴직 및 직무변경 관리  
2.2.6 보안 위반 시 조치  
2.3.  외부자 보안 2.3.1 외부자 현황 관리  
2.3.2 외부자 계약 시 보안  
2.3.3 외부자 보안 이행 관리 수정
2.3.4 외부자 계약 변경 및 만료 시 보안  
2.4.  물리 보안 2.4.1 보호구역 지정  
2.4.2  출입통제  
2.4.3 정보시스템 보호  
2.4.4 보호설비 운영  
2.4.5 보호구역 내 작업  
2.4.6 반출입 기기 통제  
2.4.7 업무환경 보안 추가
2.5. 인증 및 권한관리 2.5.1 사용자 계정 관리  
2.5.2 사용자 식별  
2.5.3 사용자 인증  
2.5.4  비밀번호 관리 수정 및 추가
2.5.5 특수 계정 및 권한 관리  
2.5.6 접근권한 검토  
2.6. 접근통제  2.6.1 네트워크 접근  
2.6.2 정보시스템 접근  
2.6.3 응용프로그램 접근 수정 및 추가
2.6.4 데이터베이스 접근  
2.6.5 무선 네트워크 접근  
2.6.6 원격접근 통제  
2.6.7 인터넷 접속 통제 수정
2.7.  암호화 적용 2.7.1 암호정책 적용  
2.7.2 암호키 관리  
2.8. 정보시스템 도입 및 개발 보안 2.8.1 보안 요구사항 정의  
2.8.2 보안 요구사항 검토 및 시험  
2.8.3 시험과 운영 환경 분리   
2.8.4 시험 데이터 보안  
2.8.5 소스 프로그램 관리  
2.8.6 운영환경 이관  
2.9. 시스템 및 서비스 운영관리 2.9.1 변경관리  
2.9.2 성능 및 장애관리  
2.9.3 백업 및 복구관리  
2.9.4 로그 및 접속기록 관리 수정
2.9.5 로그 및 접속기록 점검  
2.9.6 시간 동기화  
2.9.7 정보자산의 재사용 및 폐기  
2.10. 시스템 및 서비스 보안관리 2.10.1 보안시스템 운영  
2.10.2 클라우드 보안  
2.10.3 공개서버 보안  
2.10.4 전자거래 및 핀테크 보안  
2.10.5 정보전송 보안  
2.10.6 업무용 단말기기 보안  
2.10.7 보조저장매체 관리  
2.10.8 패치관리  
2.10.9 악성코드 통제  
2.11.  사고 예방 및 대응 2.11.1 사고 예방 및 대응체계 구축  
2.11.2 취약점 점검 및 조치  
2.11.3  이상행위 분석 및 모니터링  
2.11.4 사고 대응 훈련 및 개선  
2.11.5 사고 대응 및 복구  
2.12.  재해복구 2.12.1 재해∙재난 대비 안전조치  
2.12.2 재해 복구 시험 및 개선  
개인정보
처리 단계별
보호조치		 3.1.  개인정보 수집 시 보호조치 3.1.1 개인정보 수집∙이용 조항 3.1.2 -> 3.1.1로 변경, 수정 및 추가
3.1.2 개인정보 수집 제한 조항 3.1.1 -> 3.1.2로 변경, 수정
3.1.3 주민등록번호 처리 제한 수정
3.1.4 민감정보 및 고유식별정보의 처리 제한 추가
3.1.5 개인정보 간접수집  
3.1.6 영상정보처리기기 설치∙운영  수정 및 추가
3.1.7 마케팅 목적의 개인정보 수집∙이용  
3.2. 개인정보 보유 및 이용시 보호조치 3.2.1 개인정보 현황관리  
3.2.2 개인정보 품질보장  
3.2.3 개인정보 표시제한 및 이용 시 보호조치 삭제
3.2.3 이용자 단말기 접근 보호 조항 3.2.4 -> 3.2.3으로 변경
3.2.4 개인정보 목적 외 이용 및 제공 조항 3.2.5 -> 3.2.4로 변경, 수정 및 추가
3.2.5 가명정보 처리 신규
3.3. 개인정보 제공 시 보호조치 3.3.1 개인정보 제3자 제공 수정 및 추가
3.3.2 개인정보 처리 업무 위탁 조항명 변경, 수정
3.3.4 개인정보 국외이전 조항명 변경, 수정
3.3. 개인정보 파기 시 보호조치 3.4.1 개인정보 파기 조항명 변경
3.4.2 처리목적 달성 후 보유 시 조치  
3.4.3 휴면 이용자 관리 삭제
3.4. 정보주체 권리보호 3.5.1 개인정보 처리방침 공개 수정
3.5.2 정보주체 권리보장 수정
3.5.3 정보주체에 대한 통지 조항명 변경, 수정

 

표시 설명

ㅇ 신규: 새로운 조항 생성

ㅇ 삭제: 조항 삭제

ㅇ 수정: 이전조항의 문구 및 내용이 변경

ㅇ 추가: 이전조항에서 새로운 주요확인사항 추가

 

 

 

 

관련근거

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS061&mCode=C010010000&nttId=9077#LINK

저작자표시 비영리 변경금지

'ISMS-P > 23.9.15 개보법 개정 이후 자료' 카테고리의 다른 글

ISMS 인증 조항 - 1.3 관리체계 운영  (0) 2023.11.08
ISMS 인증 조항 - 1.2 위험 관리  (0) 2023.11.08
ISMS 인증 조항 - 2.9 시스템 및 서비스 운영 관리  (0) 2023.11.08
ISMS 인증 조항 - 2.8 정보시스템 도입 및 개발 보안  (0) 2023.11.08
ISMS 인증 조항 - 2.7 암호화 적용  (0) 2023.11.08
구분 변경 전 변경 후
항목 2.9.1 변경관리 -
상세내용 정보시스템 관련 자산의 모든 변경내역을 관리할 수 있도록 절차를 수립∙이행하고, 변경 전 시스템의 성능 및 보안에 미치는 영향을 분석하여야 한다. -
주요
확인사항		 ∙ 정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한 절차를 수립∙이행하고 있는가?
∙ 정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하고 있는가?고 있는가?		 -

 

구분 변경 전 변경 후
항목 2.9.2 성능 및 장애관리 -
상세내용 정보시스템의 가용성 보장을 위하여 성능 및 용량 요구사항을 정의하고 현황을 지속적으로 모니터링하여야 하며, 장애 발생 시 효과적으로 대응하기 위한 탐지∙기록∙분석∙복구∙보고 등의 절차를 수립∙관리하여야 한다. -
주요
확인사항		 ∙ 정보시스템의 가용성 보장을 위하여 성능 및 용량을 지속적으로 모니터링 할 수 있는 절차를 수립∙이행하고 있는가?
∙ 정보시스템 성능 및 용량 요구사항(임계치)을 초과하는 경우에 대한 대응절차를 수립∙이하고 있는가?
∙ 정보시스템 장애를 즉시 인지하고 대응하기 위한 절차를 수립∙이행하고 있는가?
∙ 장애 발생 시 절차에 따라 조치하고 장애조치보고서 등을 통해 장애조치내역을 기록하여 관리하고 있는가?
∙ 심각도가 높은 장애의 경우 원인분석을 통한 재발방지 대책을 마련하고 있는가?		 -

 

구분 변경 전 변경 후
항목 2.9.3 백업 및 복구관리 -
상세내용 정보시스템의 가용성과 데이터 무결성을 유지하기 위하여 백업 대상, 주기, 방법, 보관장소, 보관기간, 소산 등의 절차를 수립∙이행하여야 한다. 아울러 사고 발생 시 적시에 복구할 수 있도록 관리하여야 한다. -
주요
확인사항		 ∙ 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구절차를 수립∙이행하고 있는가?
∙ 백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하고 있는가?
∙ 중요정보가 저장된 백업매체의 경우 재해∙재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하고 있는가?		 -

 

구분 변경 전 변경 후
항목 2.9.4 로그 및 접속기록 관리 -
상세내용 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 사용자 접속기록, 시스템로그, 권한부여 내역 등의 로그유형, 보존기간, 보존방법 등을 정하고 위∙변조, 도난, 분실 되지 않도록 안전하게 보존∙관리하여야 한다. -
주요
확인사항		 ∙ 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 로그관리 절차를 수립하고 이에 따라 필요한 로그를 생성하여 보관하고 있는가?
∙ 정보시스템의 로그기록은 별도 저장장치를 통하여 백업하고, 로그기록에 대한 접근 권한은 최소화하여 부여하고 있는가?
∙ 개인정보처리시스템에 대한 접속기록은 법적 요구사항을 준수할 수 있도록 필요한 항목을 모두 포함하여 일정기간 안전하게 보관하고 있는가?		 ∙ 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 로그관리 절차를 수립하고 이에 따라 필요한 로그를 생성하여 보관하고 있는가?
∙ 정보시스템의 로그기록은 위∙변조 및 도난, 분실되지 않도록 안전하게 보관하고 로그기록에 대한 접근권한은 최소화하여 부여하고 있는가?
∙ 개인정보처리시스템에 대한 접속기록은 법적 요구사항을 준수할 수 있도록 필요한 항목을 모두 포함하여 일정기간 안전하게 보관하고 있는가?

 

구분 변경 전 변경 후
항목 2.9.5 로그 및 접속기록 점검 -
상세내용 정보시스템의 정상적인 사용을 보장하고 사용자 오∙남용(비인가접속, 과다조회 등)을 방지하기 위하여 접근 및 사용에 대한 로그 검토기준을 수립하여 주기적으로 점검하며, 문제 발생 시 사후조치를 적시에 수행하여야 한다. -
주요
확인사항		 ∙ 정보시스템 관련 오류, 오∙남용(비인가접속, 과다조회 등), 부정행위 등 이상징후를 인지할 수 있도록 로그 검토 주기, 대상, 방법 등을 포함한 로그 검토 및 모니터링 절차를 수립∙이행하고 있는가?
∙ 로그 검토 및 모니터링 결과를 책임자에게 보고하고 이상징후 발견 시 절차에 따라 대응하고 있는가?
∙ 개인정보처리시스템의 접속기록은 관련 법령에서 정한 주기에 따라 정기적으로 점검하고 있는가?		 -

 

구분 변경 전 변경 후
항목 2.9.6 시간 동기화 -
상세내용 로그 및 접속기록의 정확성을 보장하고 신뢰성 있는 로그분석을 위하여 관련 정보시스템의 시각을 표준시각으로 동기화하고 주기적으로 관리하여야 한다. -
주요
확인사항		 ∙ 정보시스템의 시간을 표준시간으로 동기화하고 있는가?
∙ 시간 동기화가 정상적으로 이루어지고 있는지 주기적으로 점검하고 있는가?		 -

 

구분 변경 전 변경 후
항목 2.9.7 정보자산의 재사용 및 폐기 -
상세내용 정보자산의 재사용과 폐기 과정에서 개인정보 및 중요정보가 복구∙재생되지 않도록 안전한 재사용 및 폐기 절차를 수립∙이행하여야 한다. -
주요
확인사항		 ∙ 정보자산의 안전한 재사용 및 폐기에 대한 절차를 수립∙이행하고 있는가?
∙ 정보자산 및 저장매체를 재사용 및 폐기하는 경우 개인정보 및 중요정보를 복구되지 않는 방법으로 처리하고 있는가?
∙ 자체적으로 정보자산 및 저장매체를 폐기할 경우 관리대장을 통해 폐기이력을 남기고 폐기확인 증적을 함께 보관하고 있는가?
∙ 외부업체를 통해 정보자산 및 저장매체를 폐기할 경우 폐기 절차를 계약서에 명시하고 완전히 폐기했는지 여부를 확인하고 있는가?
∙ 정보시스템, PC 등 유지보수, 수리 과정에서 저장매체 교체, 복구 등 발생 시 저장매체 내 정보를 보호하기 위한 대책을 마련하고 있는가?		 -
저작자표시 비영리 변경금지

'ISMS-P > 23.9.15 개보법 개정 이후 자료' 카테고리의 다른 글

ISMS 인증 조항 - 1.2 위험 관리  (0) 2023.11.08
정보보호 및 개인정보보호 관리체계 인증 고시 변경  (0) 2023.11.08
ISMS 인증 조항 - 2.8 정보시스템 도입 및 개발 보안  (0) 2023.11.08
ISMS 인증 조항 - 2.7 암호화 적용  (0) 2023.11.08
ISMS 인증 조항 - 2.6 접근통제  (0) 2023.11.08
구분 변경 전 변경 후
항목 2.8.1 보안 요구사항 정의 -
상세내용 정보시스템의 도입∙개발∙변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다. -
주요
확인사항		 ∙ 정보시스템을 신규로 도입∙개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성 검토 및 인수 절차를 수립∙이행하고 있는가?
∙ 정보시스템을 신규로 도입∙개발 또는 변경하는 경우 법적 요구사항, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영하고 있는가?
∙ 정보시스템의 안전한 구현을 위한 코딩 표준을 수립하여 적용하고 있는가?		 -

 

구분 변경 전 변경 후
항목 2.8.2 보안 요구사항 검토 및 시험 -
상세내용 사전 정의된 보안 요구사항에 따라 정보시스템이 도입 또는 구현되었는지를 검토하기 위하여 법적 요구사항 준수, 최신 보안취약점 점검, 안전한 코딩 구현, 개인정보 영향평가 등의 검토 기준과 절차를 수립∙이행하고, 발견된 문제점에 대한 개선조치를 수행하여야 한다. -
주요
확인사항		 ∙ 정보시스템의 도입, 개발, 변경 시 분석 및 설계 단계에서 정의한 보안 요구사항이 효과적으로 적용되었는지를 확인하기 위한 시험을 수행하고 있는가?
∙ 정보시스템이 안전한 코딩 기준 등에 따라 안전하게 개발되었는지를 확인하기 위한 취약점 점검이 수행되고 있는가?
∙ 시험 및 취약점 점검 과정에서 발견된 문제점이 신속하게 개선될 수 있도록 개선계획 수립, 이행점검 등의 절차를 이행하고 있는가?
∙ 공공기관은 관련 법령에 따라 개인정보처리시스템 신규 개발 및 변경 시 분석∙설계 단계에서 영향평가기관을 통해 영향평가를 수행하고 그 결과를 개발 및 변경 시 반영하고 있는가?		 -

 

구분 변경 전 변경 후
항목 2.8.3 시험과 운영 환경 분리 -
상세내용 개발 및 시험 시스템은 운영시스템에 대한 비인가 접근 및 변경의 위험을 감소시키기 위하여 원칙적으로 분리하여야 한다.  -
주요
확인사항		 ∙ 정보시스템의 개발 및 시험 시스템을 운영시스템과 분리하고 있는가?
∙ 불가피한 사유로 개발과 운영환경의 분리가 어려운 경우 상호검토, 상급자 모니터링, 변경 승인, 책임추적성 확보 등의 보안대책을 마련하고 있는가?		 -

 

구분 변경 전 변경 후
항목 2.8.4 시험 데이터 보안 -
상세내용 시스템 시험 과정에서 운영데이터의 유출을 예방하기 위하여 시험 데이터의 생성과 이용 및 관리, 파기, 기술적 보호조치에 관한 절차를 수립∙이행하여야 한다. -
주요
확인사항		 ∙ 정보시스템의 개발 및 시험 과정에서 실제 운영 데이터의 사용을 제한하고 있는가?
∙ 불가피하게 운영데이터를 시험 환경에서 사용할 경우 책임자 승인, 접근 및 유출 모니터링, 시험 후 데이터 삭제 등의 통제 절차를 수립∙이행하고 있는가?		 -

 

구분 변경 전 변경 후
항목 2.8.5 소스 프로그램 관리 -
상세내용 소스 프로그램은 인가된 사용자만이 접근할 수 있도록 관리하고, 운영환경에 보관하지 않는 것을 원칙으로 하여야 한다. -
주요
확인사항		 ∙ 비인가된 자에 의한 소스 프로그램 접근을 통제하기 위한 절차를 수립∙이행하고 있는가?
∙ 소스 프로그램은 장애 등 비상시를 대비하여 운영환경이 아닌 곳에 안전하게 보관하고 있는가?
∙ 소스 프로그램에 대한 변경이력을 관리하고 있는가?		 -

 

구분 변경 전 변경 후
항목 2.8.6 운영환경 이관 -
상세내용 신규 도입∙개발 또는 변경된 시스템을 운영환경으로 이관할 때는 통제된 절차를 따라야 하고, 실행코드는 시험 및 사용자 인수 절차에 따라 실행되어야 한다. -
주요
확인사항		 ∙ 신규 도입∙개발 및 변경된 시스템을 운영환경으로 안전하게 이관하기 위한 통제 절차를 수립∙이행하고 있는가?
∙ 운영환경으로의 이관 시 발생할 수 있는 문제에 대한 대응 방안을 마련하고 있는가?
∙ 운영환경에는 서비스 실행에 필요한 파일만을 설치하고 있는가?		 -
저작자표시 비영리 변경금지

'ISMS-P > 23.9.15 개보법 개정 이후 자료' 카테고리의 다른 글

정보보호 및 개인정보보호 관리체계 인증 고시 변경  (0) 2023.11.08
ISMS 인증 조항 - 2.9 시스템 및 서비스 운영 관리  (0) 2023.11.08
ISMS 인증 조항 - 2.7 암호화 적용  (0) 2023.11.08
ISMS 인증 조항 - 2.6 접근통제  (0) 2023.11.08
ISMS 인증 조항 - 1.1 관리체계 기반 마련  (0) 2023.11.07
구분 변경 전 변경 후
항목 2.7.1 암호정책 적용 -
상세내용 개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장∙전송∙전달 시 암호화를 적용하여야 한다. -
주요
확인사항		 ∙ 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가?
∙ 암호정책에 따라 개인정보 및 주요정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가?		 -

 

구분 변경 전 변경 후
항목 2.7.2 암호키 관리 -
상세내용 암호키의 안전한 생성∙이용∙보관∙배포∙파기를 위한 관리 절차를 수립∙이행하고, 필요 시 복구방안을 마련하여야 한다. -
주요
확인사항		 ∙ 암호키 생성, 이용, 보관, 배포, 변경, 복구, 파기 등에 관한 절차를 수립∙이행하고 있는가?
∙ 암호키는 필요시 복구가 가능하도록 별도의 안전한 장소에 보관하고 암호키 사용에 관한 접근권한을 최소화하고 있는가?		 -
저작자표시 비영리 변경금지

'ISMS-P > 23.9.15 개보법 개정 이후 자료' 카테고리의 다른 글

정보보호 및 개인정보보호 관리체계 인증 고시 변경  (0) 2023.11.08
ISMS 인증 조항 - 2.9 시스템 및 서비스 운영 관리  (0) 2023.11.08
ISMS 인증 조항 - 2.8 정보시스템 도입 및 개발 보안  (0) 2023.11.08
ISMS 인증 조항 - 2.6 접근통제  (0) 2023.11.08
ISMS 인증 조항 - 1.1 관리체계 기반 마련  (0) 2023.11.07
구분 변경 전 변경 후
항목 2.6.1 네트워크 접근 -
상세내용 네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립∙이행하고, 업무목적 및 중요도에 따라 네트워크 분리(DMZ, 서버팜, DB존, 개발존 등)와 접근통제를 적용하여야 한다. -
주요
확인사항		 ∙ 조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고 접근통제 정책에 따라 내부 네트워크는 인가된 사용자만이 접근할 수 있도록 통제하고 있는가?
∙ 서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역간 접근통제를 적용하고 있는가?
∙ 네트워크 대역별 IP주소 부여 기준을 마련하고 DB서버 등 외부 연결이 필요하지 않은 경우 사설 IP로 할당하는 등의 대책을 적용하고 있는가?
∙ 물리적으로 떨어진 IDC, 지사, 대리점 등과의 네트워크 연결 시 전송구간 보호대책을 마련하고 있는가?		 -

 

구분 변경 전 변경 후
항목 2.6.2 정보시스템 접근 -
상세내용 서버, 네트워크시스템 등 정보시스템에 접근을 허용하는 사용자, 접근제한 방식, 안전한 접근수단 등을 정의하여 통제하여야 한다. -
주요
확인사항		 ∙ 서버, 네트워크시스템, 보안시스템 등 정보시스템 별 운영체제(OS)에  접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하고 있는가?
∙ 정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 하고 있는가?
∙ 정보시스템의 사용목적과 관계없는 서비스를 제거하고 있는가?
∙ 주요 서비스를 제공하는 정보시스템은 독립된 서버로 운영하고 있는가?		 -

 

구분 변경 전 변경 후
항목 2.6.3 응용프로그램 접근 -
상세내용 사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고, 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용하여야 한다. -
주요
확인사항		 ∙ 중요정보 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하고 있는가?
∙ 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하고 있는가?
∙ 일정시간 동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하고 있는가?
∙ 관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 비인가자가 접근할 수 없도록 접근을 통제하고 있는가?


 ∙ 중요정보 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하고 있는가?
개인정보 및 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하고 있는가?
∙ 일정 시간동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하고 있는가?
∙ 관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 비인가자가 접근할 수 없도록 접근을 통제하고 있는가?
∙ 개인정보 및 중요정보의 표시제한 보호조치의 일관성을 확보할 수 있도록 관련 기준을 수립하여 적용하고 있는가?

 

구분 변경 전 변경 후
항목 2.6.4 데이터베이스 접근 -
상세내용 테이블 목록 등 데이터베이스 내에서 저장∙관리되고 있는 정보를 식별하고, 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립∙이행하여야 한다. -
주요
확인사항		 ∙ 데이터베이스의 테이블 목록 등 저장∙관리되고 있는 정보를 식별하고 있는가?
∙ 데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고 접근통제 정책에 따라 통제하고 있는가?		 -

 

구분 변경 전 변경 후
항목 2.6.5 무선 네트워크 접근 -
상세내용 무선 네트워크를 사용하는 경우 사용자 인증, 송수신 데이터 암호화, AP 통제 등 무선 네트워크 보호대책을 적용하여야 한다. 또한 AD Hoc 접속, 비인가 AP 사용 등 비인가 무선 네트워크 접속으로부터 보호대책을 수립∙이행하여야 한다. -
주요
확인사항		 ∙ 무선네트워크를 업무적으로 사용하는 경우 무선 AP 및 네트워크 구간 보안을 위해 인증, 송수신 데이터 암호화 등 보호대책을 수립∙이행하고 있는가?
∙ 인가된 임직원만이 무선네트워크를 사용할 수 있도록 사용 신청 및 해지 절차를 수립∙이행하고 있는가?
∙ AD Hoc 접속 및 조직내 허가 받지 않은 무선 AP 탐지∙차단 등 비인가된 무선네트워크에 대한 보호대책을 수립∙이행하고 있는가?		 -

 

구분 변경 전 변경 후
항목 2.6.6 원격접근 통제 -
상세내용 보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고, 재택근무∙장애대응∙원격협업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안(백신, 패치 등) 등 보호대책을 수립∙이행하여야 한다. -
주요
확인사항		 ∙ 인터넷과 같은 외부 네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하고 장애대응 등 부득이하게 허용하는 경우 보완대책을 마련하고 있는가?
∙ 내부 네트워크를 통해서 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하고 있는가?
∙ 재택근무, 원격협업, 스마트워크 등과 같은 원격업무 수행 시 중요정보 유출, 해킹 등 침해사고 예방을 위한 보호대책을 수립∙이행하고 있는가?
∙ 개인정보처리시스템의 관리, 운영, 개발, 보안 등을 목적으로 원격으로 개인정보처리시스템에 접속하는 단말기는 관리용 단말기로 지정하고 임의조작 및 목적 외 사용 금지 등 안전조치를 적용하고 있는가?		 -

 

구분 변경 전 변경 후
항목 2.6.7 인터넷 접속 통제 -
상세내용 인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여 주요 정보시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스(P2P, 웹하드, 메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립∙이행하여야 한다. -
주요
확인사항		 ∙ 주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제정책을 수립∙이행하고 있는가?
∙ 주요 정보시스템(DB서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가?
∙ 관련 법령에 따라 인터넷 망분리 의무가 부과된 경우 망분리 대상자를 식별하여 안전한 방식으로 망분리를 적용하고 있는가?

 ∙ 주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제정책을 수립∙이행하고 있는가?
∙ 주요 정보시스템(DB서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가?
∙ 관련 법령에 따라 인터넷망 차단 의무가 부과된 경우 대상자를 식별하여 안전한 방식으로 인터넷차단 조치를 적용하고 있는가?

 

저작자표시 비영리 변경금지

'ISMS-P > 23.9.15 개보법 개정 이후 자료' 카테고리의 다른 글

정보보호 및 개인정보보호 관리체계 인증 고시 변경  (0) 2023.11.08
ISMS 인증 조항 - 2.9 시스템 및 서비스 운영 관리  (0) 2023.11.08
ISMS 인증 조항 - 2.8 정보시스템 도입 및 개발 보안  (0) 2023.11.08
ISMS 인증 조항 - 2.7 암호화 적용  (0) 2023.11.08
ISMS 인증 조항 - 1.1 관리체계 기반 마련  (0) 2023.11.07
구분 변경 전 변경 후
항목 1.1.1 경영진의 참여 -
상세내용 최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다. -
주요 확인사항 ∙ 정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는가?
∙ 경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립∙이행하고 있는가?		 -

 

구분 변경 전 변경 후
항목 1.1.2 최고책임자의 지정 -
상세내용 최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산∙인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다. -
주요 확인사항 ∙ 최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가?
∙ 정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며 관련 법령에 따른 자격요건을 충족하고 있는가?		 -

 

구분 변경 전 변경 후
항목 1.1.3 조직 구성 -
상세내용 최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다. -
주요 확인사항 ∙ 정보보호 최고책임자 및 개인정보 보호책임자의 업무를 지원하고 조직의 정보보호 및 개인정보보호 활동을 체계적으로 이행하기 위해 전문성을 갖춘 실무조직을 구성하여 운영하고 있는가?
∙ 조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하고 있는가?
∙ 전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하고 있는가?		 -

 

구분 변경 전 변경 후
항목 1.1.4 범위 설정 -
상세내용 조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다. -
주요 확인사항 ∙ 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가?
∙ 정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의∙책임자 승인 등 관련 근거를 기록∙관리하고 있는가?
∙ 정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이 포함된 문서를 작성하여 관리하고 있는가?		 -

 

구분 변경 전 변경 후
항목 1.1.5 정책 수립 -
상세내용 정보보호와 개인정보보호 정책 및 시행문서를 수립∙작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다. -
주요 확인사항 ∙ 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책을 수립하고 있는가?
∙ 정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 지침, 절차, 매뉴얼 등을 수립하고 있는가?
∙ 정보보호 및 개인정보보호 정책∙시행문서의 제∙개정 시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받고 있는가?
∙ 정보보호 및 개인정보보호 정책∙시행문서의 최신본을 관련 임직원에게 접근하기 쉬운 형태로 제공하고 있는가?		 -

 

구분 변경 전 변경 후
항목 1.1.6 자원 할당 -
상세내용 최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다. -
주요 확인사항 ∙ 정보보호 및 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고 있는가?
∙ 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위해 필요한 자원을 평가하여 필요한 예산과 인력을 지원하고 있는가?
∙ 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립∙시행하고 그 추진결과에 대한 심사분석∙평가를 실시하고 있는가?		 -

 

저작자표시 비영리 변경금지

'ISMS-P > 23.9.15 개보법 개정 이후 자료' 카테고리의 다른 글

정보보호 및 개인정보보호 관리체계 인증 고시 변경  (0) 2023.11.08
ISMS 인증 조항 - 2.9 시스템 및 서비스 운영 관리  (0) 2023.11.08
ISMS 인증 조항 - 2.8 정보시스템 도입 및 개발 보안  (0) 2023.11.08
ISMS 인증 조항 - 2.7 암호화 적용  (0) 2023.11.08
ISMS 인증 조항 - 2.6 접근통제  (0) 2023.11.08

+ Recent posts

티스토리툴바