1.통제 목적
조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화 하여야 한다.
2.주요 확인 사항
- 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가?
- 정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의,책임자 승인 등 관련 근거를 기록,관리하고 있는가?
- 정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무현황, 정보시스템 목록, 문서 목록 등)이 포함된 문서를 작성하여 관리하고 있는가?
3.결함 사례
1) 정보시스템 및 개인정보처리시스템 개발 업무에 관련한 개발 및 시험 시스템, 외주업체직원, PC, 테스트용 단말기 등이 관리체계 범위에서 누락됨
2)정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사 결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 인증범위에 포함하지 않은 경우
3)인증범위 내 조직 및 인력에 적용하고 있는 보안시스템(PC 보안, 백신, 패치 등)을 인증범위에서 배제하고 있는 경우
4)정보통신망법에 따른 정보보호 관리체계 의무대상자 임에도 불고하고 인터넷에 공개되어 있는 일부 웹사이트가 관리체계 범위에서 누락된 경우
'정보보호 및 개인정보보호 관리체계 > 항목별 참조 자료 모음' 카테고리의 다른 글
| 1.1.6 자원할당 (0) | 2020.11.30 |
|---|---|
| 1.1.5 정책 수립 (0) | 2020.11.25 |
| 1.1.3 조직 구성 (0) | 2020.11.25 |
| 1.1.3 조직 구성 (0) | 2020.11.24 |
| 1.1.2 최고책임자 지정 (0) | 2020.11.16 |