1.통제 목적
정보보호와 개인정보보호 정책 및 시행문서를 수립,작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다.
2.주요 확인 사항
- 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책을 수립하였는가?
- 정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기등을 규정한 지침, 절차, 메뉴얼 등을 수립하고 있는가?
- 정보보호 및 개인정보보호 정책, 시행문서의 제,개정 시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받고 있는가?
- 정보보호 및 개인정보보호 정책, 시행문서의 최신본을 관련 임직원에게 이해하기 쉬운 형태로 제공하고 있는가?
3.결함 사례
1)내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제,개정 시에는 정보보호 및 개인정보보호 위원회의 의결을 거치도록 하고 있으나, 최근 정책서 개정 시 위원회에 안건으로 상정하지 않고 정보보호 최고책임자 및 개인정보 보호책임자의 승인을 근거로만 개정한 경우
2)정보보호 및 개인정보보호 정책 및 지침서가 최근에 개정되었으나, 해당 사항이 관련 부서 및 임직원에게 공유,전달되지 않아 일부 부서에서는 구버전의 지침서를 기준으로 업무를 수행하고 있는 경우
3)정보보호 및 개인정보보호 정책 지침서를 보안부서에서만 관리하고 있고 임직원이 열람 할 수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우
'정보보호 및 개인정보보호 관리체계 > 항목별 참조 자료 모음' 카테고리의 다른 글
| 1.2.1 정보자산식별 (0) | 2020.11.30 |
|---|---|
| 1.1.6 자원할당 (0) | 2020.11.30 |
| 1.1.4 범위 설정 (0) | 2020.11.25 |
| 1.1.3 조직 구성 (0) | 2020.11.25 |
| 1.1.3 조직 구성 (0) | 2020.11.24 |