Search

2.1 정책, 조직, 자산 관리

영역
2. 보호대책 요구사항
적용여부
ISMS
ISMS-P

2.1.1 정책의 유지관리

상세 내용

정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제∙개정하고 그 내역을 이력관리하여야 한다.

주요 확인사항

정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립∙이행하고 있는가?
조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요시 제∙개정하고 있는가?
정보보호 및 개인정보보호 관련 정책 및 시행문서의 제∙개정 시 이해 관계자의 검토를 받고 있는가?
정보보호 및 개인정보보호 관련 정책 및 시행문서의 제∙개정 내역에 대하여 이력 관리를 하고 있는가?

2.1.2 조직의 유지관리

상세 내용

조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다.

주요 확인사항

정보보호 및 개인정보보호 관련 책임자와 담당자의 역할 및 책임을 명확히 정의하고 있는가?
정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가?
정보보호 및 개인정보보호 관련 조직 및 조직의 구성원간 상호 의사소통할 수 있는 체계 및 절차를 수립∙이행하고 있는가?

2.1.3 정보자산 관리

상세 내용

정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립∙이행하고, 자산별 책임소재를 명확히 정의하여 관리하여야 한다.

주요 확인사항

정보자산의 보안등급에 따른 취급절차(생성∙도입, 저장, 이용, 파기) 및 보호대책을 정의하고 이행하고 있는가?
식별된 정보자산에 대하여 책임자 및 관리자를 지정하고 있는가?