대마왕's 인덕원 클래스161

조직 규모가 크거나 다양한 사업을 수행하다 보면, 혹은 정치적인 이유로.. CPO가 다수인 경우가 있다. M&A를 다수 하는 경우에도 서비스마다 특성에 따라 CPO를 두는 경우가 있다. CPO가 1명이여야 한다고 어떤 고집 센 심사원은 결함을 주려고 한다. 하지만 법령에도 CPO가 1명이여야 한다는 규정은 없다. 고집 센 심사원은 생활법률 FAQ에서 공공기관을 대상으로 한 문답을 가지고 근거로 하는데... 일단 공공기관도 아니고, 생활법률도 유권 해석을 하는 기관도 아니다. 따라서 하나의 의견일 뿐이다. 심사가 자기가 보기에 문제가 있어 보아는 것을 결함으로 해서는 안된다. 법적 근거가 있거나, 인증 기준에 위배되거나, 내부 규정을 위반한 것이 결함이다. 주관적인 의견을 가지고 결함 보고서 쓰는 것은 올..

22년 9월 4주 웹으로 보기 │ 구독하기 💡 이번 주 PICK ⚡ Privacy Global Edge 2022 사전등록 안내 ⚡ 개인정보보호법 위반한 16개 지자체에 과태료 부과 ⚡ 한국기업, 2022년 데이터 유출로 기업당 43억, 3,400만원 피해 ⚡ 제21회 정보보호대상 공모 안내 개인정보보호 전문가들의 축제 'Privacy Global Edge & Asia Privacy Bridge Forum 2022'가 10월 13일(목) 여의도 전경련회관에서 개최됩니다. 지금 사전등록을 서둘러주세요!. 한국 기업, 2022년 데이터 유출로 기업당 43억 3,400억 피해 국내 데이터 유출 사고 원인, 1위 '사용자 인증 정보 도용' IBM 시큐리티는 한국을 포함한 전 세계 기업과 조직을 대상으로 데이터 유..

[용어정의] 정보보호관리과정 정보보호관리체계를 수립ㆍ운영하기 위하여 유지ㆍ관리해야 할 과정. 다음의 5 단계 활동을 말한다. 가. 정보보호정책 수립 나. 정보보호관리체계 범위설정 다. 위험관리 라. 구현 마. 사후관리 인증기관 정보통신망이용촉진및정보보호등에관한법률 제47조의 규정에 의한 한국정보보호진흥원을 말함 수요기관 정보보호관리체계 인증 획득에 관심이 있는 업체 및 기관 정보보호대책 정보보호관리체계를 수립․운영하기 위하여 선택한 통제사항 정보보호대책명세서 인증심사기준의 모든 통제사항에 대하여 위험분석을 통해 선정된 정보보호대책 또는 선정하지 않은 근거를 명시한 문서 정보보호계획서 위험관리 과정에서 채택한 대책들을 구현하기 위한 일정, 담당, 소요자원, 구현 방안 및 절차, 관련 교육 등을 구체적으로 ..

정보보호관리체계 체크리스트 정보보호관리체계의 정보보호관리과정 요구사항 14개, 문서화 요구사항 3개, 정보보호대책 15개 통제분야 120개 세부통제항목에 대해 자체적으로 점검할 수 있는 방법과 체크리스트를 작성하여 별도로 문서로 제공한다.

문서의 준비 정보보호관리체계 인증에는 많은 문서가 필요하다. 기본적으로 인증이란 제3자가 심사를 통하여 정보보호관리체계가 인증심사기준에 적합한지를 판단하는 것이기 때문에 내부자가 아닌 외부자에게 짧은 인증심사 기간 동안에 전반적인 정보보호관리체계의 운영 현황과 적절성을 신뢰할 수 있도록 하기 위해서는 정보보호관리체계의 내용과 규정, 그리고 실행에 관한 사항이 문서로 작성되어 있어야만 한다. 또한 정보보호관리체계의 규정에 따라 관리를 수행한 결과를 역시 문서나 전자 문서 등의 기록으로 증거 자료를 남겨야만 심사원들이 인증심사기간 외에도 정보보호관리체계가 잘 운영되고 있음을 확인할 수 있다. 이러한 문서는 또한 정보보호관리체계를 운영하는 데도 필수적이다. 해야 할 사항과 해서는 안 될 사항이 문서화되고 이의..

정보보호관리체계의 수립 인증을 받기 위해서는 제4장 제1절 인증 요구사항의 정보보호관리과정 요구사항에 따라 정보보호관리체계를 수립하고 운영해야 한다. 즉, 앞 장에서 설명한 5단계 관리 과정을 수행하여 정보보호관리체계를 수립하고 이를 운영해야 한다. 이 개략적인 과정은 다음과 같다. 첫째, 전 조직에 적용되는 최상위 정보보호정책을 수립한다. 이 최상위 정보보호정책에 근거하여 위험분석 등 정보보호를 수행하기 위한 기본적인 정보보호 조직 및 조직의 역할과 책임을 정의한다. 둘째, 정보보호관리체계를 수립할 조직 범위를 설정하고 범위 내의 정보자산을 식별한다. 셋째, 이 식별된 자산에 기초하여 위험관리를 수행한다. 위험관리는 위험관리 전략 및 계획을 수립하고, 위험을 구성하는 요소들을 분석하고, 위험의 규모를 ..

정보보호관리체계 인증 절차 정보보호관리체계 인증 절차는 크게 준비단계, 심사단계, 인증단계, 사후관리 단계의 4가지 단계로 나누어진다. (그림 4-4)에서 신청기관과 인증기관 간에 일어나는 절차의 흐름을 개략적으로 보였다. 준비단계 준비단계는 인증에 대한 상담을 받고 적절하다고 판단되면 인증을 신청하여 계약을 체결하고 수수료를 납부하는 활동으로 이루어진다. 인증상담 정보보호관리체계를 수립하고 인증을 신청하려는 조직은 먼저 한국정보보호진흥원의 담당 부서로 연락을 취하여 인증상담을 받아야 한다. 인증 상담 시에는 조직의 현황과 준비 상황을 개략적으로 검토하여 인증 심사에 걸릴 기간과 비용을 산정한다. 기간과 비용은 심사범위의 종업원 수와 서버의 수로 결정된다. 또한 신청 시기, 조건, 절차와 방법 등의 제반..

정보보호관리체계 인증심사 기준 정보보호관리체계의 인증심사는 정보통신망법 및 시행령에 근거하여 정보통신부가 고시한 「정보보호관리체계 인증심사기준」(정보통신부고시 제2002-22호)과 「정보보호관리체계 인증업무지침」(한국정보보호진흥원 2003. 12. 24 개정)에 따라 수행된다. 이 「인증심사기준」은 BS7799, ISO/IEC TR 13335 등 국외의 표준들을 참조하여 국내 환경에 적합하도록 보완하여 개발한 것이다. 타 유사기준은 관리적 측면을 강조하여 세부적인 구현 사항은 구체적으로 명시하지 않은 반면에 정보보호관리체계 인증심사기준은 운영 부분의 세부 사항을 보강하였다. 또한 최근의 기술 발전을 반영하여 무선 및 이동통신과 전자상거래 관련 신기술에 대한 통제사항을 보강하고 실제 활용 측면을 중요시하여..

정보보호관리체계 인증체계 인증기관 ‘정보통신망이용촉진및정보보호등에관한법률’(이하 ‘정보통신망법’이라고 한다) 제47조에서는 정보보호관리체계 인증을 부여하는 인증기관을 한국정보보호진흥원으로 지정하였다. 이후 인증기관이라고 지칭한 것은 한국정보보호진흥원을 말한다.「정보보호관리체계 인증업무지침」에 명시되어 있는 인증기관의 역할은 다음과 같다. ◦ 인증심사 신청접수 ◦ 인증심사 계약체결 ◦ 문서심사, 기술심사 수행 ◦ 인증위원회 운영 ◦ 인증서 발급 및 관리 ◦ 인증심사 관련 자문 ◦ 기타 인증 수행에 관련된 업무 인증대상 상기 ‘정보통신망법’에서는 인증을 받을 수 있는 기관을 정보통신서비스 제공자, 정보통신서비스를 위한 물리적 시설을 제공하는 자, 그 밖에 정보통신망을 운영하는 자로서 대통령령이 정하는 자로 ..