1.4.2. 관리체계 점검

 

항목	1.4.2. 관리체계 점검
키워드	인력(독립성,전문성), 연1회 경영진 보고
인증기준	관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다.
주요 확인사항	Ÿ 법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 자격요건 등을 포함한 관리체계 점검 계획을 수립하고 있는가?   Ÿ 관리체계 점검 계획에 따라 독립성, 객관성 및 전문성이 확보된 인력을 구성하여 연 1회 이상 점검을 수행하고 발견된 문제점을 경영진에게 보고하고 있는가?
관련 법규	Ÿ 개인정보 보호법 제29조(안전조치의무)   Ÿ 개인정보의 안전성 확보조치 기준 제4조(내부관리계획의 수립·시행)   Ÿ 개인정보의 기술적·관리적 보호조치 기준 제3조(내부관리계획의 수립·시행)
증거자료   (예시)	Ÿ 관리체계 점검 계획서(내부점검 계획서, 내부감사 계획서)   Ÿ 관리체계 점검 결과보고서   Ÿ 관리체계 점검 조치계획서/이행조치결과서   Ÿ 정보보호 및 개인정보보호위원회 회의록
결함사례	사례 1 : 관리체계 점검 인력에 점검 대상으로 식별된 전산팀 직원이 포함되어 있어 점검의 독립성이 훼손된 경우   사례 2 : 금년도 관리체계 점검을 실시하였으나, 점검범위가 일부 영역에 국한되어 있어 정보보호 및 개인정보보호 관리체계 범위를 충족하지 못한 경우   사례 3 : 관리체계 점검 시 발견된 문제점에 대하여 조치계획을 수립하지 않았거나 조치 완료 여부를 확인하지 않은 경우