2.1.1. 정책의 유지관리

 

항목	2.1.1. 정책의 유지관리
키워드	타당성 검토, 환경 변화 재개정, 이해관계자 검토, 이력관리
인증기준	정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제·개정하고 그 내역을 이력관리하여야 한다.
주요 확인사항	Ÿ 정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립·이행하고 있는가?   Ÿ 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요시 제·개정하고 있는가?   Ÿ 정보보호 및 개인정보보호 관련 정책 및 시행문서의 제·개정 시 이해 관계자의 검토를 받고 있는가?   Ÿ 정보보호 및 개인정보보호 관련 정책 및 시행문서의 제·개정 내역에 대하여 이력관리를 하고 있는가?
관련 법규	Ÿ 개인정보 보호법 제29조(안전조치의무)   Ÿ 개인정보의 안전성 확보조치 기준 제4조(내부관리계획의 수립·시행)   Ÿ 개인정보의 기술적·관리적 보호조치 기준 제3조(내부관리계획의 수립·시행)
증거자료   (예시)	Ÿ 정보보호 및 개인정보보호 정책 및 시행문서(지침, 절차, 가이드, 매뉴얼 등)   Ÿ 정책·지침 정기·비정기 타당성 검토 결과   Ÿ 정책·지침 관련 부서와의 검토 회의록, 회람내용   Ÿ 정책·지침 제·개정 이력
결함사례	사례 1 : 지침서와 절차서 간 패스워드 설정 규칙에 일관성이 없는 경우   사례 2 : 정보보호 활동(정보보호 교육, 암호화, 백업 등)의 대상, 주기, 수준, 방법 등이 관련 내부 규정, 지침, 절차에 서로 다르게 명시되어 일관성이 없는 경우   사례 3 : 데이터베이스에 대한 접근 및 작업이력을 효과적으로 기록 및 관리하기 위하여 데이터베이스 접근통제 솔루션을 신규로 도입하여 운영하고 있으나, 보안시스템 보안 관리지침 및 데이터베이스 보안 관리지침 등 내부 보안지침에 접근통제, 작업이력, 로깅, 검토 등에 관한 사항이 반영되어 있지 않은 경우   사례 4 : 개인정보보호 정책이 개정되었으나 정책 시행 기준일이 명시되어 있지 않으며, 관련 정책의 작성일, 작성자 및 승인자 등이 누락되어 있는 경우   사례 5 : 개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나, 이러한 변경이 개인정보보호 정책 및 시행문서에 미치는 영향을 검토하지 않았거나 변경사항을 반영하여 개정하지 않은 경우