[정보보호] 2022 ISMS-P 가이드 Part2. 관리적 보호대책 요구사항

본 포스팅은 한국인터넷진흥원에서 발간된 '정보보호 및 개인정보보호 관리체계 인증기준 안내서'를 바탕으로 작성되었습니다.

2.1 정책, 조직, 자산 관리

2.1.1 정책의 유지관리

: 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 재개정하고 그 내역을 이력관리하여야 한다.

 

대상 => 정보보호 및 개인정보보호 관련 정책과 시행문서

- 관련 법규:

• 개인정보 보호법 제29조(안전조치의무)
• 개인정보의 안전성 확보조치 기준 제4조(내부관리계획의 수립·시행)
• 개인정보의 기술적·관리적 보호조치 기준 제3조(내부관리계획의 수립·시행)

- 용어정리

“전기통신역무”란 전기통신설비를 이용하여 타인의 통신을 매개하거나 전기통신설비를 타인의 통신용으로 제공하는 것을 말한다. [전기통신사업법 제2조 6호]

“전기통신사업”이란 전기통신역무를 제공하는 사업을 말한다. [전기통신사업법 제2조 7호]

“전기통신사업자”란 이 법에 따라 등록 또는 신고(신고가 면제된 경우를 포함한다)를 하고 전기통신역무를 제공하는 자를 말한다. [전기통신사업법 제2조 8호]

“정보통신서비스 제공자”란 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다. [정보통신망법 제2조 1항 3호]

---

2.1.2 조직의 유지관리

: 조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다.

주체: 조직의 구성원

키워드: 정보보호 및 개인정보보호 관련 역할과 책임 할당, 평가, 상호 의사소통할 수 있는 체계 수립 및 운영

- 관련 법규:

• 개인정보 보호법 제29조(안전조치의무), 제31조(개인정보 보호책임자의 지정)
• 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)
• 개인정보의 안전성 확보조치 기준 제4조(내부관리계획의 수립·시행)
• 개인정보의 기술적·관리적 보호조치 기준 제3조(내부관리계획의 수립·시행)

2.1.3 정보자산 관리

: 정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립 이행하고, 자산별 책임소재를 명확히 정의하여 관리하여야 한다.

대상: 정보자산에 대한 보호대책, 책임소재 정의

---

2.2 인적 보안

2.2.1 주요 직무자 지정 및 관리

: 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.

대상: 개인정보 및 중요정보 취급과 같은 주요 직무의 기준과 관리방안 수립

- 관련 법규:

• 개인정보 보호법 제28조(개인정보취급자에 대한 감독)

2.2.2 직무 분리

: 권한 오남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다.

대상: 직무 분리 기준 수립

2.2.3 보안 서약

: 정보자산을 취급하거나 접근권한이 부여된 임직원, 임시직원 외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다.

대상: 정보자산 취급 또는 접근권한이 있는 직원에 대한 정보보호 서약 받는다.

2.2.4 인식 제고 및 교육훈련

: 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식 제고 활동 및 교육훈련 계획을 수립 운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.

대상: 내부 임직원에 대한 교육계획수립 및 운영

- 관련 법규

• 개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)
• 개인정보 보호법 제28조(개인정보 취급자에 대한 감독), 제29조(안전조치의무)
• 개인정보의 안전성 확보조치 기준 제4조(내부관리계획의 수립·시행)
• 개인정보의 기술적·관리적 보호조치 기준 제3조(내부관리계획의 수립·시행)

2.2.5 퇴직 및 직무 변경 관리

: 퇴직 및 직무 변경 시 인사 정보보호 개인정보보호 IT 등 관련 부서별 이행하여야 할 자산 반납, 계정 및 접근권한 회수 조정, 결과 확인 등의 절차를 수립 관리하여야 한다.

- 관련 법규:

• 개인정보 보호법 제29조(안전조치의무)
• 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리)
• 개인정보의 기술적·관리적 보호조치 기준 제4조 2항(접근통제)

2.2.6 보안 위반 시 조치

: 임직원 및 관련 외부자가 법령, 규제 및 내부 정책을 위반한 경우 이에 따른 조치 절차를 수립 이행하여야 한다.

대상: 임직원 및 관련 외부자가 내부 정책을 위반한 경우

---

2.3 외부자 보안

2.3.1 외부자 현황 관리

: 업무의 일부(개인정보 취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직 서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다.

대상: 외부위탁, 외부서비스 이용시 위험파악 및 적절한 보호대책 마련

- 관련 법규:

• 개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)
• 정보통신망법 제50조의3(영리목적의 광고성 정보 전송의 위탁 등)

2.3.2 외부자 계약 시 보안

: 외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다.

대상: 외부 위탁, 외부 서비스 사용시 정보보호 및 개인정보 요구사항 식별 및 계약서 명시

- 관련 법규:

• 개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)

2.3.3. 외부자 보안 이행 관리

: 계약서, 협정서, 내부 정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리 감독하여야 한다.

대상: 위 계약서 명시 사항에 대해 외부자 이행 여부를 정기적으로 점검

- 관련 법규:

• 개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)
• 정보통신망법 제50조의3(영리목적의 광고성 정보 전송의 위탁 등)

2.3.4 외부자 계약 변경 및 만료 시 보안

: 외부자 계약 만료, 업무 종료, 담당자 변경 시에는 제공한 정보자산 반납, 정보시스템 접근 계정 삭제, 중요정보 파기, 업무 수행 중 취득정보의 비밀유지 확약서 징구 등의 보호 대책을 이행하여야 한다.

대상: 외부자 계약 만료시 정보자산 반납, 계정 삭제, 중요정보 파기 등 보호대책 이행

- 관련 법규:

• 개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)
• 정보통신망법 제50조의3(영리목적의 광고성 정보 전송의 위탁 등)

---

2.4 물리 보안

2.4.1 보호구역 지정

: 물리적·환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역·제한구역·접견 구역 등 물리적 보호구역을 지정하고 구역별 보호대책을 수립·이행하여야 한다.

물리적 보호구역 예시) 접견 구역, 제한구역, 통제구역

대상: 물리적 보호구역에 대한 보호대책 수립 및 이행

- 관련 법규:

• 개인정보 보호법 제29조(안전조치의무)
• 개인정보의 안전성 확보조치 기준 제11조(물리적 안전조치)
• 개인정보의 기술적·관리적 보호조치 기준 제8조(물리적 접근방지)

2.4.2 출입통제

: 보호구역은 인가된 사람만이 출입하도록 통제하고 책임 추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토하여야 한다.

- 관련 법규:

• 개인정보 보호법 제29조(안전조치의무)
• 개인정보의 안전성 확보조치 기준 제11조(물리적 안전조치)
• 개인정보의 기술적·관리적 보호조치 기준 제8조(물리적 접근방지)

2.4.3 정보시스템 보호

: 정보시스템은 환경적 위협과 유해요소, 비인가 접근 가능성을 감소시킬 수 있도록 중요도와 특성을 고려하여 배치하고, 통신 및 전력 케이블이 손상을 입지 않도록 보호하여야 한다.

2.4.4 보호설비 운영

: 보호구역에 위치한 정보시스템의 중요도 및 특성에 따라 온·습도 조절, 화재감지, 소화 설비, 누수감지, UPS, 비상발전기, 이중 전원선 등의 보호설비를 갖추고 운영절차를 수립· 운영하여야 한다.

- 관련 법규:

• 정보통신망법 제46조(집적된 정보통신시설의 보호)
• 화재예방, 소방시설 설치유지 및 안전관리에 관한 법률 제9조(특정소방대상물에 설치하는 소방시설의 유지관리 등)
• 화재예방, 소방시설 설치유지 및 안전관리에 관한 법률 제10조(피난시설, 방화구획 및 방화시설의 유지·관리)

2.4.5 보호구역 내 작업

 : 보호구역 내에서의 비인가 행위 및 권한 오·남용 등을 방지하기 위한 작업 절차를 수립· 이행하고, 작업 기록을 주기적으로 검토하여야 한다.

2.4.6 반출입 기기 통제

:보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립· 이행하고 주기적으로 검토하여야 한다.

- 관련  법규:

• 개인정보 보호법 제29조(안전조치의무)
• 개인정보의 안전성 확보조치 기준 제11조(물리적 안전조치)
• 개인정보의 기술적·관리적 보호조치 기준 제8조(물리적 접근방지)

2.4.7 업무환경 보안

: 공용으로 사용하는 사무용 기기(문서고, 공용 PC, 복합기, 파일서버 등) 및 개인 업무 환경(업무용 PC, 책상 등)을 통하여 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립·이행하여야 한다.

- 관련 법규:

• 개인정보 보호법 제29조(안전조치의무)
• 개인정보의 안전성 확보조치 기준 제10조(관리용 단말기의 안전조치), 제11조(물리적 안전조치)
• 개인정보의 기술적·관리적 보호조치 기준 제8조(물리적 접근방지), 제9조(출력· 복사 시 보호조치)

---

 

참고자료

• '정보보호 및 개인정보보호 관리체계(ISMS-P) 인증기준 안내서', 2022, 한국인터넷진흥원
• 개인정보 보호법, 개인정보의 안전성 확보조치 기준, 개인정보의 기술적·관리적 보호조치 기준
• 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등), 제46조(집적된 정보통신시설의 보호)