제5과목 정보보안 관리 및 법규 정보보호심사원 양성교육교재 정보보호관리체계 ISMS ( ) 정보보호관리 정보보호관련법규 ( ) 양성교육교재 제5과목 정보보안 관리 및 법규 정보보호관리 개념 정보보호 정책 및 조직 위험관리 대책 구현 및 운영 업무연속성 관리와 재난 복구 관리 관련 표준/지침 정보보호관리 정보통신 이용촉진 및 정보보호 등에 관한 법률 정보통신 기반 보호법 정보통신산업진흥법 전자서명법 개인정보보호법 정보보호관련법규
정보보호심사원 정보보호관리체계 ISMS ( ) 양성교육교재 정보보호 관리 개념
정보보호의 목적 및 특성 정보보호의 정의 정보보호(Information Security)란 의도되었건 의도되지 않았건 간에 인가받지 않은 노출, 전송, 수정 그리고 파괴로부터 정보를 보호하는 것 정보의 수집ㆍ가공ㆍ검색ㆍ송신ㆍ수신 중에 정보의 훼손ㆍ변조ㆍ유출 등을 방지하기 위한 관리적ㆍ기술적 수단을 강구하는 것
정보보호의 목적 정보보호의 목적 정보자산의 기밀성, 뮤결성, 가용성을 실현 그외 인증 및 부인방지 등의 요소들도 유지되어야 하며 이들 보안요소 간에는 상호의존적인 관계가 성립 보호대상 정보자산 기밀성(confidentiality) 무결성(integrity) 가용성(availability) 보안의 3요소
기밀성(Confidentiality) 정보보호의 목적 기밀성(Confidentiality) 비인가자에 의한 정보의 노출, 도청을 막는 특성, 접근통제와 암호화로 보장 무결성(Integrity) 비인가자에 의한 정보의 변경을 막는 특성, 물리적 통제와 접근통제로 보장 가용성(Availability) 비인가자에 의한 정보의 파괴를 막는 특성으로 필요한 시점에 정당한 사용자에게 정보가 제공되는것. 백업, 중복성 유지, 위협 요소로부터의 보호 등을 통해 보장
정보보호의 목적 인증(Authentication) 접근제어(Access Control) 부인방지(non-repudiation) 근거가 있는 무언가를 확인하거나 확증하는 행위, 객체를 인증하는 것은 이에 대한 출처를 확인하는 것이고 사람을 인증하는 것은 사람들의 신분을 구성하는것 접근제어(Access Control) 접근권한과 자격을 가지고 있는 사용자만 시스템이나 자원에 접근할 수 있도록 제어 부인방지(non-repudiation) 메시지의 송수신이나 교환 후 또는 통신이나 처리가 실행된 후 그 사실을 사후에 증명함으로써 부인을 방지하는 기술 책임추적성(accoutability) 자신의 행위에 대해 책임을 져야 한다는 특성, 개인식별을 위한 인증과 감사추적을 필요로 한다 감사추적(Audit trails) 감사를 위해 입력된 데이터가 어떤 변환과정을 거쳐 출력되는지 과정을 기록하여 추적하는 방법
정보보호의 필요성 전자상거래, 전자정부 등 사이버공간에서의 활동증가에 따른 안전성, 신뢰성 해결 글로벌화에 따른 국내 정보 유출 우려 공공기관에서 소유하고 있는 개인의 정보 회사의 제품개발 및 축적기술 회사간의 각종 사업계획에 관한 정보교환 및 사업행위 각종 지적소유권 보호
정보보호 관리의 개념 자산을 외부로부터 유ㆍ노출이나 오용, 데이터 유실 등으로부터 방어하고 정보시설을 방어하는데 관련된 일련의 활동 자산 위험의 이슈 자산의 위협 취약성 공격 정보보호 관리 이행을 위한 6단계 활동 정보보호 정책 및 조직 수립 정보보호 범위 설정 정보자산의 식별 위험관리 구현 사후관리활동
정보보호 모델 ISMS 인증 조직에 적합한 정보보호관리체계를 갖추었는지 제3자의 인증기관(KISA)을 통해 객관적이고 독립적으로 평가하여 인증기준에 대한 적합 여부를 보증해주는 제도 목적 정보자산의 안전, 신뢰성 향상 정보보호관리에 대한 인식 제고 국제적 신뢰도 향상 정보보호 서비스 산업의 활성화 ISMS 인증기준 인증심사 기준은 2013년 2월 방송통신위원회 고시(제2013-4호)로 새로운 개정기준 공표 정보보호 5단계 관리과정 요구사항은 12개 통제사항으로 문서요구사항은 삭제 정보보호대책부분은 13개 분야 92개 통제사항 등 총 104개로 구성
(Information Security Management System) 정보보호 관리체계(ISMS) 정의 정보보호의 목적인 정보자산의 기밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화하고 지속적으로 관리ㆍ운영하는 시스템 조직에서 비즈니스의 연속성 확보를 위하여 각종 위협으로 부터 정보자산을 보호하기 위한 위험관리 기반의 체계적이고 지속적인 프로세스 개선 활동 ㆍ 부분적 보안ㆍ 일회성 관리 ㆍ 산발적 대응 ㆍ 균형적 보안 ㆍ 지속적 관리 ㆍ 체계적 대응 <보안수준> <보안수준> 평가수준 평가수준 관리체계 부재 관리체계 운영 조직 조직 시설 정책 시설 정책 Islanded Integrated 장비 문서 장비 문서 (Information Security Management System) ISMS [ISMS 적용 전과 후]
정보보호 관리체계(ISMS) 필요성 “조직의 보안은 각 분야의 유기적인 협조와 노력에 종합적인 정보보호 관리의 필요성 “조직의 보안은 각 분야의 유기적인 협조와 노력에 의해 지켜질 수 있으며, 한 분야의 취약점은 조직 전체의 보안수준을 저하” (리비히의 최소율의 법칙-나무 물통의 법칙) 11 10 9 12 8 운영 보안 접근 통제 7 13 침해 사고 관리 암호 통제 시스템 개발 보안 6 물리적 보안 Level 5: “Improving” IT재해 복구 인적 보안 Level 4: “Advanced” 1 정보 보호 수준 5 9 2 5 Level 3: “Controlled” 1 7 8 정보 보호 정책 3 4 정보 보호 교육 2 정보 보호 조직 Level 2: “Elementary” 외부자 보안 정보 자산 분류 6 3 4 5 Level 1: “Poor”
정보보호 관리체계(ISMS) 필요성 “Security is a process, not a product” - 보안은 제품(기술)이 아니라, 프로세스이다. "Security is a chain; it's only as secure as the weakest link” - 보안은 사슬이다. 사슬의 가장 약한 고리만큼만 안전하다. - 정보보호란 사슬처럼 연결되어 있어서 전체 정보보호 수준은 가장 취약한 연결 부분의 수준을 넘을 수 없다는 것 완벽한 보안은 없다. 그러나 보안은 .. 있다” - 완벽한 보안이 불가능해도 최선을 다 해야 하며, 그것은 보안에 대한 올바른 인식으로부터 출발 -미국의 정보보호 전문가인 브루스 슈나이어(Bruce Schneier)저서 `비밀과 거짓말(Secrets and Lies)'에서 -
정보보호 관리 필요성 회사 비밀의 보호를 위한 노력 필요 : Governance 강화 측면 영업비밀보호법으로부터 보호받기 위한 회사의 보안관리 노력 강구 - 벌률상 용어 정의 : 상당한 노력에 의하여 비밀로 유지 - 양벌 규정에 대한 예외 정의 : 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다. 개인정보 법규제의 강화에 맞춘 보안관리 노력 필요 : Compliance 측면 정보통신서비스제공자에 대한 정보통신망법(감독기관: 방통위)의 개인정보 보호조치 의무 준용사업자(Off-line 개인정보수집), 금융, 교육, 의료, 공공 부문 등의 모든 개인정보취급에 대하여 일반법인 개인정보보호법(감독기관: 행안부) 적용 정보통신망법 개정 사항에 따라 안전진단 폐지 및 ISMS인증 의무화(2013) 상당한 노력을 법적으로 인정을 받기 위해 보안관리증적(Evidence)필요 법적 준거성과 증적을 확보하기 위해서는 보안관리 업무프로세스 정립이 필수
2. 정보보호 관리 체계 국내 정보보호 관리체계(ISMS) 운영 현황 국내 주요 정보보호 관리체계 현황 국내 주요 정보보호 관리체계 현황 국내는 ISMS, G-ISMS, PIMS 인증 제도와 국제 표준 ISO27001 상존 ISMS (정보보호 관리체계) [2013년 개정, 권고 + 의무) - 2001년 BS779를 기반으로 국내 환경(민간 기업/조직)에 맞게 개발 (국내 공통 표준 프레임워크) G-ISMS (전자정부 정보보호 관리체계) [2014년 ISMS와 통합] - 전자정부 대민 서비스의 안전성 제고를 위하여 행정기관 특성에 맞도록 개발 PIMS (개인정보보호 관리체계) [2013년 법적 근거 마련, 국제표준으로 추진중] - ISMS, G-ISMS 기반으로 개인정보의 생명주기에 따라 보호조치 등 개발 ISO/IEC 27001[2013년 개정] [국내는 해외 인증과 국내 인증으로 이원화] - 영국의 BS7799, 한국 ISMS를 기반으로 2006년 IS0/IEC 국제 표준 규격
2. 정보보호 관리 체계 정보보호 관리체계(ISMS) 구축 운영 어려움 ① 관리체계의 수립 및 운영은 기술적인 문제라기보다는 프로세스와 사람이 연계된 문제 ② 정보보호와 관련된 조직/책임/역할/권한이 불분명하고 협조체계가 미흡 ③ 기업내에 관리체계의 핵심요소인 위험 관리의 기법들이 제대로 활용되고 내재화되지 않음 ④ 관리체계의 운영은 장기간의 꾸준한 유지보수 활동을 요구 ⑤ 관리체계에 대한 주기적인 감사와 측정이 부족 ⑥ 강력한 추진요인이 필요한데 이러한 추진요인을 확보하기 어려움 ⑦ 경영층의 지속적인 의지, 강력한 추진요인이 없다면 포기하기 쉽고 유지되기 어려움
관리체계 인증 취득의 이점 조직의 정보보호 인식 제고 종합적이고 효과적인 정보보호대책의 적용 위험의 감소 위험의 감소 침해사고에 대한 피해 최소화 기업 체질의 강화와 조직의 지속성장 및 비즈니스 확대 고객 만족 및 신뢰도 향상, 경쟁사와 차별화 입찰 및 거래 조건 충족 범규 준수(컴플라이언스) 기업의 사회적 책임 및 공헌
ISMS 인증 취득 혜택 소규모 기업의 경우 할인(상시 근로자 수 50명 미만 또는 매출액 50억 미만, 50%) 구분 시행기관 혜택 내용 근거 가산점 부 여 지식경제부 공공부문 정보시스템 기획․구축․운영 사업자, SW개발사업자 선정 시 평가항목(기밀보안) 만점 부여 지경부 고시 제2010-53호 보안관제 전문업체 지정 시 평가항목(신뢰도) 만점 부여 지경부 공고 제2010-478호 KISA 정보보호대상, 입찰, 과제선정 평가 시 가점 부여 KISA 지침 신용평가 기관 한국신용평가정보의 기업신용평가 시 가점 부여 업무 협약 (공문) 한국기업지배구조원 상장기업 대상 ESG(환경, 사회, 지배구조) 평가 시, 소비자항목에 가산점 부여 요금 할인 보험사 정보보호관련 보험(배상책임보험 등) 가입 시 할인(AIG, LIG, 그린손해보험, 동부화재, 롯데손해보험, 메리츠화재, 삼성화재, 제일화재, 한화손해보험, 현대해상, 흥국화재) 권고 교육과학 기술부 원격교육설비기준에 ISMS 인증 취득 권고 교과부 고시 제2008-93호 국토해양부 유비쿼터스도시기반시설에 대하여 ISMS 인증 취득 권고 유비쿼터스 도시의 건설 등에 관한 법률 제22조 ISMS 인증 수수료 할인 정보보호 大賞 수상 기업의 경우 할인 (대상․우수상․특별상, 100~50%) 소규모 기업의 경우 할인(상시 근로자 수 50명 미만 또는 매출액 50억 미만, 50%)
ISMS 관리과정 5단계 관리과정 요구사항 관련문서 정보보호정책 수립및 범위설정 조직전반에 걸친 상위 수준의 정보보호정책 수립 정보보호 관리체계 범위 설정 정보보호정책서 정보보호 관리체계 범위서 정보자산목록(정보통신설비목록) 네트워크 및 시스템 구성도 경영진 책임 및 조직구성 정보보호를 수행하기 위한 조직 내 각 부문의 책임 설정 경영진 참여 가능하도록 보고 및 의사결정 체계 구축 정보보호조직도 위험관리 위험관리 방법 및 계획 수립 위험 식별 및 위험도 평가 정보보호 대책 선정 구현 계획 수립 위험관리 지침서 (00년)위험관리 계획서 위험분석ㆍ평가보고서 정보보호 대책구현 정보보호 대책 구현 및 이행확인 내부공유 및 교육 정보보호대책 명세서 정보보호 계획서 정보보호계획 이행결과 보고서 사후관리 법적 요구사항 준수 검토 정보보호관리체계 운영 현황관리 정기적인 내부감사를 통해 정책 준수 확인 정보보호관리체계 내부감사보고서 정보보호관리체계 운영현황표
2. 정보보호 관리 체계 12. 유사 정보보호 관리체계 비교 국내외 주요 정보보호 관리체계 현황 국내외 주요 정보보호 관리체계 현황 국내는 ISMS, G-ISMS, PIMS 인증 제도와 국제 표준 ISO27001 상존 ISMS (정보보호 관리체계) [2013년 개정] - 2001년 BS779를 기반으로 국내 환경(민간 기업/조직)에 맞게 개발(국내 표준) G-ISMS (전자정부 정보보호 관리체계) [2014년 ISMS와 통합] - 전자정부 대민 서비스의 안전성 제고를 위하여 행정기관 특성에 맞도록 개발 PIMS (개인정보보호 관리체계) [2013년 법적 근거 마련, 국제표준으로 추진중] - ISMS, G-ISMS 기반으로 개인정보의 생명주기에 따라 보호조치 등 개발 ISO/IEC 27001[2013년 개정] [국내는 해외 인증과 국내 인증으로 이원화] - 영국의 BS7799, 한국 ISMS를 기반으로 2006년 IS0/IEC 국제 표준 규격 FISMA - 미 연방정부의 정보시스템 보호 및 보안관리 강화를 위한 정보보호 관리체계
2. 정보보호 정책 및 조직
정보보호심사원 정보보호관리체계 ISMS ( ) 양성교육교재 정보보호 정책의 의미 및 유형
정보보호 정책의 의미 정책(policy)이라 함은 기업이나 조직에 있어서 최상위 수준 경영진의 전략적인 사고의 문서화된 표현 정보보호에 대한 방향, 전략 그리고 정보보호에 대한 가장 핵심적인 내용을 포함하는 매우 중요한 문서를 ‘정책서’라 한다. 정보보호 정책은 조직의 정보보호에 대한 방향과 전략 그리고 정보보호 프로그램의 근거를 제시하는 매우 중요한 문서이다 정보보호 정책은 정보보호에 대한 책임과 역할이 명확히 구명되어야 하고 이것이 조직 체계로서 구현되어야 한다. 정보보호 정책은 어떤 조직의 기술과 정보자산에 접근하려는 사람이 따라야 하는 규칙의 형식적인 진술이다. 또한 정보보호 임무를 관리하기 위한 수단
정보보호 정책의 목표 조직이 달성하고자 하는 목표와 달성방법(전략), 그리고 목표 달성을 위한 정책을 조직의 각 단계 및 사업단위 또는 부서별로 정의하여야 하며. 효율적인 정보보호 정책을 위해서 각각의 조직 수준과 사업 단위별로 다양한 목표, 전략, 정책을 수립하여야 한다. 정보보호 목표를 선정할 때의 고려사항 서비스제공 : 사용자 서비스의 이점이 위험의 비중보다 크면 보호대책을 수립 용이성 : 사용의 용이성이 다소 떨어지더라도 시스템의 안전을 최우선 고려 정보보호 비용과 손실위험 : 정보보호 비용은 손실의 형태에 따라서 신중하게 결정
프로그램 보안 정책(program security policy) 정보보호의 정책의 유형 전사적으로 요구되는 내용은 상위 정책 수준으로 정의, 부서별로 요구되는 내용은 하위 정책 수준으로 정의 프로그램 보안 정책(program security policy) 최상위 수준의 정책 개괄적이며 별로 수정을 요하지 않는다 보안전략 방향제시, 프로그램 목적과 이행을 위한 준수사항을 기술 문제지향 보안 정책(issue-specific security policy) 관심사항에 대한 이슈를 정의 그때그때 상황에 맞는 적절성과 조직의 관심사항에 초점을 맞춘 정책 관련토픽 : 이메일, 인터넷 사용, 악성코드, 개인적 컴퓨터 장비 사용 시스템 지향 보안 정책(system-specific security policy) 개별 시스템(컴퓨터, 네트워크, 디바이스)에 대한 보안목적을 정의 접근통제 목록을 작성하거나 사용자들에게 허용되는 행위 등에 대한 교육 방침을 제공
정보보호 정책서 기술시 요건 주요 정책서 구성 목차 간결하고 명확하게 정보보호의 목표와 방침을 포함 정책에 영향을 받는 이들에게 해당 정책에 대해 충분한 설명이 필요 정책의 의도를 이해할 수 있도록 관련 교육 및 훈련 필요 정책서의 내용을 쉽게 이해할 수 있도록 난해한 기술적 표현은 삼가한다. 주요 정책서 구성 목차 정책서 목적과 구성 기본 방침 정보보호실행 계획 수립 보안에 대한 역할과 책임 정보자산의 보안 정보시스템의 보안 규정의 준수 보안정책 운용
정보보호 정책서 작성방안 목적 적용범위 정책의 내용 책임 문서 승인 정보보호위원회 중요한 정보자산이 무엇인지 식별하여 선언하고 정보의 어떤 특성이 만족되어야 하는지 선언 적용범위 정책적용범위로 전사를 대상으로 하며 정보자산에 접근하는 외부인 포함, 아웃소싱업체나 협력사 등도 포함 정책의 내용 내용은 간단/명료, 전직원이 숙지하고 잘 적용하여 운영할 수 있도록 중요한 사항만 내용으로 책임 경영진의 책임, 정보관리 또는 정보보호 조직의 책임, 일반 직원의 책임 등을 언급 문서 승인 최고경영자가 승인하고 전직원에게 전파 정보보호위원회 경영층의 지원여부 및 방향제시를 보증할 수 있는 조직의 수립
정보보호정책 수립 절차
정보보호 정책 수립 절차 조직이 수행하는 모든 정보보호 활동의 근거를 포함할 수 있도록 정보보호정책을 구축하고 국가나 관련 산업에서 정하는 정보보호 관련 법, 규제를 만족하여야 한다 정책을 업무프로세스 중심의 관리활동을 정의하기 위한 명문화된 문서로 상위정책 및 하위정책으로 정책서 체계를 갖추는 것이 좋다. 인증기준에 맞는 기업 내부 정보보호정책을 구축하는 것이 필요하다 최상위 정보보호정책 뿐만 아니라 정보보호 관리체계를 운용하기 위해서 필요한 지침, 절차 등 세부 정책을 수립 ISMS관리과정 5단계를 통한 지속적인 검토 및 개선이 필요 경영목표를 지원하는 법적, 규제적인 요건 파악 위험관리에 따른 전략적 정보보호 정책 수립
정보보호 정책에 포함할 최소한의 표준 필요한 보호의 수준에 따른 자산의 분류 비인가된 접근으로부터의 정보보호 원칙 정보의 기밀성 보장, 무결성 유지 정보 및 정보시스템의 가용성에 관한 사업 요구사항 물리적, 논리적, 환경적 보안 및 통신 보안 준수하여햐 할 법, 규정 및 계약 요구사항 시스템 개발 및 유지방법론 비상대책 계획의 수립, 유지, 점검 모든 직원에 대한 정보보호 교육 훈련 정보시스템 정책 위반에 대한 징계 또는 처벌 정보시스템 보안 사고 보고 및 조사 준수해야 할 표준, 관례 및 절차와 바이러스 방지, 패스워드, 암호화를 포함하는 정보보호 정책 지원 수단의 구현
범위 설정 조직에 미치는 영향을 고려하여 중요한 업무, 서비스, 조직, 자산 등을 포함할 수 있도록 정보보호관리체계 범위 설정, 범위내 모든 자산을 식별하여 문서화 적용범위에서 정의한 내용은 정보자산의 식별, 위험 평가 등의 작업뿐만 아니라 보호대책의 적용 등 정보보호 활동 전반에 영향 사업내용, 조직구조, 물리적 위치, 대상 정보자산 및 기술 요소의 다양한 측면에서 관리체계의 범위를 명확히 하고 범위 내부와 외부를 분명하게 구분하여 명세 범위 외의 다른 시스템, 조직, 제3자와의 관계 등 다른 부분과의 관계를 반드시 명시
범위 설정 정보보호관리체계 범위설정 정의 범위설정 정의서 작성(예) 기업정보 조직개요 시설구성도 적용자산 명확화된 요구사항 정보보호관리체계 범위 정의 조직개요 내용확립을 위한 프로세스 시설구성도 요구전략 및 접근 방식 적용자산 정보보호에 대한 위험평가 기준 기술(네트워크 구성도 등) 자산의 특징(조직, 네트워크 구성도) 명확화된 요구사항 사업상 요구사항 법령 또는 규제 요구사항 계약상 보안의무
범위에 포함되어야 할 내용 기업소개 및 주요 현황 인증 범위 내용 전체조직도, 정보보호 조직도, 정보보호 조직별 역할, 조직 운영상의 특징 시스템 구성도 인증범위 내의 자산목록(서버, 네트워크, 정보시스템, 업무용PC, SW, 정보 등) 규정 및 지침목록 관리과정 산출물 목록(정보보호관리체계 범위서, 위험분석보고서 등) 정보보호 대책 영역별 이행증적 목록
정보보호심사원 정보보호관리체계 ISMS ( ) 양성교육교재 조직 체계의 역할과 책임
정보보호 조직 2. 정보보호 관리 체계 정보보호 조직은 적합한 정보보호 정책을 계획, 구현, 승인, 감독할 수 있는 조직 체계를 수립하여야 하며, 모든 조직은 독자적인 체계를 가지지만 실무조직은 전담 또는 겸임조직도 지정 가능하다. 조직에 적합한 방식으로 정보보호와 관련된 직무를 할당하여야 한다. 대표이사 정보보호 심의위원회 정보보호책임자 위원장 : 대표이사 위원 : 정보보호책임자 간사 : 정보보호 관리자 정보보호관리자 정보보호 운영 담당자 정보보호 대응 담당자
2. 정보보호 관리 체계 조직 구성 및 역할 직책 담당업무 정보보호책임자 정보보호 조직의 구성 및 운영 총괄 정보보호방침 및 계획 실무지침 수립 및 승인 관리적, 기술적, 물리적 보호조치 이행 총괄 침해사고 등 비상상황시 긴급조치 수행 조직 내의 정보보호에 대한 인식 제고 정보보호관리자 정보보호 활동의 계획 및 관리 정보보호 활동의 조정 정보보호방침의 유지, 이행 위험분석 및 관리 보안사고 대응 및 복구관리 정보보호담당자 정보통신설비 및 시설의 보안계획, 방법, 절차 수립이행 구현된 보안 대책의 운영, 관리 보안사고 모니터링 및 대응 조직 담당업무 구성원 정보보호위원회 정보보호 활동계획 및 예산심의 정보보호 정책 및 규정의 최종 승인 주요 정보보호 이슈에 대한 대책 중대 정보보호 사고에 대한 검토 및 협의 대표이사 정보보호책임자 정보보호관리자
2. 정보보호 관리 체계 정보보호조직 역할과 책임 정보보호 책임자 위험분석 수립과 실행 총괄 보안정책 수립과 실행 정보보호위원회 소집 및 의장 역할 정보보호 정책서, 계획서, 관련 규정 승인 정보보호 현황 감독 정보자산 평가 및 선정 등급의 승인 정보자산 보호대책의 주기적 검토 정보보호 관련 교육, 훈련 계획서 승인 정보보호 관련 교육 실적 검토 보안사고 처리계획 승인 및 처리결과 확인 보안사고시 정보보호위원회 소집 결정 정보시스템의 개발(변경), 운영 및 유지보수 계획 승인 최소 연 1회 이상 보안진단 또는 감사의 보장 및 지원
2. 정보보호 관리 체계 정보보호조직 역할과 책임 정보보호 관리자 정보보호를 위한 전반적인 관리정책과 계획과 규정 수립 정보보호위원회 간사 역할 정보보호 관련 사내 홍보 년간 정보보호 교육계획 수립 및 실행 정보보호 계획 수립 및 이행상태 감독 정보보호 정책 및 규정 수립 및 이행상태 감독 정보자산 취약성 평가 정보자산 책임자. 사용자 관리 및 재검토 정보보호 실태 점검 및 시정조치 보안취약성 검토 및 대책 수립 보안사고 예방 및 위험 이슈 보고 보안사고시 조사, 보고, 조치계획 수립 보안감사계획 수입 및 시행
2. 정보보호 관리 체계 정보보호조직 역할과 책임 정보보호 담당자 구체적이며 기술적인 보안관리 업무 수행 교육훈련 계획 및 시행 실무 교육훈련 기록관리 보안사고 목록 유지 처리현황 감독, 분석보고서 작성 및 보고 보안사고 감시 보안사고 예방을 위한 기술적, 관리적, 물리적 대책 수립 취약성 조사, 분석, 문제제기 정보시스템 접근 기록관리, 검토, 보고 정보자산의 완전한 폐기, 삭제 허가되지 않는 접근을 제지하기 위한 대책 수립 정보시스템 개발, 운영, 유지보수시 보안감독 기술적 보안 감사 감사 지적사랑의 처리 현황 확인
책임 최고경영자 정보보호를 위한 총괄적이고 궁극적인 책임 정보보호관리자 조직의 정보보호 정책, 표준, 대책, 실무 절차를 설계, 구현, 관리, 조사할 책임 데이터관리자 정보시스템에 저장된 데이터의 정확성과 무결성을 유지하고 데이터의 중요성 및 분류를 결정할 책임 프로세스관리자 해당 정보시스템에 대한 조직의 정보보호 정책에 따라 적절한 보안을 보증할 책임 기술지원 인력 보안대책의 구현에 대하여 조언할 책임 사용자 조직의 정보보호 정책에 따라 수립된 절차를 준수할 책임 정보시스템 감사자 보안 목적이 적절하고 정보보호 정책, 표준, 대책, 실무 및 절차가 조직의 보안목적에 따라 적절하게 이루어지고 있음을 독립적인 입장에서 관리자에게 보증할 책임