ISMS-P 인증 준비, 보안서약

 

ISMS-P 인증 

2.2 인적보안

2.2.1 주요 직무자 지정 및 관리

2.2.2 직무 분리

2.2.3 보안 서약

2.2.4 인식제고 및 교육훈련

2.2.5 퇴직 및 직무변경 관리

2.2.6 보안 위반 시 조치

 

ISMS-P 간편인증(7의3)

2.2 인적보안

2.2.1 주요 직무자 지정 및 관리

2.2.2 보안 서약

2.2.3 인식제고 및 교육훈련

2.2.4 퇴직 및 직무 변경 관리

 

ISMS-P 간편인증(7의2) 

2.1 인적보안

2.1.1 보안 서약

2.1.2 인식제고 및 교육훈련

(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업 (7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업

 

개요

인증기준

정보자산을 취급하거나 접근권한이 부여된 임직원ㆍ임시직원ㆍ외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다.

 

주요확인사항

신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받고 있는가?

임시직원, 외주용역직원 등 외부자에게 정보자산에 대한 접근권한을 부여할 경우 정보보호 및 개인정보보호에 대한 책임, 비밀유지 의무 등이 명시된 서약서를 받고 있는가?

임직원 퇴직 시 별도의 비밀유지에 관련한 서약서를 받고 있는가?

정보보호, 개인정보보호 및 비밀유지 서약서는 안전하게 보관하고 필요시 쉽게 찾아볼 수 있도록 관리하고 있는가?

세부 설명

1. 보안서약서 작성
신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받아야 한다.

* 신규 인력이 입사하는 경우 정보보호 및 개인정보보호의 필요성과 책임, 내부 정책 및 관련 법규 준수, 비밀 유지 의무에 대하여 명시된 서약서 서명
* 고용 조건의 변경 등 중요 변경사항 발생 시 서약서 재작성 등의 조치 수행
* 임시직원, 외주용역직원 등 외부자에게 정보자산(개인정보 포함),  정보시스템 등에 접근권한을 부여할 경우 정보보호 및 개인정보보호에 대한 책임, 비밀유지 의무 등이 명시된 서약서를 작성하도록 하여야 한다.
* 정보보호 및 개인정보보호 책임, 비밀유지 의무, 내부 규정 및 관련 법규 준수 의무, 관련 의무의 미준수로 인한 사건·사고 발생 시 손해배상 책임 등 필요한 내용 포함
* 임직원 퇴직 시 별도의 비밀유지에 관련한 서약서를 받아야 한다.
* 퇴직자에게 정보유출 발생 시 그에 따르는 법적 책임이 있음을 명확히 인식시킬 수 있도록 비밀유지 서약서 징구(퇴직 절차 내 포함)

 

2. 보안 서약서의 안전한 보관
정보보호, 개인정보보호 및 비밀유지 서약서는 안전하게 보존하고, 필요시 쉽게 찾아볼 수 있도록 관리 하여야 한다.

법적 분쟁 발생 시 법률적 책임에 대한 증거자료로 사용할 수 있도록 잠금장치가 있는 캐비닛 또는 출입 통제가 적용된 문서고 등에 안전하게 보관·관리

 

증거 자료

정보보호 및 개인정보보호 서약서(임직원, 외부인력) 비밀유지서약서(퇴직자)

결함 사례

신규 입사자에 대해서는 입사 절차상에 보안서약서를 받도록 규정하고 있으나, 최근에 입사한 일부 직원의 보안서약서 작성이 누락된 경우 임직원에 대해서는 보안서약서를 받고 있으나, 정보처리시스템에 직접 접속이 가능한 외주 인력에 대해서는 보안서약서를 받지 않은 경우 제출된 정보보호 및 개인정보보호 서약서를 모아 놓은 문서철이 비인가자가 접근 가능한 상태로 사무실 책상에 방치되어 있는 등 관리가 미흡한 경우 개인정보취급자에 대하여 보안서약서만 받고 있으나, 보안서약서 내에 비밀유지에 대한 내용만 있고 개인정보보호에 관한 책임 및 내용이 포함되어 있지 않은 경우

참고 문헌

* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23)

 

ISMS-P 인증기준 안내서(2023.11.23).pdf

8.11MB