728x90
반응형
[E.T]
- 11.17(화) : 오늘도 끄적여 보네!! ㅎ 정보보안은 끊임없이 학습필요? 그런거 같다.
- 11.08(일) : 오늘도 끊임없이 학습?! ^^ 존버닷. 존버
직무분리부터 다시 정독을 진행중이다. ISO27001 인증심사원(보)의 역할을 하기 위해서 학습중인데, 언제쯤이면
심사원으로써의 역할을 수행하고, 심사원(보)를 뗄수 있을지 궁금하다. 고민하고, 생각하자.
| 통제항목번호 | 통제항목명 | 통제 목적 |
| A.5 | 정보보호 정책 | |
| A.5.1 | 정보보호를 위한 경영방침 | |
| A.5.1.1 | 정보보호를 위한 경영방침 | 정보보호를 위한 정책의 집합을 정의하고 경영진의 승인을 거쳐 직원 및 관련 외부자에게 공표하며 소통하여야 한다. |
| A.5.1.2 | 정보보호 정책의 검토 | 정보보호 정책은 계획된 주기에 따라 또는 중대한 변경이 발생한 경우에 지속적인 적합성, 적설정, 효과성을 보장하기 위하여 검토하여야 한다. |
| A.6 | 정보보호 조직 | |
| A.6.1 | 내부 조직 | |
| A.6.1.1 | 정보보호 역할 및 책임 | 모든 정보보호 책임을 정의하고 할당해야 한다. |
| A.6.1.2 | 직무분리 | 조직의 자산에 승인 및 의도하지 않은 수정 또는 오용이 발생할 가능성을 줄이기 위해 상충하는 직무와 책임 영역을 분리해야 한다. |
| A.6.1.3 | 관련 그룹과의 연계 | 관련 그룹에 대한 연계를 유지해야 한다. |
| A.6.1.4 | 전문가 그룹과의 연계 | 특별 관심 그룹 또는 전문가 보안 포럼 및 직능 단체와 적절한 연계를 유지해야 한다. |
| A.6.1.5 | 프로젝트 관리에서의 정보보호 | 프로젝트 형태에 상관없이 프로젝트 관리 안에서 정보보호를 다루어야 한다. |
| A.6.2 | 모바일 기기 및 원격근무 | |
| A.6.2.1 | 모바일 기기 정책 | 모바일 기기의 사용으로 인해 유발되는 위험을 관리하기 위해 정책 및 이를 지원하는 보안 대책을 정의해야 한다. |
| A.6.2.2 | 원격 근무 | 원격 근무지에서 접근, 처리 저장하는 정보를 보호하기 위하여 정책을 수립하고 이를 지원하는 보안 대책을 구현해야 한다. |
| A.7 | 인적자원 보호 | |
| A.7.1 | 고용 전 | |
| A.7.1.1 | 적격심사 | 고용할 모든 후보자에 대한 배경 검증은 관련 법률, 규정, 윤리를 준수해야 하며, 업무 요구사항과 접근할 정보의 등급 및 예상되는 위험에 따라 적절하게 수행해야 한다. |
| A.7.1.2 | 고용 계약조건 | 직원 및 계약직의 계약서에는 정보보호에 대한 개인과 조직의 책임을 명시해야 한다. |
| A.7.2 | 고용 중 | |
| A.7.2.1 | 경영진 책임 | 경영진은 모든 직원 및 계약직의 조직이 수립한 정책과 절차에 따라 정보보호를 수행하도록 요구해야 한다. |
| A.7.2.2 | 정보보호 인식, 교육, 훈련 | 조직의 모든 직원과 관련 계약직은 자신의 직무 기능에 따라 연관된 조직의 정책과 절차에 대해 적절한 인식교육 및 훈련과 정기적인 갱신교육을 받아야 한다. |
| A.7.2.3 | 징계처분 | 정보보호를 위반한 직원에 대한 조치를 취하도록 공식적인 징계 프로세스를 수립하여 배포해야 한다. |
| A.7.3.1 | 고용 책임의 종료 또는 변경 | 고용이 종료되거나 직무가 변경된 후에도 효력이 유지되어야 하는 정보보호의 책임과 의무를 정의하고 직원 또는 계약직에게 통지하여 시행하도록 하여야 한다. |
| A.8 | 자산관리 | |
| A.8.1 | 자산에 대한 책임 | |
| A.8.1.1 | 자산목록 | 정보 및 정보처리 시설과 연관된 자산을 식별하고 자산에 대한 목록을 작성하여 유지해야 한다. |
| A.8.1.2 | 자산 소유권 | 목록으로 유지되는 자산은 소유자가 존재해야 한다. |
| A.8.1.3 | 자산 이용 (★) | 정보 및 정보처리 시설에 연관된 자산의 적절한 사용을 위한 규칙을 식별하고 문서화 및 구현해야 한다. |
| A.8.1.4 | 자산반환 | 모든 직원과 외부 사용자는 고용이나 계약 또는 협약의 종료에 따라 자신이 소유한 조직의 자산을 모두 반환해야 한다. |
| A.8.2 | 정보 등급화 | |
| A.8.2.1 | 정보 등급화 | 정보는 비인가 유출 또는 수정에 대한 법적 요구사항, 가치, 중요도, 민감도의 측면에서 등급화 해야 한다. |
| A.8.2.2 | 정보 표식 | 조직에서 채택한 정보 등급화 체계에 따라 정보 표식을 위한 적절한 절차를 개발하고 구현해야 한다. |
| A8.2.3 | 자산 취급 | 조직에서 채택한 정보 등급화 체계에 따라 취급 절차를 개발하고 구현해야 한다. |
| A.8.3 | 매체 취급 | |
| A.8.3.1 | 이동식 매체 관리 | 조직에서 채택한 정보 등급화 체계에 따라 이동식 매체의 관리를 위한 절차를 구현해야 한다. |
| A.8.3.2 | 매체 폐기 | 더 이상 필요하지 않은 매체는 공식적인 절차를 통해 안전하게 폐기해야 한다. |
| A.8.3.3 | 물리적 매체 이송 | 정보를 포함한 매체는 운반 도중에 비인가 접근, 오용, 훼손으로부터 보호되어야 한다. |
반응형
BIG
'눈빛::Work&Job' 카테고리의 다른 글
| [kakaopay] 정보보호 정책 담당자 영입 (0) | 2022.05.14 |
|---|---|
| [컴투스플랫폼] 정보보호 관리보안 정책 담당 (0) | 2022.05.09 |
