선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과
효과성 여부를 확인하여야 한다.
정보보호 대책은 위험분석 결과에서 분석된 내용을 바탕으로 가상의 시나리오를 적용하고
그 결과를 관찰하여 가장 적합한 방법을 도출하는 것을 의미합니.
보호대책 선정 시 시간적 제약, 재정적 제약(비용), 기술적 제약, 사회적 제약, 법적 제약 등을
고려하며, 기대효과 분석 시 대응책들의 수행여부를 비용적인 측면에서 고려하여 제한된 비용으로
최적의 효과를 얻을 수 있도록 판단 및 경영진의 의사결정 지원이 필요합니다
정보보호대책은 정보보호 최고책임자 또는 최고경영자의 승인을 득한 후 정보보호 대책을
실행
보호대책은 정보보호계획서에 정의된 일정계획과 우선순위에 따라 구현하는 것이 적절, 가
장 중요한 요소는 자원이며, 인력, 시간, 비용이 지원되어야만 초기 계획에 따라 구현 및 운영
이 가능
자원확보를 위해서는 경영진의 의사와 지원이 필요
구현후 계획대로 진행되었으며 목적 달성하였는지 승인자에게 보고, 결제하여 문서화
문서화하고 통제의 변경에 따라 문서를 유지관
잘이루어지고 있는지 연 1회 이상의 정기적인 보고
관리체계 인증기준별 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성
(인증기준 선정 여부, 운영 현황, 관련 문서(정책, 지침 등), 기록(증적자료), 인증기준 미선정 시 사유 등)
사업체가 커져감에 따라, 이에 맞춰 대책 공유를 유연하게 유지하세요.
대책이 정확하고 효과적으로 운영될 수 있도록 시스템의 사용법, 정책과 절차의 내용 및 준수 방법 등에 대한 관련자들을 교육시켜야 함
교육 대상자의 수준과 필요에 맞게 설계
일반직원, 최종 사용자 그룹, it운영 인력 등 별도로 업무에 필요한 수준의 정보보호 교육 훈련을 받아야함
it, 정보보호 운영 인력의 경우 정보보호 구축 및 운영 능력 향상을 위하여 지속적이고 효과적인 기술 교육 및 훈련이 이루어져야 함
체계의 효과적인 운영을 위하여 특정 주기에 따라 활동이 요구되는 정보보호 및 개인정보보호 활동을 인지,식별하고
운영현황을 쉽게 확인할 수 있도록 관리하세요.