3-1 보호대책 구현

선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다.
정보보호 대책은 위험분석 결과에서 분석된 내용을 바탕으로 가상의 시나리오를 적용하고 그 결과를 관찰하여 가장 적합한 방법을 도출하는 것을 의미합니.
보호대책 선정 시 시간적 제약, 재정적 제약(비용), 기술적 제약, 사회적 제약, 법적 제약 등을 고려하며, 기대효과 분석 시 대응책들의 수행여부를 비용적인 측면에서 고려하여 제한된 비용으로 최적의 효과를 얻을 수 있도록 판단 및 경영진의 의사결정 지원이 필요합니다
정보보호대책은 정보보호 최고책임자 또는 최고경영자의 승인을 득한 후 정보보호 대책을 실행
보호대책은 정보보호계획서에 정의된 일정계획과 우선순위에 따라 구현하는 것이 적절, 가 장 중요한 요소는 자원이며, 인력, 시간, 비용이 지원되어야만 초기 계획에 따라 구현 및 운영 이 가능
자원확보를 위해서는 경영진의 의사와 지원이 필요
구현후 계획대로 진행되었으며 목적 달성하였는지 승인자에게 보고, 결제하여 문서화 문서화하고 통제의 변경에 따라 문서를 유지관
잘이루어지고 있는지 연 1회 이상의 정기적인 보고
관리체계 인증기준별 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성
(인증기준 선정 여부, 운영 현황, 관련 문서(정책, 지침 등), 기록(증적자료), 인증기준 미선정 시 사유 등)

3-2 보호대책 공유

보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다.

공유 내용

  • 정보보호 및 개인정보보호 정책과 시행문서의 제·개정 사항, 정보보호 및 개인정보 보호 대책 이행계획 및 구현결과, 보안시스템 신규 도입 및 개선사항

    • 공유 대상

  • 해당 정책과 지침 및 보호대책을 실제 운영 또는 시행할 부서 및 담당자

    • 공유 방법

  • 게시판 및 이메일 공지(간단한 이슈인 경우), 회의, 설명회, 교육 등

    • 사업체가 커져감에 따라, 이에 맞춰 대책 공유를 유연하게 유지하세요.
    대책이 정확하고 효과적으로 운영될 수 있도록 시스템의 사용법, 정책과 절차의 내용 및 준수 방법 등에 대한 관련자들을 교육시켜야 함
    교육 대상자의 수준과 필요에 맞게 설계
    일반직원, 최종 사용자 그룹, it운영 인력 등 별도로 업무에 필요한 수준의 정보보호 교육 훈련을 받아야함
    it, 정보보호 운영 인력의 경우 정보보호 구축 및 운영 능력 향상을 위하여 지속적이고 효과적인 기술 교육 및 훈련이 이루어져야 함

    3-3 운영현황 관리

    조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행하여야 하는 운영활동 및 수행 내역은 식별 및 추적이 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영 활동의 효과성을 확인하여 관리하여야 한다.

    효과적인 운영

    체계의 효과적인 운영을 위하여 특정 주기에 따라 활동이 요구되는 정보보호 및 개인정보보호 활동을 인지,식별하고
    운영현황을 쉽게 확인할 수 있도록 관리하세요.

  • 관리체계 운영활동이 운영현황표에 따라 주기적·상시적으로 이루어지고 있는지 정기적으로 확인하여 경영진에게 보고.
  • 정보보호 및 개인정보보호 활동을 식별하고 운영현황표 작성, 관리
  • 관리체계를 운영하기 위해 수행할 상시/주기적 활동을 문서화하여 관리하세요.
  • 경영진은 관리체계 운영 활동 효과성을 측정하고 기록해야합니다.
  • 운영현황표도 반드시 주기적 검토를 수행하세요.