정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제·개정하고 그 내역을 이력관리하여야 한다.
지침서와 절차서 간 패스워드 설정 규칙에 일관성이 없는 경우
정보보호 활동(교육, 암호화, 백업 등)의 대상, 주기, 수준, 방법 등이 관련 내부 규정, 지침, 절차에 서로 다르게 몇시되어 일관성이 없는 경우
데이터베이스에 대한 접근 및 작업이력을 효과적으로 기록 및 관리하기 위하여 DB접근제어솔루션을 도입하여 운영하고 있으나, 보안시스템 보안 관리지침 및 DB 관리지침 등 내부 보안지침에 접근통제, 작업이력, 로깅, 검토 등에 관한 사항이 반영되어 있지 않은 경우
개인정보보호 정책이 개정되었으나 정책 시행 기준일이 명시되어 있지 않으며, 관련 정책의 작성일, 작성자 및 승인자 등이 누락되어 있는 경우
개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나, 이러한 변경이 개인정보보호 정책에 미치는 영향을 검토하지 않았거나 변경사항을 반영하여 개정하지 않은 경우
조직의 각 구성원에게 (개인)정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다.
정보보호 최고책임자
개인정보 보호책임자
내부 지침 및 직무기술서에 정보보호 최고책임자, 개인정보 보호책임자 및 관련 담당자의 역할과 책임을 정의하고 있으나, 실제 운영현황과 일치하지 않는 경우
정보보호 최고책임자 및 관련 담당자의 활동을 주기적으로 평가할 수 있는 목표, 기준, 지표 등의 체계가 마련되어 있지 않은 경우
내부 지침에는 부서별 정보보호 담당자는 정보보호와 관련된 KPI를 설정하여 인사평가시 반영하도록 되어 있으나, 부서별 정보보호 담당자의 KPI에 정보보호와 관련된 사항이 전혀 반영되어 있지 않은 경우
정보보호 최고책임자 및 개인정보 보호책임자가 지정되어 있으나, 관련 법령에서 요구하는 역할 및 책임이 내부 지침이나 직무기술서 등에 구체적으로 몇시되어 있지 않은 경우
정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립/이행하고, 자산별 책임소재를 명확히 정의하여 관리하여야 한다.
(전자)문서 : 문서 표지, 워터마킹을 통하여 표시
서버 등 하드웨어 자산 : 자산번호 또는 바코드 표시를 통한 보안등급 확인
정보자산 보안등급별 취급절차(생성&도입, 저장, 이용, 파기 등) 및 보안통제 기준 수립&이행
내부 지침에는 문서에 보안등급을 표기하도록 되어 있으나, 이를 표시하지 않은 경우
정보자산별 담당자 및 책임자를 식별하지 않았거나, 자산목록 현행화가 미흡하여 퇴직, 전보 등 인사이동이 발생하여 주요 정보자산의 담당자 및 책임자가 변경되었음에도 이를 식별하지 않은 경우
식별된 정보자산에 대한 중요도 평가를 실시하여 보안등급을 부여하고 정보 자산목록에 기록하고 있으나, 보안등급에 따른 취급절차를 정의하지 않은 경우