■ 정보보호 정책 및 시행문서는 최소 연 1회 이상 검토하여야 하고, 검토에 대한 이력을 회의록 등에 기록하고 보관하여야 한다.
■ 다음의 경우를 포함하여 클라우드컴퓨팅서비스의 환경변화에 따른 정보보호정책 및 시행문서의 정합성 및 타당성을 검토하여야 한다.
- 정보보호 및 개인정보 관련 법적 요구사항
- 공공기관의 보안요구사항이 반영된 계약서, SLA 내용
- 보안감사 결과 발견된 사항에 대한 보완조치
- 중대한 보안사고 결과
- 새로운 위협 또는 취약점
- 정보보호 환경의 중대한 변화
- 조직 사업 환경의 변화
■ 정보보호 정책 및 시행문서 검토 시에는 정보보호 실무조직 인원과 이해관계자가 참여하여 검토하여야 한다.
✍️ 운영 현황 및 증적 기록
작성 완료됨■정보보호 정책 및 시행문서는 최소 연 1회 이상 검토하여야 하고, 검토에 대한 이력을 회의록 등에 기록하고 보관하여야 한다
--> 정보보호 정책서에 "연 1회 이상 검토하여야 한다" 항목이 존재해야 합니다.(1.1.1 정보보호정책 수립 항목 참고)
■ 다음의 경우를 포함하여 클라우드컴퓨팅서비스의 환경변화에 따른 정보보호정책 및 시행문서의 정합성 및 타당성을 검토하여야 한다.
- 정보보호 및 개인정보 관련 법적 요구사항
- 공공기관의 보안요구사항이 반영된 계약서, SLA 내용
- 보안감사 결과 발견된 사항에 대한 보완조치
- 중대한 보안사고 결과
- 새로운 위협 또는 취약점
- 정보보호 환경의 중대한 변화
- 조직 사업 환경의 변화
--> 실제 현업에서는 정보보호담당자가 월별/분기별로 "클라우드컴퓨팅법,정보보호법,개인정보보호법"에 제개정 되는 항목이 있는지 확인 하여 검토하는 것을 권장합니다. "회사 또는 서비스에 영향이 있는 부분이 있는지 검토했다" 라는 증적을 남겨야 합니다.
|
|
■ 정보보호 정책 및 시행문서 검토 시에는 정보보호 실무조직 인원과 이해관계자가 참여하여 검토하여야 한다.
--> 실제 회사내 부서(DevOps등)가 참여했다는 서명을 검토 회의록에 서명하고 CISO에 보고하여 결재를 받아야 합니다.
|
|
등록된 검토 의견이 없습니다.