점검항목 1. 1) 클라우드 서비스 제공자는 클라우드 정보보호 정책 및 정책 시행문서에 대한 타당성 검토를 최소 연 1회 이상 수행하고 있는가?
SaaS 표준
🔍 점검 취지 및 요건
■ 정보보호 정책 및 시행문서는 최소 연 1회 이상 검토하여야 하고, 검토에 대한 이력을 회의록 등에 기록하고 보관하여야 한다.
■ 다음의 경우를 포함하여 클라우드컴퓨팅서비스의 환경변화에 따른 정보보호정책 및 시행문서의 정합성 및 타당성을 검토하여야 한다.
- 정보보호 및 개인정보 관련 법적 요구사항
- 공공기관의 보안요구사항이 반영된 계약서, SLA 내용
- 보안감사 결과 발견된 사항에 대한 보완조치
- 중대한 보안사고 결과
- 새로운 위협 또는 취약점
- 정보보호 환경의 중대한 변화
- 조직 사업 환경의 변화
■ 정보보호 정책 및 시행문서 검토 시에는 정보보호 실무조직 인원과 이해관계자가 참여하여 검토하여야 한다.
■ 다음의 경우를 포함하여 클라우드컴퓨팅서비스의 환경변화에 따른 정보보호정책 및 시행문서의 정합성 및 타당성을 검토하여야 한다.
- 정보보호 및 개인정보 관련 법적 요구사항
- 공공기관의 보안요구사항이 반영된 계약서, SLA 내용
- 보안감사 결과 발견된 사항에 대한 보완조치
- 중대한 보안사고 결과
- 새로운 위협 또는 취약점
- 정보보호 환경의 중대한 변화
- 조직 사업 환경의 변화
■ 정보보호 정책 및 시행문서 검토 시에는 정보보호 실무조직 인원과 이해관계자가 참여하여 검토하여야 한다.
✍️ 운영 현황 및 증적 기록
■정보보호 정책 및 시행문서는 최소 연 1회 이상 검토하여야 하고, 검토에 대한 이력을 회의록 등에 기록하고 보관하여야 한다
--> 정보보호 정책서에 "연 1회 이상 검토하여야 한다" 항목이 존재해야 합니다.(셈플 정책서에 포함되어 있습니다.)
■ 다음의 경우를 포함하여 클라우드컴퓨팅서비스의 환경변화에 따른 정보보호정책 및 시행문서의 정합성 및 타당성을 검토하여야 한다.
- 정보보호 및 개인정보 관련 법적 요구사항
- 공공기관의 보안요구사항이 반영된 계약서, SLA 내용
- 보안감사 결과 발견된 사항에 대한 보완조치
- 중대한 보안사고 결과
- 새로운 위협 또는 취약점
- 정보보호 환경의 중대한 변화
- 조직 사업 환경의 변화
--> 실제 현업에서는 정보보호담당자가 월별/분기별로 "클라우드컴퓨팅법,정보보호법,개인정보보호법"에 제개정 되는 항목이 있는지 확인 하여 검토하는 것을 권장합니다. "회사 또는 서비스에 영향이 있는 부분이 있는지 검토했다" 라는 증적을 남겨야 합니다.
|
■ 정보보호 정책 및 시행문서 검토 시에는 정보보호 실무조직 인원과 이해관계자가 참여하여 검토하여야 한다.
--> 실제 회사내 부서(DevOps등)가 참여했다는 서명을 검토 회의록에 서명하고 CISO에 보고하여 결재를 받아야 합니다.
|
📎 첨부된 증적 파일
- 첨부파일 없음