[isms-p 정리] 1.3.2.보호대책 공유

[isms-p 정리] 1.3.2.보호대책 공유

※인증기준

보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다.

※ 내용정리
조직 내에서 수립하고 구현한 보호대책을 임직원, 협력사 등 관련 대상에게 명확하게 전달하고 인식시키는 것을 요구,
정보보호와 개인정보 보호를 위한 규칙과 절차를 공유하여 구성원들이 준수하도록 만드는 활동

- 보호대책 내부 공유
 > 정보보호 정책, 개인정보 처리지침, 업무별 보안 절차 등 보호대책을 임·직원이 이해하고 따라야 하므로 내부 전파 필요
 > 사내 업무게시판 게시, 이메일 공지, 정기 보안 교육등을 통해 구성원 전파

- 협력업체 및 외부 이해관계자 공유
 > 위탁/수탁 계약 시 보호조치 의무 포함
 > 개인정보 처리 위탁 시 보안기준, 사고 대응 절차 등 포함한 협약 공유
   : 보안서약서, 보안요구사항이 명시된 계약서, 교육이수 등
   
- 공유 여부 및 방법 증적 확보
 > 정책 배포이력, 교육자료, 서명 명단, 공지 이력 등의 문서화
 > 보호대책이 단순히 수립된 것이 아니라 실제 전달되었는지가 중요
 
- 정기적, 반복적 공유 활동 필요
 > 신규 입사자 대상 오리엔테이션 포함
 > 연 1회 이상 전체 보안교육, 보안 캠페인, 퀴즈, 게시물 등 다양한 방식 활용
 

결함사례
- 보호대책 미공유
D사는 정보보호 정책 및 개인정보 보호지침을 수립하고 시스템에도 보호대책을 적용했으나, 직원들에게 해당 내용이 전혀 공유되지 않음
 > 보안 정책은 보안팀 내부 문서로만 존재, 인트라넷 공지나 메일 발송도 하지 않음
 > 임직원들은 개인정보 취급 시 어떤 기준과 절차를 따라야 하는지 인지하지 못함
 
영향
 > 보안 규칙을 몰라서 직원의 실수나 무지로 인한 사고 가능성 증가
 > isms-p 심사에서 "보호대책이 구성원에게 전달되지 않음"으로 결함판정
 > 조직 내 보안 인식 저하 및 보안 문화 미정착

- 보호대책 및 일부 직원에게만 공유
D사는 보안 정책을 일부부서(IT, 기획팀 등)에만 전달하고, 개발자, 고객센터, 외부 인력 등 실제 개인정보를 다루는 인원에게는 전달하지 않음
 > 고객정보를 처리하는 고객센터 지원들은 비밀번호 변경 주기나 화면잠금 정책등을 알지 못함
 > 협력사 인력은 개인정보 처리 시 지켜야 할 보안 수칙을 전달받지 못함
 
영향
 > 직접적 보안 위험에 노출된 인력에게 보호대책이 공유되지 않아 사고 가능성 증가
 > 부분적 공유는 전체 보호대책의 실효성 약화
 > 심사 시 "전사적 공유 미흡" 으로 지적

- 보호대책 공유 이력 및 증적 없음
D사는 사내 인트라넷에 보안정책을 게시했다고 주장했지만, 공지일자나 배포기록, 열람로그 등 증적이 없음
 > 교육자료는 존재하나 참석자 명단, 수료증, 캡쳐 등이 없음
 > 외부 감사 시 보호대책 공유 여부를 입증할 수 없음
 
영향
 > 공유했다고 해도 증거가 없으면 평가에서 인정되지 않음
 > 심사에서 "보호대책 공유 증적 미비"로 결함 판정
 > 향후 사고 발생 시 교육 미실시로 간주되어 법적책임소지 증가
 
- 보호대책 공유 후 정기적 갱신 및 재교육 없음
D사는 3년전에 한차례 보호대책을 공유하고, 이후 법령이나 조직환경 변화가 있었음에도 불구하고 재공유나 업데이트를 하지 않음
 > 개인정보 보호법 개정으로 '처리목적고지'의무가 추가되었지만 이를 교육하지 않음
 > 신규 입사자에 대한 보안정책 안내 누락
 
영향
 > 변화된 보안 요구사항이 반영되지 않음
 > 신규직원 및 외주 인력은 보호대책을 전혀 모르고 업무 수행
 > 심사에서 "보호대책 정기 공유 미흡"으로 결함 처리
 
- 외부 협력업체 대상 보호대책 공유 누락
D사는 개인정보 처리를 외부업체에 위탁하고 있지만, 보안 요구사항이나 보호대책을 협력업체와 공유하지 않음.
 > 위탁 계약서에 보안 조항이 없거나, 구두로만 통보
 > 외부 인력이 정보시스템에 접근하더라도, 접근통제 및 보안교육이 제공되지 않음
 
영향
 > 외부 위탁사의 보안관리 미흡으로 인한 개인정보 유출 가능성 증가
 > 개인정보 보호법 상 '수탁사 관리책임' 위반 소지
 > isms-p 심사에서 "외부 대상 보호대책 공유 누락"으로 지적 및 개선 조치 요구

증거자료
정보보호 및 개인정보보호 대책별 운영 또는 시행부서 현황
정보보호 및 개인정보 관리계획 내부공유 증적(공지 내역, 교육/공유 자료 등)