2. 인적보안 |
||||
| 2.1.1 | 고용 계약서에 정보보호 정책 및 관련 법률을 준수하도록 하는 조항 또는 조건을 포함시키고, 새로 채용하거나 합류한 근무 인력이 클라우드컴퓨팅서비스의 설비, 자원, 자산에 접근하도록 허용하기 전에 계약서에 대한 해당 인력의 서명을 받아야 한다. |
|||
| 2.1.2 | 클라우드컴퓨팅서비스의 시스템 운영 및 개발, 정보보호 등에 관련된 임직원의 경우 주요 직무자로 지정하여 관리하고, 직무 지정 범위는 최소화하여야 한다. | |||
| 2.1.3 | 권한 오남용 등 내부 임직원의 고의적인 행위로 발생할 수 있는 잠재적인 위협을 줄이기 위하여 직무분리 기준을 수립하고 적용하여야 한다. |
|||
| 2.1.4 | 정보보호와 개인정보보호 등을 위해 필요한 사항을 비밀유지 서약서에 정의하고 주기적으로 갱신하여야 한다. |
|||
| 2.1.5 | 정보보호 정책을 위반한 임직원에 대한 징계 규정을 수립하고, 위반 사항이 발생 시 규정에 명시된 대로 징계 조치를 취하여야 한다. 또한 정보보호 정책을 충실히 이행한 임직원에 대한 보상 방안도 마련하여야 한다. |
|||
| 2.1.6 | 임직원의 퇴직 또는 직무변경에 관한 책임을 명시적으로 정의하고 수행하여야 한다. 또한 이에 대한 접근권한도 제거하여야 한다. |
|||
| 2.2.1 | 외부인력(외부유지보수직원, 외부 용역자 포함)의 정보 자산 접근 등과 관련된 보안 요구사항을 계약에 반영하여야 한다. |
|||
| 2.2.2 | 계약서에 명시한 보안 요구사항 준수여부를 주기적으로 점검하고 위반사항이나 보안사고 발생 시 적절한 조치를 수행하여야 한다. |
|||
| 2.2.3 | 외부 인력과의 계약 만료 시 자산 반납, 접근권한의 회수, 중요정보 파기, 업무 수행 시 알게 된 정보에 대한 비밀유지서약 등을 확인하여야 한다. | |||
| 2.3.1 | 모든 임직원 및 외부 업무 관련자를 포함하여 연간 정보 보호 교육 프로그램을 수립하여야 한다. |
|||
| 2.3.2 | 모든 임직원 및 외부 업무 관련자를 대상으로 연 1 회 이상 정보보호 교육을 시행하고 정보보호 정책 및 절차의 중대한 변경, 내외부 보안사고 발생, 관련 법규 변경 등의 사유가 발생하면 추가 교육을 실시하여야 한다. |
|||
| 2.3.3 | 정보보호 교육 시행에 대한 기록을 남기고 결과를 평가하여 개선하여야 한다. | |||
반응형
'정보보안•정보보호관리체계 > CSP 안정성 평가' 카테고리의 다른 글
| O2O(Online to Offline) 서비스 (0) | 2024.03.05 |
|---|---|
| [기본-보호조치] 1.정보보호정책 및 조직 (0) | 2024.03.01 |