[중요2][ISMS] 정보보호 기본정책 템플릿 & 내부감사 체크리스트 !!

 

 

실제 정보보호 인증(ISMS·ISO 27001 등) 준비 시 참고할 수 있는
① 정보보호 기본정책 템플릿(샘플) 과
② 내부감사 체크리스트(예시) 를 정리했습니다.

✅ 이 자료는 경영진 보고용 초안 및 심사 대응용 문서로 바로 응용할 수 있게 구성되어 있습니다.
✅ 각 항목은 실제 인증 심사 기준(ISMS, ISO27001 공통 요구사항)에 맞춰 작성되었습니다.

---

🧩 ① 정보보호 기본정책 (샘플 템플릿)

문서명: 정보보호 기본정책 (Information Security Policy)
버전: 1.0
작성일자: YYYY.MM.DD
작성부서: 정보보호팀
승인자: 최고경영자(CEO)
적용범위: 회사 전 임직원 및 외주 인력, 정보자산 및 관련 시스템

---

1. 목적

본 정책은 회사의 정보자산을 보호하기 위해 정보보호 목표 및 방향성을 명확히 규정하고, 정보보호 관리체계를 구축·운영함으로써 기밀성, 무결성, 가용성을 확보하는 것을 목적으로 한다.

---

2. 적용범위

본 정책은 회사의 모든 정보자산(시스템, 네트워크, 데이터, 문서, 인력, 시설 등) 과 이를 사용하는 임직원 및 협력업체 인력에게 적용된다.

---

3. 정보보호 목표

1. 회사의 핵심정보(고객정보, 서비스운영데이터 등)의 기밀성, 무결성, 가용성을 보장한다.
2. 관련 법률(개인정보보호법, 정보통신망법 등) 및 계약상의 보안의무를 준수한다.
3. 정보보호 사고를 사전에 예방하고, 발생 시 신속히 대응하여 피해를 최소화한다.
4. 임직원의 보안의식을 향상시키고, 정보보호 문화를 정착시킨다.

---

4. 정보보호 조직 및 책임

구분	주요 역할	담당
최고경영자(CEO)	정보보호 총괄책임 승인, 자원 지원	CEO
CISO(정보보호최고책임자)	정책 수립, 위험관리, 사고대응 총괄	보안담당 임원
정보보호팀	정책 관리, 점검, 교육, 사고대응	정보보호팀
각 부서장	소속 부서의 정보보호 책임	각 부서장
임직원	정책 준수, 이상행동 보고	전 직원

---

5. 정보보호 관리체계

회사는 PDCA(Plan–Do–Check–Act) 사이클에 따라 정보보호 관리체계를 구축·운영한다.

• Plan: 정보보호 목표·정책·위험관리 계획 수립
• Do: 통제수단 적용, 교육, 보안운영 수행
• Check: 내부감사, 점검, 모니터링
• Act: 시정조치 및 개선, 재평가

---

6. 주요 보안통제 항목

구분	주요 내용
접근통제	최소권한, 계정관리, 접근권한 검토
물리적 보안	출입통제, CCTV, 방문자 관리
네트워크 보안	방화벽, IDS/IPS, 암호화 통신
시스템 보안	취약점 점검, 패치관리, 백업관리
데이터 보호	개인정보 마스킹, 암호화, 로그관리
사고 대응	침해사고 대응절차, 보고체계
인적보안	교육, 비밀유지서약서, 퇴직 시 회수
외주보안	보안서약, 계약조항, 정기 점검
재해복구	BCP/DRP 수립 및 모의훈련
준거성	법규 및 인증요건 준수 점검

---

7. 교육 및 인식제고

• 연 1회 이상 정기 정보보호 교육 실시
• 신규 입사자 및 외주 인력에 대한 보안서약서 징구
• 주요 사고 사례 공유 및 보안캠페인 운영

---

8. 정보보호 사고 대응

• 보안사고 발생 시 즉시 정보보호팀에 보고
• 사고 대응팀 구성 → 원인분석 및 복구조치 수행
• 사고보고서 작성 및 경영진 보고
• 재발방지 대책 수립 및 후속 교육 실시

---

9. 정책의 관리 및 개정

• 본 정책은 최소 연 1회 이상 검토 및 필요 시 즉시 개정한다.
• 변경 시 최고경영자의 승인을 받아 시행한다.

---

10. 시행일

본 정책은 최고경영자의 승인일로부터 시행한다.

승인자: __________________________
날짜: __________________________

---

 

 

 

 

 

 

🧾 ② 내부감사 체크리스트 (예시)

목적: 인증유지 및 PDCA 검증을 위해 정보보호 운영 실태를 점검하기 위한 내부감사 항목입니다.

구분	점검 항목	점검 내용	점검 결과(√/X)	개선조치
1. 조직 및 책임	CISO 지정 및 역할 수행	정보보호 최고책임자가 지정되어 있는가? 역할이 명확히 정의되어 있는가?
2. 정책관리	정보보호 정책 수립 및 검토	최신 정책이 문서화되어 있으며, 경영진 승인 및 주기적 검토가 이루어지는가?
3. 자산관리	자산목록 관리	자산이 식별·분류되어 있고 최신화되어 있는가?
4. 위험관리	리스크 평가 및 처리계획	최근 1년 내 리스크 평가가 수행되고 결과가 반영되었는가?
5. 접근통제	계정관리 / 권한검토	사용자 계정·권한이 주기적으로 검토되는가? 퇴직자 계정은 즉시 회수되는가?
6. 암호관리	암호정책 준수	암호길이·복잡도 기준이 정책대로 적용되는가?
7. 로그/모니터링	로그기록 유지	중요시스템 로그가 보존·점검되고 있는가?
8. 물리보안	출입통제	서버실 출입기록이 관리되고 있는가? 외부인 방문통제 절차가 있는가?
9. 외주보안	외주인력 보안관리	외주인력의 접근권한, 보안서약, 관리절차가 존재하는가?
10. 사고대응	사고 대응 및 보고체계	사고 발생 시 보고·조치 절차가 명확하며 훈련이 이루어졌는가?
11. 백업관리	데이터 백업 및 복구 테스트	백업 주기·복구검증 절차가 정의되어 있는가?
12. 교육훈련	보안 교육 이행	전 직원 대상 정기 보안교육이 시행되었는가?
13. 준거성	법규 및 인증요건	개인정보보호법·ISMS 요건 준수 여부가 점검되는가?
14. 개선관리	시정조치 및 추적관리	이전 감사의 지적사항이 개선되었는가?

---

🔍 감사결과 보고서 요약(예시)

• 감사기간: YYYY.MM.DD ~ YYYY.MM.DD
• 감사대상: 전사 정보보호 운영체계
• 총 점검 항목: 14개
• 양호: 12 / 개선필요: 2
• 개선사항 요약:
  1. 서버 접근 로그 3개월 미보존 → 보존기간 6개월 이상으로 조정 예정
  2. 외주관리 절차 미비 → 외주보안 서약 및 계정회수 프로세스 강화 예정
• 조치기한: YYYY.MM.DD
• 책임부서: 정보보호팀 / 각 시스템 담당부서