정보보안 규정 과 자침 그리고 전산관리방안에 대한 규정집을 개정된 내용으로 수정을 해야할 것 같습니다..
이런 업무를 해본적이 없어서 당황스러운데요 ..
우선 개정을 하면 개정전과 후를 비교해서 왜 개정을 해야하는지에 대해 설명을 하는 형식인데
혹시 금융 또는 기관에서 관리하시는 업무중에 규정집을 개정하는 프로세스가 어떻게되는지 알 수 있을까요?
너무 두리뭉실하게 질문을 한 것 같아 죄송합니다.
2017-07-10(월) 15:18:59에 작성 되었습니다. 2017-07-14(금) 10:42:58에 수정 되었습니다
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
9개의 답변이 있습니다.
금융기관은 아니지만 당사 프로세스기준으로 말씀드리면.
1.개정사유발생
- 관련법이나 ISO규정, 또는 내부적인 필요성이 있을때 개정을 검토합니다.
2.실무자 검토
- 변경 당위성과 어떤 규정을 어떻게 변경하고 변경 후 문제점은 없는지 일차 체크
3.팀장 및 CIO검토
- 실무자 검토안을 상위자가 재 검토합니다. 여기서 최종 결정을 합니다.
4.대표이사승인
- 특별한 사유없는 형식적인 절차이지만 중요합니다.
5.실행 및 배포, 공지
-변경된 사항을 개정하고 실행합니다.
위와 같은 프로세스로 운영합니다. 금융권도 아마 비슷하지 않나 생각합니다.
교육집단이다보니
교육청 공고나, 법령 개정등이 이루어지면
바로바로 개정을 합니다.
개정법이 나오고
내부 결재 기안을 타고
사규를 개정합니다.
쉐어드IT 보면 나빼고 다들 일 엄청 잘하시는듯,,
법규가 바뀌어서 개정해야 한다면 법규로 인해 개정한다는게 이유가 될거고...
기존 규정, 지침에 문제가 있어 바꾼다면 그 문제가 개정하는 이유가 될거고...
시스템이 변경되어 변경된 시스템에 맞추어 규정, 지침을 바꾼다면 변경된 시스템에 맞추려는 게 이유가 될거고...
특별한 이유가 없다면 굳이 바꿀 필요는 없을 것 같은데요.
내부 Process가 변경되거나 조직, R&R등이 변경이 되면 관련 규정들을 개정을 진행하고 있습니다.
1년에 한번도 안한 규정도 있고.. 1년에 3~4번이상 개정하는 규정도 있네요.
먼저 답글을 달아주신분들처럼.
1. 개정할 목적을 확실히 정하고.. (관련 상위 법령이 개정되었거나.. 프로세스가 바뀌었거나.. 등등)
2. 개정전, 개정후 비교를 해서 경영위원회에 공유를 하고... 관련되어서 발표하고.. F/B을 받고.. 다시 발표하고..
3. 최종 온,오프라인 결재후에 관련사항 공지하고 교육하고..
4. 또 프로세스가 변경되거나 추가되는 사항이 있으면.. 1번부터 다시 시작...
규정집을 개정하는 프로세스는 별도로 존재는 합니다...
(그것도 규정화되어있지만.. 보통 그렇게 잘하지 않네요..)
그렇게 하려면 그 프로세스에 맞는 양식을 규정개정하는 전담팀으로 이관해서 분석하고.. 그걸 다시 경영위 공유를 하고.. 하는 방식이라... 그냥 현업에서 진행하는것이 더 빨라서.. 그 규정은 안지켜지고 있습니다..ㅎㅎ
우선은 해당 문서들은 각종 감사, 법규 에서 권고하는 내용을 기반으로 작성을 하셨을거구요.
그런데 우리 시스템, 환경이 100% 권고 사항을 만족 할 수는 없잖아요?
그래서 저희는 그런 것들을 우리가 운영 하려는 수준으로 수정하고 CIO (문서상 개인정보관리 책임자) 의 승인을 받습니다.
그게 다에요.
예를 들어서 권고 사항이 "분기별로 모든 시스템 계정 비밀번호를 바꾸고, 계정을 점검하는 활동을 해라" 인데 우리는 일부 시스템 계정의 비밀번호를 바꾸면 시스템에 장애가 발생 할 수 있어서 Risk가 높기 때문에 1년에 1회 바꾼다거나 안바꾼다거나, 계정 점검을 1년에 1회 한다거나 이렇게 수정을 하고 CIO 가 승인을 했다면 우리는 권고는 년 4회지만 비즈니스 리스크로 인해 년 1회 수행한다 그 부분에 대한 리스크는 CIO가 인지했고 승인했다.
라는 논리가 성립이 되니까요.
물론 우리는 그 문서에 적힌 대로 보안을 운영 해야하구요.
저희는 복잡하지 않고 담당자가 문서 내용 바꾸고 팀장, CIO 승인 받는게 전부 입니다.
guest | 7년 이하 전
네 어쩔 수 없이 비슷한 곳을 찾아서 탐색하는 수밖에 없겠네요^^; 답변 감사드립니다.
개정해야 하는 사유 (법적근거 or 내부사정) 공론화 -> 수정되야 할 내용 선별(TF) -> 수정(IT) ->법적검토(법무팀)->반영(경영지원팀) 그냥 이렇게 합니다 ^^
guest | 7년 이하 전
그렇죠 아무래도 해당 내용도 일반적인것 같네요 프로세스는 비슷하게 처리해보겠습니다. 감사드립니다.
중소기업이다보니 적용되는 관련 법규도 많지않고 간혹 법규가 변경되었을때 그부분을 내부 정보보안 규정에 반영하는 수준(Copy & Paster) 이라 머라 도움드리기 어렵네요 ;;;;;
guest | 7년 이하 전
답변감사드립니다^^;