보안 정책 활동은 승인, 위험, 운영, 개선 증거로 남긴다
정보보호 관리체계는 문서 존재보다 수립, 운영, 점검, 개선 기록이 이어지는지가 핵심이다.
적용 범위, 개정 이력, 책임자를 확인한다.
자산 등급, 위험평가, 처리 계획이 이어져야 한다.
권한, 교육, 외부자, 물리보안 수행 증거를 남긴다.
미흡사항, 계획, 완료 확인으로 PDCA를 완성한다.
| 구분 | 의미 | 판단 |
|---|---|---|
| 정책 | 승인·배포 | 최고책임자 승인과 개정 이력 |
| 위험평가 | 보호대책 선정 근거 | 자산 목록과 처리 계획 |
| 감사 | 개선 조치 | 조치 완료 확인과 재발 방지 |
핵심 관리체계 답안은 제도 이름보다 누가 승인했고 무엇을 점검했으며 어떤 기록이 남았는가를 써야 한다.