항목 | 설명 |
정보보안방침 (Security Policy) | 정보보안에 대한 경영방침과 지원사항에 대한 통제구조 확인 |
정보보안조직 (Organization and Information Security) | 조직 내에서 보안을 효과적으로 관리하기 위한 보안조직 구성 및 책임과 역할에 대한 규명 |
자산관리 (Assets Management) | 조직의 자산에 대한 분류 및 이에 따른 적절한 보호 프로세스 검토 |
인적 자원 보안 (Human Resources Security) | 사람에 의한 실수, 절도, 부정 수단이나 설비의 잘못 사용으로 인한 인한 대응방안 확인 |
물리 및 환경 보안 (Physical and Environment Security) | 비인가된 접근, 손상, 사업장과 정보에 대한 영향 대응책 여부 |
의사소통 및 운영관리 (Communication and Operations Management) | 정보처리 설비의 정확하고 안전한 운영방안 여부 |
접근통제 (Access Control) | 정보 접근 통제 방안 여부 |
정보시스템 인수, 개발 및 유지보수 (Information System Acquisition, Development and Maintenance) | 정보시스템 보안이 수립되었음을 보장하는 방안 존재 여부 |
정보보안사고 관리 (Information Security Incident Management) | 정보보안 사고와 취약점이 허용기간 내에 교정과 의사전달이 되는지 여부 |
사업 연속성 관리 (Business Continuity Management) | 사업활동의 방해요소를 완화시키며 주요 실패 및 재해의 영향으로부터 주요 사업활동을 보호하기 위한 프로세스 존재 여부 |
부합성 or 적법성 or 준거성 (Compliance) | 범죄 및 민사상의 법률, 법규, 규정 또는 계약 의무사항 및 보안 요구 사항의 불일치를 회피하는 방안 존재 여부 |