IT 강좌(IT Lectures)/ISMS-P

1.1 관리체계 기반 마련

소울입니다 2023. 6. 14. 17:15
728x90
반응형

 

항목 1.1.1 경영진의 참여
인증기준 최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다.
주요 확인사항 정보보호 및 개인정보보호 관리체계의 수립 및 운영 활동에 경영진의 참여가 이루어질 수 있도록 보고 및 의사 결정 등의 책임과 역할을 문서화 하고 있는가?

경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립·이행하고 있는가?
증거자료 정보보호 및 개인정보보호 보고 체계(의사소통계획 등)
정보보호 및 개인정보보호위원회 회의록
정보보호 및 개인정보보호 정책지침(경영진 승인내역 포함)
정보보호계획 및 내부관리계획(경영진 승인내역 포함)
정보보호 및 개인정보보호 조직도
결함사례 정보보호 및 개인정보보호 정책서에 분기별로 정보보호 및 개인정보보호 현황을 경영진에게 보고하도록 명시하였으나, 장기간 관련 보고를 수행하지 않은 경우

중요 정보보호 활동(위험평가, 위험수용수준 결정, 정보보호대책 및 이행계획검토, 정보보호대책 이행결과 검토, 보안감사 등)을 수행하면서 관련 활동관련 보고, 승인 등 의사결정에 경영진 또는 경영진의 권한을 위임받은 자가 참여하지 않았거나 관련 증적이 확인되지 않은 경우

 

항목 1.1.2 최고책임자의 지정
인증기준 최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산·인력 등 자원을 할당 할 수 있는 임원급으로 지정하여야 한다.
주요 확인사항 최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고 책임자를 공식적으로 지정하고 있는가?

정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며, 관련 법령에 따른 자격요건을 충족하고 있는가?
관련 법규 「개인정보보호법」 제29조(안전조치의무), 제31조(개인정보 보호책임자의 지정)
「정보통신망법」 제45조의3(정보보호 최고책임자의 지정 등)
「개인정보의 안정성 확보조치 기준」 제4조(내부관리계획의 수립·시행)
「개인정보의 기술적·관리적 보호조치 기준」 제3조(내부관리계획의 수립·시행)
증거자료 정보보호 최고책임자 및 개인정보 보호책임자 임명관련 자료(인사명령, 인사카드 등)
정보보호 및 개인정보보호 조직도
정보보호 및 개인정보보호 정책·지침
직무기술서(정보보호 최고책임자 및 개인정보 보호책임자의 역할 및 책임에 관한 사항)
정보보호 최고책임자 지정 내역
내부관리계획(개인정보 보호 책임자 지정에 관한 사항)
결함사례 「정보통신망법」에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 정보보호 최고책임자를 지정 및 신고하지 않은 경우

「개인정보보호법」을 적용받는 민간기업이 개인정보 처리업무 관련 임원이 준재함에도 불구하고 부서장을 개인정보 보호책임자로 지정한 경우


조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고 있으나, 인사별령 등의 공식적인 지정절차를 거치지 않은 경우

ISMS 인증 의무대상자이면서 전년도 말 기준 자산총액이 5천억 원을 초과한 정보통신서비스 제공자이지만 정보보호 최고책임자가 CIO를 겸직하고 있는 경우

정보보호 최고책임자 업무 수행

  1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.
    가. 정보보호 계획의 수립·시행 및 개선
    나. 정보보호 실태와 관행의 정기적인 감사 및 개선
    다. 정보보호 위험의 식별 평가 및 정보보호 대책 마련
    라. 정보보호 교육과 모의 훈련 계획의 수립 및 시행
  2. 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.
    가. 「정보보호산업의 진흥에 관한 법률」 제13조에 따른 정보보호 공시에 관한 업무
    나.  「정보통신기반 보호법」 제5조제5항에 따른 정보보호 책임자의 업무
    다. 「전자금융거래법」 제21조의2제4항에 따른 정보보호 최고책임자의 업무
    라. 「개인정보 보호법」 제31조제2항에 따른 개인정보 보호책임자의 업무
    마. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

개인정보 보호책임자 업무 수행

  1. 개인정보 보호 계획의 수립 및 시행
  2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
  3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
  4. 개인정보 유출 및 오·남용 방지를 위한 내부통제시스템 구축
  5. 개인정보 보호 교육 계획의 수립 및 시행
  6. 개인정보파일의 보호 및 관리·감독
  7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무

개인정보 보호책임자 지정요건

공공기관  가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관: 고위공무원단에 속하는 공무원(이하 ʻ고위공무원ʼ이라 함.) 또는 그에 상당하는 공무원
 나. 가목 외에 정무직공무원을 장(長)으로 하는 국가기관: 3급 이상 공무원(고위공무원을 포함한다.) 또는 그에 상당하는 공무원
 다. 가목 및 나목 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관: 4급 이상 공무원 또는 그에 상당하는 공무원
 라. 가목부터 다목까지의 규정에 따른 국가기관 외의 국가기관(소속 기관을 포함한다.): 해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장
 마. 시·도 및 시·도 교육청: 3급 이상 공무원 또는 그에 상당하는 공무원
 바. 시·군 및 자치구: 4급 공무원 또는 그에 상당하는 공무원
 사. 제2조제5호에 따른 각급 학교: 해당 학교의 행정사무를 총괄하는 사람
 아. 가목부터 사목까지의 규정에 따른 기관 외의 공공기관: 개인정보 처리 관련 업무를 담당하는 부서의 장.
 다만 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당 공공기관의 장이 지명하는 부서의 장이 된다
민간기업 ② 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우에는 다음 각 호의 구분에 따라 지정한다.
 2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람
 가. 사업주 또는 대표자
 나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)
③ 제2항에도 불구하고 개인정보처리자가 「소상공인기본법」 제2조에 따른 소상공인에 해당하는 경우에는 별도의 지정 없이 그 사업주 또는 대표자를 개인정보 보호책임자로 지정한 것으로 본다. 
 다만 개인정보처리자가 별도로 개인정보 보호책임자를 지정한 경우에는 그렇지 않다.

 

항목 1.1.3 조직 구성
인증기준 최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다.
주요 확인사항 정보보호 최고책임자 및 개인정보 보호책임자의 업무를 지원하고 조직의 정보보호 및 개인정보보호 활동을 체계적으로 이행하기 위하여 전문성을 갖춘 실무조직을 구성하여 운영하고 있는가?

조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하고 있는가?

전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하고 있는가?
관련 법규 「개인정보보호법」 제29조(안전조치의무)
「개인정보의 안정성 확보조치 기준」 제4조(내부관리계획의 수립·시행)
「개인정보의 기술적·관리적 보호조치 기준」 제3조(내부관리계획의 수립·시행)
증거자료 정보보호 및 개인정보보호위원회 규정/회의록
정보보호 및 개인정보보호 실무 협의체 규정/회의록
정보보호 및 개인정보보호 조직도
내부관리계획
직무기술서
결함사례 정보보호 및 개인정보보호위원회를 구성하였으나, 임원 등 경영진이 포함되어 있지 않고 실무부서의 장으로 구성되어 있어 조직의 중요 정보 및 개인정보 보호에 관한 사항을 결정할 수 없는 경우

내부 지침에 따라 중요 정보처리부서 및 개인정보처리부서의 장(팀장급)으로 구성된 정보보호 및 개인정보보호 실무 협의체를 구성하였으나, 장기간 운영 실적이 없는 경우

정보보호 및 개인정보보호위원회를 개최하였으나, 연간 정보보호 및 개인정보보호 계획 및 교육 계획, 예산 및 인력 등 정보보호 및 개인정보보호에 관한 주요 사항이 검토 및 의사결정이 되지 않는 경우

위원회에서 검토 및 의사결정이 필요한 주요 사안(예시)

  • 정보보호 및 개인정보보호 정책지침의 제개정
  • 위험평가 결과
  • 정보보호 및 개인정보보호 예산 및 자원 할당
  • 내부 보안사고 및 주요 위반사항에 대한 조치
  • 내부감사 결과 등
항목 1.1.4 범위 설정
인증기준 조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다.
주요 확인사항 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가?

정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의·책임자 승인 등 관련 근거를 기록·관리하고 있는가?

정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이 포함된 문서를 작성하여 관리하고 있는가? 
증거자료 정보보호 및 개인정보보호 관리체계 범위 정의서
정보자산 및 개인정보 목록
문서 목록
서비스 흐름도
개인정보 흐름도
전사 조직도
시스템 및 네트워크 구성도
결함사례 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 외주업체직원, PC, 테스트용 단말기 등이 관리체계 범위에서 누락된 경우

정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요의사결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 인증범위에 포함하지 않는 경우

인증범위 내 조직 및 인력에 적용하고 있는 보안시스템(PC보안, 백신, 패치 등)을 인증범위에서 배제하고 있는 경우

정보통신망법에 따른 정보보호 관리체계 인증 의무대상자임에도 불구하고 인터넷에 공개되어 있는 일부 웹사이트가 관리체계 범위에서 누락된 경우

 

항목 1.1.5 정책 수립
인증기준 정보보호와 개인정보보호 정책 및 시행문서를 수립·작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진의 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다.
주요 확인사항 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책을 수립하고 있는가?

정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등으 ㄹ규정한 지침, 절차, 매뉴얼 등을 수립하고 있는가?

정보보호 및 개인정보보호 정책·시행문서의 제·개정시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받고 있는가?

정보보호 및 개인정보보호 정책·시행문서의 최신본을 관련 임직원에게 이해하기 쉬운 형태로 제공하고 있는가?
관련 법규 「개인정보보호법」 제29조(안전조치의무)
「개인정보의 안정성 확보조치 기준」 제4조(내부관리계획의 수립·시행)
「개인정보의 기술적·관리적 보호조치 기준」 제3조(내부관리계획의 수립·시행)
증거자료 정보보호 및 개인정보보호 정책/지침/절차서(제·개정 내역 포함)
정보보호 및 개인정보보호 정책/지침절차서 제·개정 시 이해관계자 검토 회의록
개인정보 내부관리계획
정보보호 및 개인정보보호 정책/지침 제·개정 공지내역(그룹웨어, 사내게시판 등)
정보보호 및 개인정보보호위원회 회의록
결함사례 내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제·개정시에는정보보호 및 개인정보보호위원회의 의결을 거치도록 하고 있으나, 최근 정책서 개정 시 위원회에 안건으로 상정하지 않고 정보보호 최고책임자 및 개인정보 보호책임자의 승인을 근거로만 개정한 경우

정보보호 및 개인정보보호 정책 및 지침서가 최근에 개정되었으나, 해당 사항이 관련 부서 및 임직원에게 공유·전달되지 않아 일부 부서에서는 구버전의 지침서를 기준으로 업무를 수행하고 있는 경우

정보보호 및 개인정보보호 정책 및 지침서를 보안부서에서만 관리하고 있고, 임직원이 열람할 수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우
항목 1.1.6 자원 할당
인증기준 최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다.
주요 확인사항 정보보호 및 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고 있는가?

정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위하여 필요한 자원을 평가하여 필요한 예산과 인력을 지원하고 있는가?

연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립·시행하고, 그 추진 결과에 대한 심사분석·평가를 실시하고 있는가?
증거자료 정보보호 및 개인정보보호 활동 연간 추진계획서(예산 및 인력운영계획)
정보보호 및 개인정보보호 활동 결과 보고서
정보보호 및 개인정보보호 투자 내역
정보보호 및 개인정보보호 조직도
결함사례 정보보호 및 개인정보보호 조직을 구성하는데, 분야별 전문성을 갖춘 인력이 아닌 정보보호 관련 또는 IT 관련 전문성이 없는 인원으로만 보안인력을 구성한 경우

개인정보처리시스템의 기술적·관리적 보호조치의 요건을 갖추기 위한 보안 솔루션 등의 비용을 최고경영자가 지원하지 않고 법적 위험을 수용하고 있는 경우

인증을 취득한 이후에 인력과 예산 지원을 대폭 줄이고 기존 인력을 다른 부서로 배치하거나 일부 예산을 다른 용도로 사용하는 경우

 

반응형

'IT 강좌(IT Lectures) > ISMS-P' 카테고리의 다른 글

1.2 위험 관리  (0) 2023.06.15
ISMS-P 인증기준 개요  (1) 2023.06.13
ISMS-P란?  (0) 2023.06.13