1. 관리체계 수립 및 운영
1.1 관리체계 기반 마련
1.1.1 경영진의 참여
최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사 결정 체계를 수립하여 운영하여야 한다.
ㅇ 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화
- 의사결정 등의 책임과 역할 등 활동의 근거를 정보보호 및 개인정보보호 정책 또는 시행 문서에 명시
* 정보보호 정책서에 분기별로 정보보호 현황을 경영진에게 보고하도록 명시 하였으나, 장기간 관련 보고 미수행
ㅇ 경영진이 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립. 이행
- 정보보호 및 개인정보보호 관리체계 내 경영진이 참여하는 활동을 정의하고 그에 따른 보고체계 마련
- 효과적으로 참여할 수 있도록 조직 규모 및 특성에 맞게 보고 및 의사결정 절차, 대상, 주기 등 결정
- 수립된 절차에 따라 관리체계 내 주요 사항에 대하여 보고를 받고 의사결정 참여
* 중요 정보보호 활동을 수행하면서 관련 활동 보고, 승인 등 의사결정에 경영진 권한을 위임받은자가 참여하지
않았거나, 관련 증적이 확인되지 않은 경우
1.1.2 최고책임자의 지정
최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.
ㅇ 최고경영자는 정보보호 및 개인정보보호 관리 업무를 총괄하는 최고책임자를 공식적으로 지정(인사발령 등)
- 최고책임자는 인사발령 등을 통해 공식으로 임명, 당연직의 경우 정보보호 및 개인정보보호 정책서에 직위명시
ㅇ 최고책임자는 예산, 인력 등 자원을 할당 할 수 있는 임원급으로 지정 및 법령에 따른 자격요건 충족
(망법 시행령 제36조의7)
- 정보보호 및 개인정보보호 최고책임자는 관련 지식 및 소양이 있는자로, 자원을 할당 할 수 있는 임원급으로 지정
* 최고책임자 지정 및 신고 의무 대상자임에도 정보보호 최고책임자를 지정 및 신고하지 않은경우
| 망법 제45조의3(정보보호 최고책임자의 지정 등) ① 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 대통령령으로 정하는 기준에 해당 하는 임직원을 정보보호 최고책임자로 지정하고 과학기술정보통신부장관에게 신고하여야 한다. 다만, 자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우에는 정보보호 최고책임자를 신고하지 아니할 수 있다. ⑦ 정보보호 최고책임자의 자격요건 등에 필요한 사항은 대통령령으로 정한다. 망법 시행령 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등) ① 법 제45조의3제1항 본문에서 “대통령령으로 정하는 기준에 해당하는 임직원”이란 다음 각 호의 구분에 따른 사람을 말한다. <신설 2021. 12. 7.> 1. 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 사업주 또는 대표자 가. 자본금이 1억원 이하인 자 나. 「중소기업기본법」 제2조제2항에 따른 소기업 다. 「중소기업기본법」 제2조제2항에 따른 중기업으로서 다음의 어느 하나에 해당하지 않는 자 1) 「전기통신사업법」에 따른 전기통신사업자 2) 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 3) 「개인정보 보호법」 제30조제2항에 따라 개인정보 처리방침을 공개해야 하는 개인정보처리자 4) 「전자상거래 등에서의 소비자보호에 관한 법률」 제12조에 따라 신고를 해야 하는 통신판매업자 2. 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 이사 가. 직전 사업연도 말 기준 자산총액이 5조원 이상인 자 나. 법 제47조제2항에 따라 정보보호관리체계 인증을 받아야 하는자 중 직전 사업연도 말 기준 자산총액 5천억원 이상 3. 제1호 및 제2호에 해당하지 않는 정보통신서비스 제공자: 다음 각 목의 어느 하나에 해당하는 사람 가. 사업주 또는 대표자 나. 이사 다. 정보보호 관련 업무를 총괄하는 부서의 장 ③ 법 제45조의3제1항 단서에 해당하는 자가 정보보호 최고책임자를 신고하지 않은 경우에는 사업주나 대표자를 정보보호 최고책임자로 지정한 것으로 본다. <신설 2021. 12. 7.> ④ 법 제45조의3제1항 및 제7항에 따라 정보통신서비스 제공자가 지정ㆍ신고해야 하는 정보보호 최고책임자는 각 호의 어느 하나에 해당하는 자격을 갖추어야 한다. 이 경우 정보보호 또는 정보기술 분야의 학위는 「고등교육법」 제2조 각 호의 학교에서 「전자금융거래법 시행령」 별표 1 비고 제1호 각 목에 따른 학과의 과정을 이수하고 졸업하거나 그 밖의 관계법령에 따라 이와 같은 수준 이상으로 인정되는 학위를, 정보보호 또는 정보기술 분야의 업무는 같은 비고 제3호 및 제4호에 따른 업무를 말한다. <개정 2021. 12. 7.> 1. 정보보호 또는 정보기술 분야 석사학위 이상 학위를 취득한 사람 2. 정보보호 또는 정보기술 분야 학사학위를 취득한,해당 분야의 업무를 3년 이상 경력 3. 정보보호 또는 정보기술 분야 전문학사학위 취득한, 해당 분야의 업무를 5년 이상 경력 4. 정보보호 또는 정보기술 분야 업무를 10년 이상 수행한 경력 5. 법 제47조제6항제5호에 따른 정보보호 관리체계 인증심사원의 자격 취득 6. 해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무 경력 ⑤ 법 제45조의3제3항에서 “자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자”란 정보 통신 서비스 제공자로서 제1항제2호 각 목의 어느 하나에 해당하는 자를 말한다. <개정 2021. 12. 7.> ⑥ 제5항에 따른 정보통신서비스 제공자가 지정ㆍ신고해야 하는 정보보호 최고책임자는 제4항에 따른 자격을 갖추고 상근(常勤)하는 사람으로서 다음 각 호의 어느 하나에 해당하는 자격을 추가 필요 1. 정보보호 분야의 업무를 4년 이상 수행한 경력이 있는 사람 2. 정보보호 분야, 정보기술 분야 업무경력 합산 기간이 5년(정보보호 분야의 업무 2년 이상 경력) 이상인 사람 개보법 제32조(개인정보 보호책임자의 업무 및 지정요건 등) ② 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우, 다음 각 호의 구분에 따라 지정 1. 공공기관: 다음 각 목의 구분에 따른 기준에 해당하는 공무원 등 가. 중앙행정기관: 고위공무원단에 속하는 공무원(이하 “고위공무원”이라 한다) 또는 그에 상당 나. 가목 외에 정무직공무원을 장(長)으로 하는 국가기관: 3급 이상 또는 그에 상당 다. 가목 및 나목 외에 고위공무원, 3급 공무원(상당)을 장으로 하는 국가기관: 4급 이상 또는 그에 상당 라. 가목부터 다목까지 외의 국가기관(소속 기관을 포함한다): 개인정보 처리 관련 업무를 담당하는 부서의 장 마. 시ㆍ도 및 시ㆍ도 교육청: 3급 이상 또는 그에 상당 바. 시ㆍ군 및 자치구: 4급 또는 그에 상당 사. 제2조제5호에 따른 각급 학교: 해당 학교 행정사무 총괄하는 사람 아. 가목부터 사목까지 외의 공공기관: 개인정보 처리 관련 업무를 담당하는 부서의 장 2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람 가. 사업주 또는 대표자 나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장) ③ 제2항에도 불구하고 개인정보처리자가 「소상공인기본법」 제2조에 따른 소상공인에 해당하는 경우에는 별도의 지정 없이 그 사업주 또는 대표자를 개인정보 보호책임자로 지정한 것으로 본다.다만, 개인정보처리자가 별도로 개인정보보호책임자를 지정한 경우에는 그렇지 않다. |
1.1.3 조직 구성
최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호담당자로 구성된 협의체를 구성하여 운영하여야 한다.
ㅇ 관리체계의 지속적 운영을 위해 필요한 조직구성의 근거를 정보보호 및 개인정보보호 정책서 등에 명시하고, 전문성을 갖춘 실무조직을 구성하여 운영
- CISO, CPO, 실무조직, 위원회 등 정보보호 조직의 구성, 운영에 대한 사항을 정책서 및 내부관리계획에 명시
- 실무조직은 전담, 겸임으로 구성가능하나, 겸임조직을 구성하더라도 역할 및 책임이 공식적으로 부여필요
- 실무조직의 구성원은 정보보호 및 개인정보보호 전문성과 다양한 서비스 이해와 경험이 많은 직원으로 구성
ㅇ 조직전반에 중요한 정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성, 운영 필요
- 위원회는 경영진, CISO, CPO 등 의사결정 권한이 있는 임직원으로 구성하여 정기 또는 사안에 따라 수시개최
-> 주요사안 : 정책, 지침의 제,개정, 위험평가 결과, 예산 및 자원 할당, 보안, 위반사고 조치, 내부감사 결과 등
* 정보보호 및 개인정보보호 위원회를 구성하였으나, 실무부서 장으로만 구성되어 있어 주요 정보보호사항에 대해 결정할 수 없는 경우
* 위원회를 개최하였으나, 연간 정보보호 및 개인정보보호 계획, 교육 계획, 예산인력 등 주요 사항이 검토 및 의사 결정이 되지 않은 경우
ㅇ 전사적 활동을 위해 정보보호 및 개인정보보호 관련 담당자, 부서별 담당자로 구성된 실무협의체를 구성 운영필요
- 실무 협의체에서는 정보보호 및 개인정보보호 관련사항을 실무차원에서 공유,조정,검토,개선하고, 의사결정 및 경영진 지원 필요시 위원회에 상정하여 논의
* 내부 지침에 따라 중요 정보처리 부서 및 개인정보처리 부서장(팀장급)으로 구성된 실무협의체를 구성하였으나, 장기간 미운영
1.1.4 범위 설정
조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화 하여야 한다.
ㅇ 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 관리체계 범위에 포함하여야 함
- 관리체계 범위에는 사업(서비스)와 관련된 임직원, 정보시스템, 정보, 시설 등 유, 무형의 핵심자산을 누락없이 포함
- 관리체계 의무대상자 경우 법적 요구사항에 따른 정보통신서비스 및 관련 정보자산 의무적으로 포함하여 범위 설정
ㅇ 정의된 범위 중 예외사항이 있을 경우 명확한 사유 및 관련자 협의, 책임자승인 등 관련 근거를 기록, 관리 하여야 함
- 정보보호 관리체계와 개인정보 관리체계의 범위가 상이한 경우 인증범위 내의 정보자산 목록(개인정보, 시스템, 네트워크 등)을 정보보호 관리체계 및 개인정보보호 관리체계 관점에서 명확하게 식별하여 정의
- 인증범위에서 제외되는 서비스, 정보시스템 등에 대해서는 내부 협의 및 책임자 승인을 거친 후 사유 및 근거 기록 관리
ㅇ 관리체계 범위를 명확히 할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이 포함된 문서를 작성하여 관리하여야 한다.
- 주요 서비스 및 업무 현황(개인정보 처리 업무 현황 포함)
- 서비스 제공과 관련된 조직 현황(조직도 등)
- 정보보호 및 개인정보보호 조직 현황
- 주요 설비 목록
- 정보시스템 목록 및 네트워크 구성도
1.1.5 정책 수립
1.1.6 자원 할당
1.2 위험 관리
1.2.1 정보자산 식별
1.2.2 현황 및 흐름분석
1.2.3 위험평가
1.2.4 보호대책 선정
1.3 관리체계 운영
1.3.1 보호대책 구현
1.3.2 보호대책 공유
1.3.3 보호대책 관리
1.4 관리체계 점검 및 개선
1.4.1 법적 요구사항 준수 검토
1.4.2 관리체계 점검
1.4.3 관리체계 개선
'Certificate > ISMS-P' 카테고리의 다른 글
| 정보보호 및 개인정보보호 관리체계(ISMS-P) - 관리체계 수립 및 운영 (0) | 2022.07.06 |
|---|---|
| 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 기준 (0) | 2022.07.06 |
| 통제 항목 (0) | 2014.10.21 |