ISMS-P 인증 기준 1.1.3.조직 구성: Difference between revisions
From CS Wiki
(Imported from text file) |
|||
(9 intermediate revisions by 4 users not shown) | |||
Line 1: | Line 1: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P | |||
* '''분류''': [[ISMS-P | *'''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]] | ||
== 개요 == | *'''분류''': [[ISMS-P 인증 기준 1.1.관리체계 기반 마련|1.1.관리체계 기반 마련]] | ||
==개요== | |||
{| class="wikitable" | {| class="wikitable" | ||
!항목 | !항목 | ||
!1.1.3.조직 구성 | !<big>1.1.3.조직 구성</big> | ||
|- | |- | ||
| style="text-align:center"|'''인증기준''' | | style="text-align:center" |'''인증기준''' | ||
|최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다. | |최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
* 정보보호 최고책임자 및 개인정보 보호책임자의 업무를 지원하고 조직의 정보보호 및 개인정보보호 활동을 체계적으로 이행하기 위해 전문성을 갖춘 실무조직을 구성하여 운영하고 있는가? | *정보보호 최고책임자 및 개인정보 보호책임자의 업무를 지원하고 조직의 정보보호 및 개인정보보호 활동을 체계적으로 이행하기 위해 전문성을 갖춘 실무조직을 구성하여 운영하고 있는가? | ||
* 조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하고 있는가? | *조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하고 있는가? | ||
* 전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하고 있는가? | *전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하고 있는가? | ||
|- | |||
| style="text-align:center" |'''관련법규''' | |||
| | |||
*개인정보 보호법 제29조(안전조치의무) | |||
*개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행 및 점검) | |||
|} | |} | ||
== 세부 설명 == | ==세부 설명== | ||
====조직 구성·운영 및 근거 마련==== | |||
조직의 규모, 업무 중요도 등의 특성을 고려하여 정보보호 및 개인정보보호 관리체계를 구축하고 지속적으로운영하기 위하여 필요한 조직 구성의 근거를 [[정보보호 정책|정보보호 및 개인정보보호 정책서]] 등에 명시하고, 전문성을 갖춘 실무조직을 구성하여 운영하여야 한다. | |||
*[[정보보호 최고책임자]], [[개인정보 보호책임자]], 개인정보보호 실무조직, 위원회 등 정보보호 및 개인정보보호 조직의 구성·운영에 대한 사항을 정책서, [[내부 관리계획|내부관리계획]] 등에 명시 | |||
*실무조직의 구성형태 및 규모는 전사 조직의 규모, 업무, 서비스의 특성, 처리하는 정보 및 개인정보의중요도, 민감도, 법 규제 등 고려 | |||
*실무조직은 전담조직 또는 겸임조직으로 구성할 수 있으나, 겸임조직으로 구성하더라도 실질적인역할 수행이 가능하도록 역할 및 책임이 공식적으로 부여되어야 함. | |||
*실무조직의 구성원은 정보보호 및 개인정보보호 전문성과 다양한 서비스에 대한 이해도와 경험이 많은직원으로 구성(관련 학위 및 자격증 보유, 실무 경험 보유, 관련 교육 이수 등) | |||
====위원회 구성·운영==== | |||
[[정보보호위원회|조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수있는 '''위원회''']]를 구성하여 운영하여야 한다. | |||
*위원회는 정보보호 및 개인정보보호 관련하여 조직 내 이해관계를 대변하고 의사결정을 할 수 있도록 경영진, 임원, 정보보호 최고책임자, 개인정보 보호책임자 등 실질적인 검토 및 의사결정 권한이 있는 임직원으로 구성 | |||
*정기 또는 사안에 따라 수시로 위원회 개최 | |||
*위원회는 조직 전반에 걸친 주요 사안에 대한 검토, 승인 및 의사결정 수행 | |||
<blockquote>'''※ 위원회에서 검토 및 의사결정이 필요한 주요 사안(예시)''' | |||
*정보보호 및 개인정보보호 정책·지침의 제·개정 | |||
*위험평가 결과 | |||
*정보보호 및 개인정보보호 예산 및 자원 할당 | |||
*내부 보안사고 및 주요 위반사항에 대한 조치 | |||
*내부감사 결과 등 | |||
</blockquote> | |||
====실무 협의체 구성·운영==== | |||
전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별담당자로 구성된 실무 협의체를 구성하여 운영하여야 한다. | |||
*조직의 규모 및 관리체계 범위 내 서비스의 중요도에 따라 실무 협의체 구성원, 조직체계 등을 결정 | |||
*실무 협의체에서는 정보보호 및 개인정보보호 관련 사항에 대하여 실무 차원에서 공유·조정·검토·개선하고, 의사결정 및 경영진 지원이 필요한 경우에는 위원회에 상정하여 논의 | |||
==증거 자료== | |||
*정보보호 및 개인정보보호위원회 규정/회의록 | |||
*정보보호 및 개인정보보호 실무 협의체 규정/회의록 | |||
*정보보호 및 개인정보보호 조직도 | |||
*내부관리계획 | |||
*직무기술서 | |||
==결함 사례== | |||
*정보보호 및 개인정보보호위원회를 구성하였으나, 임원 등 경영진이 포함되어 있지 않고 실무부서의 장으로 구성되어 있어 조직의 중요 정보 및 개인정보 보호에 관한 사항을 결정할 수 없는 경우 | |||
*내부 지침에 따라 중요 정보처리부서 및 개인정보처리부서의 장(팀장급)으로 구성된 정보 보호 및 개인정보보호 실무 협의체를 구성하였으나, 장기간 운영 실적이 없는 경우 | |||
*정보보호 및 개인정보보호위원회를 개최하였으나, 연간 정보보호 및 개인정보보호 계획 및 교육 계획, 예산 및 인력 등 정보보호 및 개인정보보호에 관한 주요 사항이 검토 및 의사 결정이 되지 않은 경우 | |||
==같이 보기== | |||
*[[정보보호 및 개인정보보호관리체계 인증]] | |||
*[[ISMS-P 인증 기준]] | |||
*[[ISMS-P 인증 기준 세부 점검 항목]] | |||
==참고 문헌== | |||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.) | |||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, |
Latest revision as of 09:15, 27 March 2024
- 영역: 1.관리체계 수립 및 운영
- 분류: 1.1.관리체계 기반 마련
개요[edit | edit source]
항목 | 1.1.3.조직 구성 |
---|---|
인증기준 | 최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다. |
주요 확인사항 |
|
관련법규 |
|
세부 설명[edit | edit source]
조직 구성·운영 및 근거 마련[edit | edit source]
조직의 규모, 업무 중요도 등의 특성을 고려하여 정보보호 및 개인정보보호 관리체계를 구축하고 지속적으로운영하기 위하여 필요한 조직 구성의 근거를 정보보호 및 개인정보보호 정책서 등에 명시하고, 전문성을 갖춘 실무조직을 구성하여 운영하여야 한다.
- 정보보호 최고책임자, 개인정보 보호책임자, 개인정보보호 실무조직, 위원회 등 정보보호 및 개인정보보호 조직의 구성·운영에 대한 사항을 정책서, 내부관리계획 등에 명시
- 실무조직의 구성형태 및 규모는 전사 조직의 규모, 업무, 서비스의 특성, 처리하는 정보 및 개인정보의중요도, 민감도, 법 규제 등 고려
- 실무조직은 전담조직 또는 겸임조직으로 구성할 수 있으나, 겸임조직으로 구성하더라도 실질적인역할 수행이 가능하도록 역할 및 책임이 공식적으로 부여되어야 함.
- 실무조직의 구성원은 정보보호 및 개인정보보호 전문성과 다양한 서비스에 대한 이해도와 경험이 많은직원으로 구성(관련 학위 및 자격증 보유, 실무 경험 보유, 관련 교육 이수 등)
위원회 구성·운영[edit | edit source]
조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수있는 위원회를 구성하여 운영하여야 한다.
- 위원회는 정보보호 및 개인정보보호 관련하여 조직 내 이해관계를 대변하고 의사결정을 할 수 있도록 경영진, 임원, 정보보호 최고책임자, 개인정보 보호책임자 등 실질적인 검토 및 의사결정 권한이 있는 임직원으로 구성
- 정기 또는 사안에 따라 수시로 위원회 개최
- 위원회는 조직 전반에 걸친 주요 사안에 대한 검토, 승인 및 의사결정 수행
※ 위원회에서 검토 및 의사결정이 필요한 주요 사안(예시)
- 정보보호 및 개인정보보호 정책·지침의 제·개정
- 위험평가 결과
- 정보보호 및 개인정보보호 예산 및 자원 할당
- 내부 보안사고 및 주요 위반사항에 대한 조치
- 내부감사 결과 등
실무 협의체 구성·운영[edit | edit source]
전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별담당자로 구성된 실무 협의체를 구성하여 운영하여야 한다.
- 조직의 규모 및 관리체계 범위 내 서비스의 중요도에 따라 실무 협의체 구성원, 조직체계 등을 결정
- 실무 협의체에서는 정보보호 및 개인정보보호 관련 사항에 대하여 실무 차원에서 공유·조정·검토·개선하고, 의사결정 및 경영진 지원이 필요한 경우에는 위원회에 상정하여 논의
증거 자료[edit | edit source]
- 정보보호 및 개인정보보호위원회 규정/회의록
- 정보보호 및 개인정보보호 실무 협의체 규정/회의록
- 정보보호 및 개인정보보호 조직도
- 내부관리계획
- 직무기술서
결함 사례[edit | edit source]
- 정보보호 및 개인정보보호위원회를 구성하였으나, 임원 등 경영진이 포함되어 있지 않고 실무부서의 장으로 구성되어 있어 조직의 중요 정보 및 개인정보 보호에 관한 사항을 결정할 수 없는 경우
- 내부 지침에 따라 중요 정보처리부서 및 개인정보처리부서의 장(팀장급)으로 구성된 정보 보호 및 개인정보보호 실무 협의체를 구성하였으나, 장기간 운영 실적이 없는 경우
- 정보보호 및 개인정보보호위원회를 개최하였으나, 연간 정보보호 및 개인정보보호 계획 및 교육 계획, 예산 및 인력 등 정보보호 및 개인정보보호에 관한 주요 사항이 검토 및 의사 결정이 되지 않은 경우
같이 보기[edit | edit source]
참고 문헌[edit | edit source]
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)