ISMS-P 인증 기준 1.1.1.경영진의 참여: Difference between revisions

From CS Wiki
(정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.))
 
(2 intermediate revisions by one other user not shown)
Line 20: Line 20:


==== 경영진 참여를 위한 역할과 책임 등 문서화 ====
==== 경영진 참여를 위한 역할과 책임 등 문서화 ====
정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 의사결정권이 있는 경영진의 참여가이루어질 수 있도록 '''보고, 의사결정 등의 책임과 역할을 문서화'''하여야 한다.
정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 의사결정권이 있는 경영진의 참여가 이루어질 수 있도록 '''보고, 의사결정 등의 책임과 역할을 문서화'''하여야 한다.


*정보보호 및 개인정보보호 정책의 제·개정, 위험관리, 내부감사 등 관리체계 운영의 중요 사안에 대하여 경영진이 참여할 수 있도록 활동의 근거를 정보보호 및 개인정보보호 정책 또는 시행문서에 명시
*정보보호 및 개인정보보호 정책의 제·개정, 위험관리, 내부감사 등 관리체계 운영의 중요 사안에 대하여 경영진이 참여할 수 있도록 활동의 근거를 정보보호 및 개인정보보호 정책 또는 시행문서에 명시


==== 경영진 대상 보고·승인 등 절차 수립·이행 ====
==== 경영진 대상 보고·승인 등 절차 수립·이행 ====
경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 '''보고, 검토 및승인 절차를 수립·이행'''하여야 한다.
경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 '''보고, 검토 및 승인 절차를 수립·이행'''하여야 한다.


*정보보호 및 개인정보보호 관리체계 내 경영진이 참여하는 중요한 활동을 정의하고, 그에 따른보고체계 마련(정기·비정기 보고, 위원회 참여 등)
*정보보호 및 개인정보보호 관리체계 내 경영진이 참여하는 중요한 활동을 정의하고, 그에 따른 보고체계 마련(정기·비정기 보고, 위원회 참여 등)
*경영진이 효과적으로 관리체계 수립·운영에 참여할 수 있도록 조직의 규모 및 특성에 맞게 보고 및의사결정 절차, 대상, 주기 등 결정
*경영진이 효과적으로 관리체계 수립·운영에 참여할 수 있도록 조직의 규모 및 특성에 맞게 보고 및 의사결정 절차, 대상, 주기 등 결정
*수립된 내부절차에 따라 정보보호 및 개인정보보호 관리체계 내 주요 사항에 대하여 경영진이 보고를받고 의사결정에 참여
*수립된 내부절차에 따라 정보보호 및 개인정보보호 관리체계 내 주요 사항에 대하여 경영진이 보고를 받고 의사결정에 참여


==증거 자료==
==증거 자료==
Line 42: Line 42:


*정보보호 및 개인정보보호 정책서에 분기별로 정보보호 및 개인정보보호 현황을 경영진에게 보고하도록 명시하였으나, '''장기간 관련 보고를 수행하지 않은 경우'''
*정보보호 및 개인정보보호 정책서에 분기별로 정보보호 및 개인정보보호 현황을 경영진에게 보고하도록 명시하였으나, '''장기간 관련 보고를 수행하지 않은 경우'''
*중요 정보보호 활동(위험평가, 위험수용수준 결정, 정보보호대책 및 이행계획 검토, 정보보호 대책 이행결과 검토, 보안감사 등)을 수행하면서 관련 활동관련 '''보고, 승인 등 의사결정에''' 경영진 또는 경영진의 권한을 위임받은 자가 '''참여하지 않았거나 관련 증적이 확인되지 않은 경우'''
*중요 정보보호 활동(위험평가, 위험수용수준 결정, 정보보호대책 및 이행계획 검토, 정보보호대책 이행결과 검토, 보안감사 등)을 수행하면서 관련 활동관련 보고, 승인 등 '''의사결정에 경영진 또는 경영진의 권한을 위임받은 자가''' '''참여하지 않았거나 관련 증거자료가 확인되지 않은 경우'''


==같이 보기==
==같이 보기==
Line 52: Line 52:
==참고 문헌==
==참고 문헌==


*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)

Latest revision as of 08:44, 28 January 2024


개요[edit | edit source]

항목 1.1.1.경영진의 참여
인증기준 최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다.
주요 확인사항
  • 정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는가?
  • 경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립∙이행하고 있는가?

세부 설명[edit | edit source]

경영진 참여를 위한 역할과 책임 등 문서화[edit | edit source]

정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 의사결정권이 있는 경영진의 참여가 이루어질 수 있도록 보고, 의사결정 등의 책임과 역할을 문서화하여야 한다.

  • 정보보호 및 개인정보보호 정책의 제·개정, 위험관리, 내부감사 등 관리체계 운영의 중요 사안에 대하여 경영진이 참여할 수 있도록 활동의 근거를 정보보호 및 개인정보보호 정책 또는 시행문서에 명시

경영진 대상 보고·승인 등 절차 수립·이행[edit | edit source]

경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립·이행하여야 한다.

  • 정보보호 및 개인정보보호 관리체계 내 경영진이 참여하는 중요한 활동을 정의하고, 그에 따른 보고체계 마련(정기·비정기 보고, 위원회 참여 등)
  • 경영진이 효과적으로 관리체계 수립·운영에 참여할 수 있도록 조직의 규모 및 특성에 맞게 보고 및 의사결정 절차, 대상, 주기 등 결정
  • 수립된 내부절차에 따라 정보보호 및 개인정보보호 관리체계 내 주요 사항에 대하여 경영진이 보고를 받고 의사결정에 참여

증거 자료[edit | edit source]

  • 정보보호 및 개인정보보호 보고 체계(의사소통계획 등)
  • 정보보호 및 개인정보보호위원회 회의록
  • 정보보호 및 개인정보보호 정책·지침(경영진 승인내역 포함)
  • 정보보호계획 및 내부관리계획(경영진 승인내역 포함)
  • 정보보호 및 개인정보보호 조직도

결함 사례[edit | edit source]

  • 정보보호 및 개인정보보호 정책서에 분기별로 정보보호 및 개인정보보호 현황을 경영진에게 보고하도록 명시하였으나, 장기간 관련 보고를 수행하지 않은 경우
  • 중요 정보보호 활동(위험평가, 위험수용수준 결정, 정보보호대책 및 이행계획 검토, 정보보호대책 이행결과 검토, 보안감사 등)을 수행하면서 관련 활동관련 보고, 승인 등 의사결정에 경영진 또는 경영진의 권한을 위임받은 자가 참여하지 않았거나 관련 증거자료가 확인되지 않은 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)