1.1 관리체계 수립 및 운영

1.1.1 경영진의 참여

정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는가?

1. 경영진의 참여

EX 「정보보호 정책서」 제 ◌◌조 (정보보호 조직구성) / 제3장 정보보안 조직 체계 - 제9조(정보보안 담당부서의 구성)

1) 최고 경영자는 기업의 전자정보와 정보통신망 보호하기 위한 보호 대책을 마련하여야 하며 정보보안에 대한 책임을 진다.

2) 최고 경영자는 기업 정보보안 업무를 효율적, 체계적으로 수행하기 위하여 정보보호 최고책임자를 포함한 정보보호 담당 부서를 구성,운영한다.

3) 정보보호 최고책임자는 정보보호 관련 심의 및 의결을 위한 최상위 기구인 ‘정보보호 위원회’를 구성∙운영 한다.

 

경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립·이행하고 있는가?

1. 정보보호 최고책임자 역할

EX 「정보보호 조직 관리지침」 제 ◌◌조 / 제10조(정보보안 담당관 등의 책임 및 역할) 

1) 정보보호 관리 체계의 수립, 시행 및 개선
2) 정보자산의 관리 및 위험 식별 평가 활동 관리
3) 정보보호 예산 편성 및 집행
4) 침해사고 대응 및 복구 활동 관리
5) 연간 정보보호 교육계획 수립 및 시행

 

2. 정보보호 정책 결제 내역

- 보고, 검토 및 승인 절차를 보여줄 수 있는 이력

 

3. 정보보호 위원회 구성 및 활동 정의

EX 정보보호 조직 관리지침」 제 ◌◌조 (정보보호 위원회 심의)

- 정보보호 위원회는 다음 각 호에 대하여 심의한다.
1) 정보보호제도 개선에 관한 사항
2) 정보보호 업무 기획∙조정∙감독∙통제에 관한 사항 
3) 정보보호 위반자 심사 처리에 관한 사항
4) 그밖에 정보보호 활동에 중요하다고 인정되는 사항

 

---

1.1.2 최고 책임자 지정

최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가?

정보보호 최고책임자 역할

EX 「정보보호 조직 관리지침」 제 ◌◌조 / 제10조(정보보안 담당관 등의 책임 및 역할) 

1) 정보보호 관리 체계의 수립, 시행 및 개선
2) 정보자산의 관리 및 위험 식별 평가 활동 관리
3) 정보보호 예산 편성 및 집행
4) 침해사고 대응 및 복구 활동 관리
5) 연간 정보보호 교육계획 수립 및 시행

 

개인정보 보호책임자 역할 (by 개인정보보호법)

1) 개인정보 보호 계획의 수립 및 시행
2) 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3) 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4) 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
5) 개인정보 보호 교육 계획의 수립 및 시행
6) 개인정보파일의 보호 및 관리ㆍ감독
7) 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무

 

1. 정보보호 최고책임자 지정

「정보보호 조직 관리지침」 제 ◌◌조 (최고책임자 지정)

- 인사발령 문서

- 당연직의 경우 그 직위 명시

1) 효율적이고 체계적인 정보보안 업무를 수행하기 위하여 정보보안 담당부서를 구성한다.

정보보호  최고책임자: 정보보호업무 담당 부서장

이하 생략

정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 
관련 법령에 따른 자격요건을 충족하여야 한다(※정보통신망법 시행령 제36조의7 참고)

 

- 회사 업종, 매출 등에 다라 사업주 / 이사 / 정보보안 부서장 등이 정보보호 최고책임자가 된다.

 

==> 우리 회사가 어디에 속하는 지 확인 후 진행 필요

1) 누가 최고 책임자가 될 수 있는지

2) 최고 책임자가 누구인지 신고해야 하는지

 

- 정보보호 최고 책임자를 신고해야 하는 대상 기업은 정보보호 최고 책임자에 대한 자격 요건이 존재한다.

 

단, 아래 기준에 부합하는 기업은 2가지 조건이 추가된다. 

 

1) 정보보호 최고책임자는 겸업이 금지

2) 정보보호 최고책임자의 자격 요건 추가

 

- 개인정보 보호책임자는 다음과 같은 자격 조건 존재

---

1.1.3 조직 구성

정보보호 최고책임자 및 개인정보 보호책임자의 업무를 지원하고 조직의 정보보호 및 개인정보보호 활동을 체계적으로 이행하기 위하여 전문성을 갖춘 실무조직을 구성하여 운영하고 있는가?

EX) 「정보보호 조직 관리지침」 제 ◌◌조 (정보보호 조직구성)

 

제1조(정보보호 담당부서 구성)

1. 효율적·체계적인 정보보안 업무를 수행하기 위하여 정보보안 담당부서를 구성한다.

1) 정보보호 최고책임자: 정보보호업무 담당 본부장

2) 정보보호 담당자: 정보보호팀

 

제 2조(정보보호 담당 부서 역할과 책임) ① 정보보안 담당관의 책임 및 역할은 다음 각 호와 같다.

1) 정보자산의 관리 및 위험 분석, 평가 활동 수행

2) 사이버 침해로 부터 사고 예방 및 대응 활동

3) 정보보호 실무 활동

4) 사내 정보보호 인식 수준 향상을 위한 정보보호 교육계획 수립 및 시행

 

조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하고 있는가?

제 3조(정보보호 위원회)

1. 정보보호 업무 수행에 관한 중요사항 심의를 위하여 정보보호 위원회를 구성한다.

1) 위원장: 최고 경영자

2) 부위원장: 정보보호 최고책임자

3) 위원: 각 부서 팀장

4) 간사: 정보보호 팀장

 

2. 정보보호 위원회는 다음 각 호에 대하여 심의한다.

1) 정보보호 및 개인정보보호 정책·지침의 제·개정 내용
2) 위험평가 결과, 내부감사 결과
3) 정보보호 및 개인정보보호 예산 및 자원 할당 
4) 내부 보안사고 및 주요 위반사항에 대한 조치
5) 그 밖에 정보보호 관련한 주요 사항

 

3. 정보보호 위원회 의결 사항은 정보보호 위원회 의사록을 첨부하여 정보보호 위원회의 위원장에게 결재를 받아 시행한다. 

 

전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하고 있는가?

제 5조(부서별 정보보호 책임자 지정)

1. 정보보호 담당 부서 외 타 부서는 1명 이상 정보보호 책임자를 지정한다.

2. 부서별 정보보호 책임자는 다음 각 호에 대하여 업무를 수행한다.

1) 부서별 정보보호대책 수립 및 시행

2) 정보보호 교육 및 보안 규정 준수 통제

3) 그 밖에 정보보호 담당 부서에서 지시하는 사항

---

1.1.4 범위 설정

조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하고 범위 내에 시스템 현황을 파악 있는가?

- 정보 자산 목록 작성

 

 

정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의 · 책임자승인 등 관련 근거를 기록·관리하고 있는가?

- 인증범위에서 제외되는 서비스, 정보시스템 등에 대해서는 내부 협의 및 책임자 승인을 거친 후 그 
사유 및 근거에 대하여 기록하여 관리

 

=> 내부에서 사용하는 그룹웨어는? 

 

정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이 포함된 문서를 작성하여 관리하고 있는가?

주요 서비스 및 업무 현황(개인정보 처리 업무 현황 포함) 
▶ 서비스 제공과 관련된 조직 현황(조직도 등)
▶ 정보보호 및 개인정보보호 조직 현황 
▶ 주요 설비 목록
▶ 정보시스템 목록 및 네트워크 구성도

▶ 정보자산, 개인정보 관련 자산식별 기준 및 자산현황 
▶ 정보보호 및 개인정보보호 시스템 목록
▶ 서비스(시스템) 구성도 및 개인정보(수집, 이용, 제공, 저장, 관리, 파기) 처리 흐름 
▶ 문서 목록(예 : 정책, 지침, 매뉴얼, 운영명세서 등)
▶ 정보보호 및 개인정보보호 관리체계 수립 방법 및 절차, 관련 법적 준거성 검토, 내부감사 
▶ 고객센터, IDC, IT 개발 및 운영 등 외주(위탁)업체 현황 등