[ISMS/ISMS-P 인증기준] (관리체계) 1.1.2 최고책임자의 지정

ISMS/ISMS-P 공통 > 1.1 관리체계 기반 마련 > 1.1.2 최고책임자의 지정

 

[인증기준]

• 최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자(CISO)와 개인정보보호 업무를 총괄하는 개인정보보호 책임자(CPO)를 예산·인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.

[주요 확인사항]

• 최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식으로 지정하고 있는가?
• 정보보호 최고책임자 및 개인정보 보호 책임자는 예산·인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며, 관련 법령에 따라 자격요건을 충족하고 있는가?

[관련 법규]

• 개인정보보호법 제29조(안전조치의무), 제31조(개인정보 보호책임자의 지정)
• 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)
• 개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행 및 점검)
• [금융권 추가]
  - 전자금융거래법 제21조의2(정보보호최고책임자 지정)
  - 전자금융거래법 시행령 제11조의3(정보보호최고책임자 지정대상 금융회사 등), [별표1] 정보보호최고책임자의 자격
  - 신용정보법 제20조(신용정보 관리책임의 명확화 및 업무처리기록의 보존) 제3항, 제4항
  - 신용정보법 시행령 제17조(신용정보관리·보호인의 지정 등) 

[세부 설명]

• 최고경영자는 조직 내에서 정보보호 및 개인정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄하여 책임질 수 있는 정보보호 최고책임자 및 개인정보 보호책임자를 인사발령 등의 절차를 통하여 공식적으로 지정하여야 한다.
  
  • 정보보호 최고책임자 및 개인정보 보호책임자는 인사발령 등을 통하여 공식으로 임명하여야 하며, 당연직의 경우 정보보호 및 개인정보보호 정책서에 그 직위를 명시하여야 함
• 정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 관련 법령에 따른 자격요건을 충족하여야 한다(※ 정보통신망법 시행령 제36조의7 참고)
  • 정보보호 최고책임자 및 개인정보 보호책임자는 조직의 정보보호 및 개인정보보호 업무를 실질적으로 총괄할 수 있도록 정보보호 및 개인정보보호 관련 지식 및 소양이 있는 자로서 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정
    
    ※ 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하고 과학기술정보통신부장관에게 신고. 다만, 대통령령으로 정하는 기준에 해당하는 경우 신고 예외
• 정보보호 최고책임자 지정에 대한 법적 요건 준수 필요(※ 정보통신망법 제45조의3 참고)
• 정보보호 최고책임자 지정요건 (※ 정보통신망법 시행령 제36조의7 제1항 참고)
• 개인정보 보호책임자 지정에 대한 법적 요건 준수 필요 (※ 개인정보보호법  시행령 제32조 등 참고)

[증거자료]

• 정보보호 최고책임자 및 개인정보 보호책임자 임명관련 자료(인사명령, 인사카드 등)
• 정보보호 및 개인정보보호 조직도
• 정보보호 및 개인정보보호 정책·지침
• 직무기술서(정보보호 최고책임자 및 개인정보 보호책임자의 역할 및 책임에 관한 사항)
• 정보보호 최고책임자 신고 내역
• 내부 관리계획(개인정보 보호책임자 지정에 관한 사항)

[결함사례]

• 정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 정보보호 최고책임자를 지정 및 신고하지 않은 경우
• 개인정보 보호와 관련된 실질적인 권한 및 지위를 보유하고 있지 않은 인원을 개인정보 보호책임자로 지정하고 있어, 개인정보 처리에 관한 업무를 총괄해서 책임질 수 있다고 보기 어려운 경우
• 조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고 있으나, 인사발령 등의 공식적인 지정절차를 거치지 않은 경우
• ISMS 인증 의무대상자이면서 전년도 말 기준 자산총액이 5천억 원을 초과한 정보통신서비스 제공자이지만 정보보호 최고책임자가 CIO를 겸직하고 있는 경우