[ISMS/ISMS-P 인증기준] (관리체계) 1.1.3 조직구성

ISMS/ISMS-P 공통 > 1.1 관리체계 기반 마련 > 1.1.3 조직구성

 

[인증기준]

• 최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다.

[주요 확인사항]

• 정보보호 최고책임자(CISO) 및 개인정보 보호책임자(CPO)의 업무를 지원하고 조직의 정보보호와 개인정보보호 활동을 체계적으로 이행하기 위하여 전문성을 갖춘 실무조직을 구성하여 운영하고 있는가?
• 조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하고 있는가?
• 전사적 정보보호와 개인정보보호 활동을 위하여 정보보호와 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하고 있는가?

[관련 법규]

• 개인정보보호법 제29조 (안전조치의무)
• 개인정보의 안전성 확보조치 기준 제4조 (내부 관리계획의 수립·시행 및 점검)
• [금융권 추가]
  - 전자금융감독규정 제8조의2(정보보호위원회 운영)

[세부 설명]

• 조직의 규모, 업무 중요도 등의 특성을 고려하여 정보보호와 개인정보보호 관리체계를 구축하고 지속적으로 운영하기 위하여 필요한 조직 구성의 근거를 정보보호와 개인정보보호 정책서 등에 명시하고, 전문성을 갖춘 실무조직을 구성하여 운영해야 함
  • CISO, CPO, 개인정보보호 실무조직, 위원회 등 정보보호와 개인정보보호 조직의 구성·운영에 대한 사항을 정책서, 내부 관리계획 등에 명시
  • 실무조직의 구성형태 및 규모는 전사 조직의 규모, 업무, 서비스의 특성, 처리하는 정보 및 개인정보의 중요도, 민감도, 법 규제 등 고려
  • 실무조직은 전담조직 또는 겸임조직으로 구성할 수 있으나, 겸임조직으로 구성하더라도 실질적인 역할 수행이 가능하도록 역할 및 책임이 공식적으로 부여되어야 함
  • 실무조직의 구성원은 정보보호와 개인정보보호 전문성과 다양한 서비스에 대한 이해도와 경험이 많은 직원으로 구성
• 조직 전반에 걸친 중요한 정보보호와 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하여야 한다.
  • 위원회는 정보보호와 개인정보보호 관련하여 조직 내 이해관계를 대변하고 의사결정을 할 수 있도록 경영진, 임원, CISO, CPO 등 실질적인 검토 및 의사결정 권한이 있는 임직원으로 구성
  • 정기 또는 사안에 따라 수시로 위원회 개최
  • 위원회는 조직 전반에 걸친 주요 사안에 대한 검토, 승인 및 의사결정 수행
    (예시)
    - 정보보호와 개인정보보호 정책·지침의 제·개정
    - 위험평가 결과
    - 정보보호 및 개인정보보호 예싼 및 자원 할당
    - 내부 보안사고 및 주요 위반사항에 대한 조치
    - 내부감사 결과
    (금융권) : 전자금융감독규정 제8조의2 3항
    - 정보기술부문 계획서에 관한 사항 (매년 수립, 대표자 확인·서명, 금융위 제출)
    - 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획 수립에 관한 사항
    - 취약점 분석·평가 결과 및 보완조치의 이행계획에 관한 사항
    - 전산보안사고 및 전산보안관련 규정 위반자의 처리에 관한 사항
    - 클라우드컴퓨팅서비스의 이용에 관한 사항
    - 기타 정보보호위원회의 장이 정보보안업무 수행에 필요하다고 정한 사
  • 전사적 정보보호와 개인정보보호 활동을 위하여 정보보호와 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하여야 한다.
    • 조직의 규모 및 관리체계 범위 내 서비스의 중요도에 따라 실무 협의체 구성원, 조직체계 등을 결정
    • 실무 협의체에서는 정보보호와 개인정보보호 관련 사항에 대하여 실무 차원에서의 공유·조정 ·검토 ·개선하고, 의사결정 및 경영진 지원이 필요한 경우에는 위원회에 상정하여 논의

[증거자료]

• 정보보호와 개인정보보호 위원회 규정·회의록
• 정보보호와 개인정보보호 실무 협의체 규정·회의록
• 정보보호와 개인정보보호 조직도
• 내부 관리계획
• 직무기술서

[결함사례]

• 정보보호와 개인정보보호 위원회를 구성하였으나, 임원 등 경영진이 포함되어 있지 않고 실무 부서의 장으로 구성되어 있어 조직의 중요 정보 및 개인정보 보호에 관한 사항을 결정할 수 없는 경우
• 내부 지침에 따라 중요 정보처리 부서 및 개인정보처리 부서의 장(팀장급)으로 구성된 정보보호 및 개인정보보호 실무 협의체를 구성하였으나, 장기간 운영 실적이 없는 경우
• 정보보호와 개인정보보호 위원회를 개최하였으나, 연간 정보보호와 개인정보보호 계획 및 교육 계획, 예산 및 인력 등 정보보호와 개인정보보호에 관한 주요 사항이 검토 및 의사결정이 되지 않은 경우
• 정보보호와 개인정보보호 관련 심의·의결을 위해 정보보호위원회를 구성하여 운영하고 있으나, 운영 및 IT보안 관련 조직만 참여하고 개인정보보호 관련 조직은 참여하지 않고 있어 개인정보보호에 관한 사항을 결정할 수 없는 경우