[키워드]
전문성, 업무추진계획, 평가
전문성을 갖춘 인력과 경영진의 승인을 받은 예산이 지속적으로 적절하게 할당되고 있는가?
[인증기준]
최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다.
정보보호 관리체계를 운영하려면 인력과 비용이 소요된다. 적절한 자원이 할당되지 않으면 관리체계의 틀을 잡더라도 유지할 수가 없기 때문이다.
[주요 확인사항]
정보보호 및 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고 있는가?
정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위하여 필요한 자원을 평가하여 필요한 예산과 인력을 지원하고 있는가?
연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립·시행하고, 그 추진결과에 대한 심사분석·평가를 실시하고 있는가?
인력과 비용이 적절하게 확보되고 투입되는지를 확인해야 한다는 내용이다.
[세부설명]
최고경영자는 정보보호 및 개인정보보호 활동을 원활하게 수행하기 위하여 분야별 전문성을 갖춘 인력을 확보하여야 한다.
- 전문 지식 및 관련 자격 보유(정보보호 및 개인정보보호 관련 학위 또는 자격증 보유)
- 정보보호 및 개인정보보호 관련 실무 경력 보유
- 정보보호 및 개인정보보호 관련 직무교육 이수 등
최고경영자는 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위하여 필요한 자원을 평가하여 필요한 예산과 인력을 지원하여야 한다.
- 매년 정보보호 및 개인정보보호 관리체계의 효과적 구축 및 지속적 운영을 위하여 필요한 예산과 자원을 평가하여 예산 및 인력운영 계획 수립 및 승인
- 예산 및 인력운영계획에 따라 필요한 자원(인력, 조직, 예산 등)을 지속적으로 지원
연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립·시행하고 그 추진결과에 대한 심사분석· 평가를 실시하여야 한다.
- 해당 연도의 정보보호 및 개인정보보호 업무를 효과적으로 수행하기 위한 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립하고 경영진 보고 및 시행
- 세부추진 계획에 따른 추진결과를 심사분석 및 평가하여 경영진에게 보고
ISMS-P 인증 기준에서 인력에 대한 전문성 이라는 단어는 자격증/학위, 실무 경력, 교육 이수을 말한다.
연도 별로 적절한 수준의 예산이 투입되어야 하며, 경영진에게 보고가 이루어져야 한다.,
[결함사례]
사례 1 : 정보보호 및 개인정보보호 조직을 구성하는데, 분야별 전문성을 갖춘 인력이 아닌 정보보호 관련 또는 IT 관련 전문성이 없는 인원으로만 보안인력을 구성한 경우
>> 인증기준 미 충족 사례 (인력 전문성 X)
사례 2 : 개인정보처리시스템의 기술적·관리적 보호조치의 요건을 갖추기 위한 최소한의 보안 솔루션 도입, 안전조치 적용 등을 위한 비용을 최고경영자가 지원하지 않고 있는 경우
>> 인증기준 미 충족 사례 (경영진 승인 X)
사례 3 : 인증을 취득한 이후에 인력과 예산 지원을 대폭 줄이고 기존 인력을 다른 부서로 배치하거나 일부 예산을 다른 용도로 사용하는 경우
>> 관리체계 운영의 지속성 X
전문성을 갖춘 인력 + 적절한 예산 투입(경영진 승인)이 중요하다. 심사 때에만 눈속임 목적으로 잠시 인력이나 예산을 투입하는 것도 관리체계 운영이 되지 않는다고 봐야 한다.
'IT > ISMS-P' 카테고리의 다른 글
| 1.1.5 정책 수립 (0) | 2025.01.09 |
|---|---|
| 1.1.4 범위 설정 (0) | 2025.01.09 |
| 1.1.3 조직 구성 (0) | 2024.12.18 |
| 1.1.2 최고책임자의 지정 (3) | 2024.12.12 |
| 1.1.1 경영진의 참여 (0) | 2024.12.12 |