누텔라

[키워드]

실무조직, 위원회, 실무협의체

[인증기준]

최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다.

[주요 확인사항]

정보보호 최고책임자 및 개인정보 보호책임자의 업무를 지원하고 조직의 정보보호 및 개인정보보호 활동을 체계적으로 이행하기 위하여 전문성을 갖춘 실무조직을 구성하여 운영하고 있는가?

조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하고 있는가?

전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하고 있는가?

[세부설명]

조직의 규모, 업무 중요도 등의 특성을 고려하여 정보보호 및 개인정보보호 관리체계를 구축하고 지속적으로 운영하기 위하여 필요한 조직 구성의 근거를 정보보호 및 개인정보보호 정책서 등에 명시하고, 전문성을 갖춘 실무조직을 구성하여 운영하여야 한다.

• 정보보호 최고책임자, 개인정보 보호책임자, 개인정보보호 실무조직, 위원회 등 정보보호 및 개인정보보호 조직의 구성·운영에 대한 사항을 정책서, 내부 관리계획 등에 명시
• 실무조직의 구성형태 및 규모는 전사 조직의 규모, 업무, 서비스의 특성, 처리하는 정보 및 개인정보의 중요도, 민감도, 법 규제 등 고려
• 실무조직은 전담조직 또는 겸임조직으로 구성할 수 있으나, 겸임조직으로 구성하더라도 실질적인 역할 수행이 가능하도록 역할 및 책임이 공식적으로 부여되어야 함
• 실무조직의 구성원은 정보보호 및 개인정보보호 전문성과 다양한 서비스에 대한 이해도와 경험이 많은 직원으로 구성(관련 학위 및 자격증 보유, 실무 경험 보유, 관련 교육 이수 등)

실무조직을 구성할 때 "공식적으로 부여" 라는 내용은 인사발령을 통한 지정을 의미한다. 여기서 전문성이라는 키워드가 있긴 하지만, 뒤에 나오는 1.1.6 자원 할당 인증기준이 전문성이라는 키워드와 좀 더 매치된다.

전문성 이라는 말이 인증기준 안내서의 여러 부분에서 나오는데, 그 의미는 학위 및 자격증, 실무 경험, 관련 교육 이수로 생각하면 된다.

조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하여야 한다.

• 위원회는 정보보호 및 개인정보보호 관련하여 조직 내 이해관계를 대변하고 의사결정을 할 수 있도록 경영진, 임원, 정보보호 최고책임자, 개인정보 보호책임자 등 실질적인 검토 및 의사결정 권한이 있는 임직원으로 구성
• 정기 또는 사안에 따라 수시로 위원회 개최
• 위원회는 조직 전반에 걸친 주요 사안에 대한 검토, 승인 및 의사결정 수행

※ 위원회에서 검토 및 의사결정이 필요한 주요 사안(예시)
· 정보보호 및 개인정보보호 정책·지침의 제·개정
· 위험평가 결과
· 정보보호 및 개인정보보호 예산 및 자원 할당
· 내부 보안사고 및 주요 위반사항에 대한 조치
· 내부감사 결과 등

(개인)정보보호와 관련된 중요한 사항은 위원회에서 의사결정이 되어야 한다. 형식 뿐인 위원회가 되지 않기 위해서는 실질적인 의사결정 권한이 있는 경영진 등이 포함되어야 한다. 

전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하여야 한다.

• 조직의 규모 및 관리체계 범위 내 서비스의 중요도에 따라 실무 협의체 구성원, 조직체계 등을 결정
• 실무 협의체에서는 정보보호 및 개인정보보호 관련 사항에 대하여 실무 차원에서 공유·조정·검토· 개선하고, 의사결정 및 경영진 지원이 필요한 경우에는 위원회에 상정하여 논의

실무 협의체는 서로 다른 조직 간 협의를 위한 것이지, 최종적인 의사결정이 이루어지지는 않는다. 의사결정이 필요한 사항은 위원회에서 결정할 수 있도록 안건을 상정한다.

[증거자료]

• 정보보호 및 개인정보보호 위원회 규정·회의록
• 정보보호 및 개인정보보호 실무 협의체 규정·회의록
• 정보보호 및 개인정보보호 조직도
• 내부 관리계획
• 직무기술서

[결함사례]

사례 1 : 정보보호 및 개인정보보호 위원회를 구성하였으나, 임원 등 경영진이 포함되어 있지 않고 실무 부서의 장으로 구성되어 있어 조직의 중요 정보 및 개인정보 보호에 관한 사항을 결정할 수 없는 경우

>> 실질적인 조직이 운영되지 않는 경우

사례 2 : 내부 지침에 따라 중요 정보처리 부서 및 개인정보처리 부서의 장(팀장급)으로 구성된 정보보호 및 개인정보보호 실무 협의체를 구성하였으나, 장기간 운영 실적이 없는 경우

>> 유의미한 운영 실적이나 증적이 확인되지 않는 경우

사례 3 : 정보보호 및 개인정보보호 위원회를 개최하였으나, 연간 정보보호 및 개인정보보호 계획 및 교육 계획, 예산 및 인력 등 정보보호 및 개인정보보호에 관한 주요 사항이 검토 및 의사결정이 되지 않은 경우

>> 실질적인 조직이 운영되지 않는 경우

사례 4 : 정보보호 및 개인정보보호 관련 심의·의결을 위해 정보보호위원회를 구성하여 운영하고 있으나, 운영 및 IT보안 관련 조직만 참여하고 개인정보보호 관련 조직은 참여하지 않고 있어 개인정보보호에 관한 사항을 결정할 수 없는 경우

>> 실질적인 조직이 운영되지 않는 경우

정보보호 체계 운영을 위해서는 뒷받침할 수 있는 조직이 구성되어야 한다. 형식적으로 조직을 운영하거나, 조직이 정상적으로 기능하지 않는다면 본 인증기준에 의해 결함이 될 수 있다. (조직 구성에 문제가 있는 정도라면 인증심사를 받지도 않을거고, 사전심사 단계에서 심사가 중단될 가능성이 높다)

반대로 말하자면, 조직이 적절한 인원으로 구성되고 운영된다면 정보보호 체계 운영을 할 수 있는 아주 기초적인 인적 기반은 되어 있다고 보는 것이다.

[키워드]

공식 지정, 자격 요건, 겸직 제한

[인증기준]

최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산·인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.

최고 경영자가 모든 (개인)정보보호 업무를 챙길 수 없기 때문에, 그 업무를 대리할 CISO와 CPO를 지정해야 한다. 아무나 지정할 수는 없고 조건에 부합하는 자 중에서 실질적으로 예산이나 인력을 할당할 수 있어야 한다. 상위 임원에게 허가를 받아야 하는 등 자원을 할당하는 것에 대해 결정을 하지 못한다면 실질적으로 CISO나 CPO의 업무를 수행한다고 보지 못할 수도 있다.(실제로는 그런 경우가 많이 있지만 그런 것까지 트집잡지는 못한다..)

여기서 "임원급" 이라는 말은 실제 임원만을 말하는 것은 아니며, 독립적으로 권한과 책임을 가지는 사람을 의미한다.

[주요 확인사항]

최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가?

정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며, 관련 법령에 따른 자격요건을 충족하고 있는가?

[세부설명]

최고경영자는 조직 내에서 정보보호 및 개인정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄하여 책임질 수 있는 정보보호 최고책임자 및 개인정보 보호책임자를 인사발령 등의 절차를 통하여 공식적으로 지정하여야 한다.

• 정보보호 최고책임자 및 개인정보 보호책임자는 인사발령 등을 통하여 공식으로 임명하여야 하며, 당연직의 경우 정보보호 및 개인정보보호 정책서에 그 직위를 명시하여야 함

공식적으로 임명한다는 것은 인사발령을 통하는 것을 말한다. 인사발령 없이 메일이나 구두로 임명하는 것은 해당 조건을 충족하지 못한다.

정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 관련 법령에 따른 자격요건을 충족하여야 한다(※ 정보통신망법 시행령 제36조의7 참고).

• 정보보호 최고책임자 및 개인정보 보호책임자는 조직의 정보보호 및 개인정보보호 업무를 실질적으로 총괄할 수 있도록 정보보호 및 개인정보보호 관련 지식 및 소양이 있는 자로서 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정
• 정보보호 최고책임자 지정에 대한 법적 요건 준수 필요(※ 정보통신망법 제45조의3 참고)
• 정보보호 최고책임자는 다음 업무 수행

1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.

가. 정보보호 계획의 수립·시행 및 개선
나. 정보보호 실태와 관행의 정기적인 감사 및 개선
다. 정보보호 위험의 식별 평가 및 정보보호 대책 마련
라. 정보보호 교육과 모의 훈련 계획의 수립 및 시행

2. 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.

가. ｢정보보호산업의 진흥에 관한 법률｣ 제13조에 따른 정보보호 공시에 관한 업무
나. ｢정보통신기반 보호법｣ 제5조제5항에 따른 정보보호 책임자의 업무
다. ｢전자금융거래법｣ 제21조의2제4항에 따른 정보보호 최고책임자의 업무
라. ｢개인정보 보호법｣ 제31조제2항에 따른 개인정보 보호책임자의 업무
마. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

• 정보보호 최고책임자 지정요건(※ 정보통신망법 시행령 제36조의7 제1항)

- 신고 의무 발생 시 180일 이내 신고해야 함(온라인: 과기정통부, 오프라인: 관할 전파관리소)

- 신고하지 않은 경우에는 사업주 또는 대표자를 정보보호 최고책임자로 간주함

• 정보보호 최고책임자 자격요건(※ 정보통신망법 시행령 제36조의7 제3항)

- 아래의 조건 중 학력 조건(No.1~4)은 정보보호 또는 정보기술 분야의 국내 또는 외국에서 취득한 학위를 의미함

• 정보보호 최고책임자 특별 자격요건 (※ 정보통신망법 시행령 제36조의7 제3항)

- 겸직제한 요건을 준수해야 하는 회사에서는 일반 자격요건과 더불어서 아래의 요건을 추가로 만족하는 만족해야 함

- 겸직제한 요건을 준수해야 하는 회사에서는 상근하는 이사를 정보보호 최고책임자를 임명해야 함

정보보호 최고책임자와 관련된 내용은 좀 복잡하다.

- 지정/신고 의무: 보통의 기업은 지정 및 신고해야 하지만, 규모가 작은 기업은 의무 면제

- 자격 요건: 자격 요건을 만족하는 자를 지정 및 신고해야 함

- 특별 요건: 겸직 제한 요건을 준수해야 하는 기업은 자격 요건 + 특별 요건을 만족하는 상근 임원을 지정 및 신고해야 함

하나의 표로 정리해보자면 아래와 같다.

• 개인정보 보호책임자 지정에 대한 법적 요건 준수 필요(※ 개인정보 보호법 시행령 제32조 등 참고)

- 개인정보처리자는 개인정보 보호책임자를 지정해야 함(상시 근로자수 5인 미만 기업 제외)

- 지정하지 않은 경우에는 사업주 또는 대표가를 개인정보 보호책임자로 간주함

개인정보 보호책임자는 다음의 업무 수행

1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오·남용 방지를 위한 내부통제시스템 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리·감독
7. 개인정보 처리방침의 수립·변경 및 시행
8. 개인정보 보호 관련 자료의 관리
9. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

• 개인정보 보호책임자 지정요건

• 개인정보 보호책임자 자격요건

- 아래 유형에 해당하는 모든 개인정보처리자는 개인정보 보호책임자를 지정 시 추가적으로 전문성 요건을 적용해야 함

- 전문성 요건 관련하여 학력 및 경력 인정요건이 별도로 존재함

• 개인정보 보호책임자 학력 및 경력 인정요건( ※  개인정보 보호책임자 경력 인정에 관한 고시)

개인정보 보호책임자 요건은 상대적으로 간단하다. 지정 요건에서 공공기관은 순차적으로 급수가 정해지고, 민간기업은 대표자, 임원이나 부서 장이다. 공공기관 중 학교나 교육청은 특수한 조건이 적용되니 꼭 기억해야 한다. 일부 개인정보처리자에 대해 전문성 요건 준수 의무가 부여되며, 전문성 요건이 추가로 적용되지만 학력 및 경력 인정요건도 함께 적용된다.

[증거자료]

• 정보보호 최고책임자 및 개인정보 보호책임자 임명관련 자료(인사명령, 인사카드 등)
• 정보보호 및 개인정보보호 조직도
• 정보보호 및 개인정보보호 정책·지침
• 직무기술서(정보보호 최고책임자 및 개인정보 보호책임자의 역할 및 책임에 관한 사항)
• 정보보호 최고책임자 신고 내역
• 내부 관리계획(개인정보 보호책임자 지정에 관한 사항)

[결함사례]

사례 1 : 정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 정보보호 최고책임자를 지정 및 신고하지 않은 경우 >> 법정 의무 미 준수

사례 2 : 개인정보 보호와 관련된 실질적인 권한 및 지위를 보유하고 있지 않은 인원을 개인정보 보호 책임자로 지정하고 있어, 개인정보 처리에 관한 업무를 총괄해서 책임질 수 있다고 보기 어려운 경우 >> 실효성 부재

사례 3 : 조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고 있으나, 인사발령 등의 공식적인 지정절차를 거치지 않은 경우 >> 공식 절차 부재

사례 4 : ISMS 인증 의무대상자이면서 전년도 말 기준 자산총액이 5천억 원을 초과한 정보통신서비스 제공자이지만 정보보호 최고책임자가 CIO를 겸직하고 있는 경우 >> 법정 의무 미 준수(겸직 제한)

정보보호 최고책임자를 지정 및 신고하지 않으면 결함이 될 뿐 아니라 법 위반을 하게 되는 것이므로 유의해야 한다. 최고책임자에는 실질적으로 책임을 지는 자를 인사발령을 통해 지정해야 하며, 겸직의무가 있는 경우에는 관련 제한요건을 준수해야 한다.

[키워드]

책임/역할 문서화
보고 및 의사결정 체계

[인증기준]

최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다.

경영진의 관심과 참여가 있어야 (개인)정보보호 관리체계 운영에 있어서 적절한 지원을 받을 수 있다. 경영진이 관심을 가지고 있다고 하면 유관 부서에서도 협조를 할 것이고, 적절한 자원을 할당받게 된다. 아주 기본적이면서 관리체계 운영의 시작이라고 할 수 있을 정도로 중요하다.

[주요 확인사항]

정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는가?

경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립·이행하고 있는가?

[세부 설명]

정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 의사결정권이 있는 경영진의 참여가 이루어질 수 있도록 보고, 의사결정 등의 책임과 역할을 문서화하여야 한다.

• 정보보호 및 개인정보보호 정책의 제·개정, 위험관리, 내부감사 등 관리체계 운영의 중요 사안에 대하여 경영진이 참여할 수 있도록 활동의 근거를 정보보호 및 개인정보보호 정책 또는 시행문서에 명시

정책이나 시행문서에 경영진이 참여해야 한다는 내용을 정책서 또는 시행문서에 명시해야 한다. 그 내용이 경영진이 참여해야 한다는 근거가 되며, 그 내용이 없다면 경영진이 정보보호 체계에 관심을 가지지 않는 것이 되므로 ISMS 심사에서 중결함을 받고 심사가 즉시 중단이 될 수 있다.(어쩌면 심사를 시작하지 못할 수도 있다..)

경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립·이행하여야 한다.

• 정보보호 및 개인정보보호 관리체계 내 경영진이 참여하는 중요한 활동을 정의하고, 그에 따른 보고체계 마련(정기·비정기 보고, 위원회 참여 등)
• 경영진이 효과적으로 관리체계 수립·운영에 참여할 수 있도록 조직의 규모 및 특성에 맞게 보고 및 의사결정 절차, 대상, 주기 등 결정
• 수립된 내부절차에 따라 정보보호 및 개인정보보호 관리체계 내 주요 사항에 대하여 경영진이 보고를 받고 의사결정에 참여

1. 정보보호 정책서를 제/개정할 때 경영진의 결재를 받도록 한다면, 적어도 관련 보고가 이루어졌고 승인을 했다는 것이 증명된다. 

2. 경영진이 어느 활동에 참여해야 하는지를 정의해야 한다. 예를 들면 "경영진 중 누가 연 1회 이상 정보보호 위원회에 참석하여 관련 보고를 받고 의사 결정을 한다" 라는 식이다.

3. 경영진이 위원회에 참석한다면 어느 직책으로 참석하는지도 중요하다. 조직도를 통해 누가 어느 직책과 책임을 가지고 있는지 명확해진다.

4. 추가적으로 활동에 대한 증적 자료가 있어야 한다. 결재 내역이나 회의록이 있다면 적절히 증명될 수 있다.

[증거자료]

• 정보보호 및 개인정보보호 보고 체계(의사소통계획 등)
• 정보보호 및 개인정보보호 위원회 회의록
• 정보보호 및 개인정보보호 정책·지침(경영진 승인내역 포함)
• 정보보호계획 및 내부 관리계획(경영진 승인내역 포함)
• 정보보호 및 개인정보보호 조직도

[결함사례]

사례 1 : 정보보호 및 개인정보보호 정책서에 분기별로 정보보호 및 개인정보보호 현황을 경영진에게 보고하도록 명시하였으나, 장기간 관련 보고를 수행하지 않은 경우
>> 정책대로 운영되지 않는 경우

사례 2 : 중요 정보보호 활동(위험평가, 위험수용수준 결정, 정보보호대책 및 이행계획 검토, 정보보호대책 이행결과 검토, 보안감사 등)을 수행하면서 관련 활동관련 보고, 승인 등 의사결정에 경영진 또는 경영진의 권한을 위임받은 자가 참여하지 않았거나 관련 증거자료가 확인되지 않은 경우
>> 정책대로 운영되지 않는 경우

매 분기별 현황 보고를 하지 않으면 결함이라는 말이 아니고, 정책에 명시된 대로 수행되지 않는 경우가 결함이라는 의미이다. 물론 보고 주기가 "2년에 1회"처럼 비현실적인 경우에는 문제가 되겠지만, 그러한 경우가 아니라면,  일단 회사가 선언한 대로 이루어진 경우 큰 문제는 없다. 정책서와 회의록/보고 자료를 대조하여 검증이 가능하다.