누텔라

[키워드]

전문성, 업무추진계획, 평가

전문성을 갖춘 인력과 경영진의 승인을 받은 예산이 지속적으로 적절하게 할당되고 있는가?

[인증기준]

최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다.

정보보호 관리체계를 운영하려면 인력과 비용이 소요된다. 적절한 자원이 할당되지 않으면 관리체계의 틀을 잡더라도 유지할 수가 없기 때문이다.

[주요 확인사항]

정보보호 및 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고 있는가?

정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위하여 필요한 자원을 평가하여 필요한 예산과 인력을 지원하고 있는가?

연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립·시행하고, 그 추진결과에 대한 심사분석·평가를 실시하고 있는가?

인력과 비용이 적절하게 확보되고 투입되는지를 확인해야 한다는 내용이다.

[세부설명]

최고경영자는 정보보호 및 개인정보보호 활동을 원활하게 수행하기 위하여 분야별 전문성을 갖춘 인력을 확보하여야 한다.

• 전문 지식 및 관련 자격 보유(정보보호 및 개인정보보호 관련 학위 또는 자격증 보유)
• 정보보호 및 개인정보보호 관련 실무 경력 보유
• 정보보호 및 개인정보보호 관련 직무교육 이수 등

최고경영자는 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위하여 필요한 자원을 평가하여 필요한 예산과 인력을 지원하여야 한다.

• 매년 정보보호 및 개인정보보호 관리체계의 효과적 구축 및 지속적 운영을 위하여 필요한 예산과 자원을 평가하여 예산 및 인력운영 계획 수립 및 승인
• 예산 및 인력운영계획에 따라 필요한 자원(인력, 조직, 예산 등)을 지속적으로 지원

연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립·시행하고 그 추진결과에 대한 심사분석· 평가를 실시하여야 한다.

• 해당 연도의 정보보호 및 개인정보보호 업무를 효과적으로 수행하기 위한 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립하고 경영진 보고 및 시행
• 세부추진 계획에 따른 추진결과를 심사분석 및 평가하여 경영진에게 보고

ISMS-P 인증 기준에서 인력에 대한 전문성 이라는 단어는 자격증/학위, 실무 경력, 교육 이수을 말한다.

연도 별로 적절한 수준의 예산이 투입되어야 하며, 경영진에게 보고가 이루어져야 한다.,

[결함사례]

사례 1 : 정보보호 및 개인정보보호 조직을 구성하는데, 분야별 전문성을 갖춘 인력이 아닌 정보보호 관련 또는 IT 관련 전문성이 없는 인원으로만 보안인력을 구성한 경우

>> 인증기준 미 충족 사례 (인력 전문성 X)

사례 2 : 개인정보처리시스템의 기술적·관리적 보호조치의 요건을 갖추기 위한 최소한의 보안 솔루션 도입, 안전조치 적용 등을 위한 비용을 최고경영자가 지원하지 않고 있는 경우

>> 인증기준 미 충족 사례 (경영진 승인 X)

사례 3 : 인증을 취득한 이후에 인력과 예산 지원을 대폭 줄이고 기존 인력을 다른 부서로 배치하거나 일부 예산을 다른 용도로 사용하는 경우

>> 관리체계 운영의 지속성 X

전문성을 갖춘 인력 + 적절한 예산 투입(경영진 승인)이 중요하다. 심사 때에만 눈속임 목적으로 잠시 인력이나 예산을 투입하는 것도 관리체계 운영이 되지 않는다고 봐야 한다.

[키워드]

정책, 하위문서, 경영진 승인, 최신본 공개

경영진의 승인을 받은 정책 및 시행문서를 관리하고 최신본을 공유하고 있는가?

[인증기준]

정보보호와 개인정보보호 정책 및 시행문서를 수립·작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진의 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다.

정책과 시행문서가 있어야 한다. 정책은 큰 방향을 잡는 문서이고, 시행문서는 세부적인 내용을 잡는다. 작업 절차까지 명시하는 수준은 절차서나 지침에서 다뤄진다.

정책과 시행문서는 제/개정 시 경영진의 승인이 필요하다. 이는 경영진의 관심과 참여를 강제하기도 한다.

그리고 임직원이 쉽게 열람할 수 있도록 제공해야 한다.

[주요 확인사항]

조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책을 수립하고 있는가?

정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 지침, 절차, 매뉴얼 등을 수립하고 있는가?

정보보호 및 개인정보보호 정책·시행문서의 제·개정 시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받고 있는가?

정보보호 및 개인정보보호 정책·시행문서의 최신본을 관련 임직원에게 이해하기 쉬운 형태로 제공하고 있는가?

경영진의 승인을 받은 정책 및 그 시행문서가 관리되고 있는지가 중요하다.

[세부설명]

조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책은 다음 내용을 포함하여 수립하여야 한다.

• 조직의 정보보호 및 개인정보보호에 대한 최고경영자 등 경영진의 의지 및 방향
• 조직의 정보보호 및 개인정보보호를 위한 역할·책임 및 대상·범위
• 조직이 수행하는 관리적·기술적·물리적 정보보호 및 개인정보보호 활동의 근거

정보보호 및 개인정보보호 정책에 명시된 정보보호 및 개인정보보호 사항을 구체적으로 시행하기 위하여 필요한 세부 방법, 절차, 주기, 수행주체 등을 규정하는 지침, 절차, 매뉴얼, 가이드 등의 하위 실행 문서를 조직의 특성에 맞게 수립하여야 한다.

• 하위 실행 문서는 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 구체적으로 제시할 수 있어야 하며, 보호 대상 관점 또는 수행주체 관점 등 다양한 관점에서 조직 특성에 맞게 수립
• 정책 및 시행문서(지침, 절차 등)는 조직이 제공하고 있는 서비스, 사업 등에 관련된 개인정보 보호 관련 법적 요구사항(법률, 시행령, 시행규칙, 하위 고시, 가이드 등)을 반영
• 개인정보를 처리하는 경우 개인정보 보호법에 따른 내부 관리계획을 관련 법규에서 요구하는 사항을 모두 포함하여 수립

정보보호 및 개인정보보호 정책·시행문서 제·개정 시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받아야 한다.

• 정책서와 시행문서를 제·개정하는 경우 이해관계자와 해당 내용을 충분히 협의·검토
• 정책서 및 시행문서 변경으로 인한 조직 업무 및 서비스 영향도, 법적 준거성 등을 고려
• 회의록 등 검토 사항에 대한 기록을 남기고 정책·지침 등에 관련 사항 반영
• 검토가 완료된 정책서 및 시행문서를 경영진에게 보고하고 승인

정보보호 및 개인정보보호 정책·시행문서의 제·개정 시 최신본을 관련 임직원에게 이해하기 쉬운 형태로 제공하여야 한다.

• 임직원 및 외부자가 용이하게 참고할 수 있는 형태(전자게시판, 책자, 교육자료, 매뉴얼 등)로 제공
• 정책서 및 시행문서는 제·개정사항이 발생하면 즉시 공표하고 최신본을 유지

[결함사례]

사례 1 : 내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제·개정 시에는 정보보호 및 개인정보보호 위원회의 의결을 거치도록 하고 있으나, 최근 정책서 개정 시 위원회에 안건으로 상정하지 않고 정보보호 최고책임자 및 개인정보 보호책임자의 승인을 근거로만 개정한 경우

>> 경영진의 승인을 받지 않은 경우

사례 2 : 정보보호 및 개인정보보호 정책 및 지침서가 최근에 개정되었으나, 해당 사항이 관련 부서 및 임직원에게 공유·전달되지 않아 일부 부서에서는 구버전의 지침서를 기준으로 업무를 수행하고 있는 경우

>> 최신 문서가 공유되지 않은 경우

사례 3 : 정보보호 및 개인정보보호 정책 및 지침서를 보안부서에서만 관리하고 있고, 임직원이 열람할 수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우

>>  문서가 공유되지 않은 경우

임직원에게 공유할 때에는 그룹웨어 공지를 통해 제공하는 것이 편하다. 관련자는 누구나 볼 수 있고, 공유 시점에 대한 증적도 남는다.

[키워드]

핵심자산 문서화
예외사항

범위 선정이 적절하며, 일부 예외를 제외한 범위 내 자산이 모두 식별 및 포함되어 있고, 해당 사항을 문서 형태로 관리 중인가?

[인증기준]

조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다.

관리 범위를 설정하는 내용이다. 어느 범위에 대해 관리할지를 알아야 관리할 수 있으며, 그 관리 범위는 문서로써 작성이 되어 있어야 실질적인 관리 및 운영이 가능하다. 체계를 갖추기 위한 기본 준비라고 볼 수 있다. 

[주요 확인사항]

조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가?

정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의·책임자 승인 등 관련 근거를 기록·관리하고 있는가?

정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이 포함된 문서를 작성하여 관리하고 있는가?

핵심 서비스와 개인정보 처리에 연관되어 있는 자산은 모두 포함되어야 한다. 혹시 예외적으로 포함되지 못하는 경우에는 그 사유와 근거가 있어야 한다.

[세부설명]

조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하여야 한다.

• 관리체계 범위에는 사업(서비스)과 관련된 임직원, 정보시스템, 정보, 시설 등 유·무형의 핵심자산을 누락 없이 포함
• 특히 정보보호 관리체계 의무대상자의 경우 법적 요구사항에 따른 정보통신서비스 및 관련 정보자산은 의무적으로 포함되도록 범위 설정

정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의·책임자 승인 등 관련 근거를 기록· 관리하여야 한다.

• 정보보호 관리체계와 개인정보보호 관리체계의 범위가 상이한 경우에는 인증범위 내의 정보자산 목록 (개인정보, 시스템, 네트워크 등)을 정보보호 관리체계 및 개인정보보호 관리체계 관점에서 명확하게 식별하여 정의
• 인증범위에서 제외되는 서비스, 정보시스템 등에 대해서는 내부 협의 및 책임자 승인을 거친 후 그 사유 및 근거에 대하여 기록하여 관리

정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서 목록 등)이 포함된 문서를 작성하여 관리하여야 한다.

범위에는 유형과 무형의 자산이 모두 포함되어야 한다. 전자 문서도 자산이 된다. ISP나 IDC 사업자 등 법적으로 의무가 부과된 부분은 반드시 포함되어야 한다.

불가피하게 범위에서 제외되는 자산도 있기 마련인데, 그런 부분은 책임자 승인과 근거자료 유지가 필요하다. 그 부분은 물론 납득할 수 있는 사유가 있어야 한다. 납득할 수 있는 부분이라는 것은 정말 불가피한 사정도 있겠지만 예산과 같은 현실적인 문제나 회사 내부 사정에 의한 부분도 포함이 될 수 있다.

[결함사례]

사례 1 : 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 외주업체직원, PC, 테스트용 단말기 등이 관리체계 범위에서 누락된 경우

>> 범위에서 자산이 누락된 경우

사례 2 : 정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 인증범위에 포함하지 않은 경우

>> 범위에서 자산이 누락된 경우

사례 3 : 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 개발자 PC, 테스트용 단말기, 개발조직 등이 관리체계 범위에서 누락된 경우

>>  범위에서 자산이 누락된 경우

관리체계 범위 내 필요한 자산이 모두 담겨있는지가 본 인증기준의 핵심이다. 불가피하게 모두 담겨있지 않다면 그 사유와 절차대로 검토가 이루어졌다면 된다.

[키워드]

실무조직, 위원회, 실무협의체

실무조직, 위원회, 실무협의체를 구성 및 운영하고 있는가?

[인증기준]

최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다.

[주요 확인사항]

정보보호 최고책임자 및 개인정보 보호책임자의 업무를 지원하고 조직의 정보보호 및 개인정보보호 활동을 체계적으로 이행하기 위하여 전문성을 갖춘 실무조직을 구성하여 운영하고 있는가?

조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하고 있는가?

전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하고 있는가?

[세부설명]

조직의 규모, 업무 중요도 등의 특성을 고려하여 정보보호 및 개인정보보호 관리체계를 구축하고 지속적으로 운영하기 위하여 필요한 조직 구성의 근거를 정보보호 및 개인정보보호 정책서 등에 명시하고, 전문성을 갖춘 실무조직을 구성하여 운영하여야 한다.

• 정보보호 최고책임자, 개인정보 보호책임자, 개인정보보호 실무조직, 위원회 등 정보보호 및 개인정보보호 조직의 구성·운영에 대한 사항을 정책서, 내부 관리계획 등에 명시
• 실무조직의 구성형태 및 규모는 전사 조직의 규모, 업무, 서비스의 특성, 처리하는 정보 및 개인정보의 중요도, 민감도, 법 규제 등 고려
• 실무조직은 전담조직 또는 겸임조직으로 구성할 수 있으나, 겸임조직으로 구성하더라도 실질적인 역할 수행이 가능하도록 역할 및 책임이 공식적으로 부여되어야 함
• 실무조직의 구성원은 정보보호 및 개인정보보호 전문성과 다양한 서비스에 대한 이해도와 경험이 많은 직원으로 구성(관련 학위 및 자격증 보유, 실무 경험 보유, 관련 교육 이수 등)

실무조직을 구성할 때 "공식적으로 부여" 라는 내용은 인사발령을 통한 지정을 의미한다. 여기서 전문성이라는 키워드가 있긴 하지만, 뒤에 나오는 1.1.6 자원 할당 인증기준이 전문성이라는 키워드와 좀 더 매치된다.

전문성 이라는 말이 인증기준 안내서의 여러 부분에서 나오는데, 그 의미는 학위 및 자격증, 실무 경험, 관련 교육 이수로 생각하면 된다.

조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하여야 한다.

• 위원회는 정보보호 및 개인정보보호 관련하여 조직 내 이해관계를 대변하고 의사결정을 할 수 있도록 경영진, 임원, 정보보호 최고책임자, 개인정보 보호책임자 등 실질적인 검토 및 의사결정 권한이 있는 임직원으로 구성
• 정기 또는 사안에 따라 수시로 위원회 개최
• 위원회는 조직 전반에 걸친 주요 사안에 대한 검토, 승인 및 의사결정 수행

※ 위원회에서 검토 및 의사결정이 필요한 주요 사안(예시)
· 정보보호 및 개인정보보호 정책·지침의 제·개정
· 위험평가 결과
· 정보보호 및 개인정보보호 예산 및 자원 할당
· 내부 보안사고 및 주요 위반사항에 대한 조치
· 내부감사 결과 등

(개인)정보보호와 관련된 중요한 사항은 위원회에서 의사결정이 되어야 한다. 형식 뿐인 위원회가 되지 않기 위해서는 실질적인 의사결정 권한이 있는 경영진 등이 포함되어야 한다. 

전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하여야 한다.

• 조직의 규모 및 관리체계 범위 내 서비스의 중요도에 따라 실무 협의체 구성원, 조직체계 등을 결정
• 실무 협의체에서는 정보보호 및 개인정보보호 관련 사항에 대하여 실무 차원에서 공유·조정·검토· 개선하고, 의사결정 및 경영진 지원이 필요한 경우에는 위원회에 상정하여 논의

실무 협의체는 서로 다른 조직 간 협의를 위한 것이지, 최종적인 의사결정이 이루어지지는 않는다. 의사결정이 필요한 사항은 위원회에서 결정할 수 있도록 안건을 상정한다.

[결함사례]

사례 1 : 정보보호 및 개인정보보호 위원회를 구성하였으나, 임원 등 경영진이 포함되어 있지 않고 실무 부서의 장으로 구성되어 있어 조직의 중요 정보 및 개인정보 보호에 관한 사항을 결정할 수 없는 경우

>> 실질적인 조직이 운영되지 않는 경우

사례 2 : 내부 지침에 따라 중요 정보처리 부서 및 개인정보처리 부서의 장(팀장급)으로 구성된 정보보호 및 개인정보보호 실무 협의체를 구성하였으나, 장기간 운영 실적이 없는 경우

>> 유의미한 운영 실적이나 증적이 확인되지 않는 경우

사례 3 : 정보보호 및 개인정보보호 위원회를 개최하였으나, 연간 정보보호 및 개인정보보호 계획 및 교육 계획, 예산 및 인력 등 정보보호 및 개인정보보호에 관한 주요 사항이 검토 및 의사결정이 되지 않은 경우

>> 실질적인 조직이 운영되지 않는 경우

사례 4 : 정보보호 및 개인정보보호 관련 심의·의결을 위해 정보보호위원회를 구성하여 운영하고 있으나, 운영 및 IT보안 관련 조직만 참여하고 개인정보보호 관련 조직은 참여하지 않고 있어 개인정보보호에 관한 사항을 결정할 수 없는 경우

>> 실질적인 조직이 운영되지 않는 경우

정보보호 체계 운영을 위해서는 뒷받침할 수 있는 조직이 구성되어야 한다. 형식적으로 조직을 운영하거나, 조직이 정상적으로 기능하지 않는다면 본 인증기준에 의해 결함이 될 수 있다. (조직 구성에 문제가 있는 정도라면 인증심사를 받지도 않을거고, 사전심사 단계에서 심사가 중단될 가능성이 높다)

반대로 말하자면, 조직이 적절한 인원으로 구성되고 운영된다면 정보보호 체계 운영을 할 수 있는 아주 기초적인 인적 기반은 되어 있다고 보는 것이다.

[키워드]

공식 지정, 자격 요건, 겸직 제한

법적 자격요건을 충족하는 정보보호 최고책임자와 개인정보보호 책임자를 공식적인 절차를 거쳐 지정했는가?

[인증기준]

최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산·인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.

최고 경영자가 모든 (개인)정보보호 업무를 챙길 수 없기 때문에, 그 업무를 대리할 CISO와 CPO를 지정해야 한다. 아무나 지정할 수는 없고 조건에 부합하는 자 중에서 실질적으로 예산이나 인력을 할당할 수 있어야 한다. 상위 임원에게 허가를 받아야 하는 등 자원을 할당하는 것에 대해 결정을 하지 못한다면 실질적으로 CISO나 CPO의 업무를 수행한다고 보지 못할 수도 있다.(실제로는 그런 경우가 많이 있지만 그런 것까지 트집잡지는 못한다..)

여기서 "임원급" 이라는 말은 실제 임원만을 말하는 것은 아니며, 독립적으로 권한과 책임을 가지는 사람을 의미한다.

[주요 확인사항]

최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가?

정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며, 관련 법령에 따른 자격요건을 충족하고 있는가?

[세부설명]

최고경영자는 조직 내에서 정보보호 및 개인정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄하여 책임질 수 있는 정보보호 최고책임자 및 개인정보 보호책임자를 인사발령 등의 절차를 통하여 공식적으로 지정하여야 한다.

• 정보보호 최고책임자 및 개인정보 보호책임자는 인사발령 등을 통하여 공식으로 임명하여야 하며, 당연직의 경우 정보보호 및 개인정보보호 정책서에 그 직위를 명시하여야 함

공식적으로 임명한다는 것은 인사발령을 통하는 것을 말한다. 인사발령 없이 메일이나 구두로 임명하는 것은 해당 조건을 충족하지 못한다.

정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 관련 법령에 따른 자격요건을 충족하여야 한다(※ 정보통신망법 시행령 제36조의7 참고).

• 정보보호 최고책임자 및 개인정보 보호책임자는 조직의 정보보호 및 개인정보보호 업무를 실질적으로 총괄할 수 있도록 정보보호 및 개인정보보호 관련 지식 및 소양이 있는 자로서 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정
• 정보보호 최고책임자 지정에 대한 법적 요건 준수 필요(※ 정보통신망법 제45조의3 참고)
• 정보보호 최고책임자는 다음 업무 수행

1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.

가. 정보보호 계획의 수립·시행 및 개선
나. 정보보호 실태와 관행의 정기적인 감사 및 개선
다. 정보보호 위험의 식별 평가 및 정보보호 대책 마련
라. 정보보호 교육과 모의 훈련 계획의 수립 및 시행

2. 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.

가. ｢정보보호산업의 진흥에 관한 법률｣ 제13조에 따른 정보보호 공시에 관한 업무
나. ｢정보통신기반 보호법｣ 제5조제5항에 따른 정보보호 책임자의 업무
다. ｢전자금융거래법｣ 제21조의2제4항에 따른 정보보호 최고책임자의 업무
라. ｢개인정보 보호법｣ 제31조제2항에 따른 개인정보 보호책임자의 업무
마. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

• 정보보호 최고책임자 지정요건(※ 정보통신망법 시행령 제36조의7 제1항)

- 신고 의무 발생 시 180일 이내 신고해야 함(온라인: 과기정통부, 오프라인: 관할 전파관리소)

- 신고하지 않은 경우에는 사업주 또는 대표자를 정보보호 최고책임자로 간주함

• 정보보호 최고책임자 자격요건(※ 정보통신망법 시행령 제36조의7 제3항)

- 아래의 조건 중 학력 조건(No.1~4)은 정보보호 또는 정보기술 분야의 국내 또는 외국에서 취득한 학위를 의미함

• 정보보호 최고책임자 특별 자격요건 (※ 정보통신망법 시행령 제36조의7 제3항)

- 겸직제한 요건을 준수해야 하는 회사에서는 일반 자격요건과 더불어서 아래의 요건을 추가로 만족하는 만족해야 함

- 겸직제한 요건을 준수해야 하는 회사에서는 상근하는 이사를 정보보호 최고책임자를 임명해야 함

정보보호 최고책임자와 관련된 내용은 좀 복잡하다.

- 지정/신고 의무: 보통의 기업은 지정 및 신고해야 하지만, 규모가 작은 기업은 의무 면제

- 자격 요건: 자격 요건을 만족하는 자를 지정 및 신고해야 함

- 특별 요건: 겸직 제한 요건을 준수해야 하는 기업은 자격 요건 + 특별 요건을 만족하는 상근 임원을 지정 및 신고해야 함

하나의 표로 정리해보자면 아래와 같다.

• 개인정보 보호책임자 지정에 대한 법적 요건 준수 필요(※ 개인정보 보호법 시행령 제32조 등 참고)

- 개인정보처리자는 개인정보 보호책임자를 지정해야 함(상시 근로자수 5인 미만 기업 제외)

- 지정하지 않은 경우에는 사업주 또는 대표가를 개인정보 보호책임자로 간주함

개인정보 보호책임자는 다음의 업무 수행

1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오·남용 방지를 위한 내부통제시스템 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리·감독
7. 개인정보 처리방침의 수립·변경 및 시행
8. 개인정보 보호 관련 자료의 관리
9. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

• 개인정보 보호책임자 지정요건

• 개인정보 보호책임자 자격요건

- 아래 유형에 해당하는 모든 개인정보처리자는 개인정보 보호책임자를 지정 시 추가적으로 전문성 요건을 적용해야 함

- 전문성 요건 관련하여 학력 및 경력 인정요건이 별도로 존재함

• 개인정보 보호책임자 학력 및 경력 인정요건( ※  개인정보 보호책임자 경력 인정에 관한 고시)

개인정보 보호책임자 요건은 상대적으로 간단하다. 지정 요건에서 공공기관은 순차적으로 급수가 정해지고, 민간기업은 대표자, 임원이나 부서 장이다. 공공기관 중 학교나 교육청은 특수한 조건이 적용되니 꼭 기억해야 한다. 일부 개인정보처리자에 대해 전문성 요건 준수 의무가 부여되며, 전문성 요건이 추가로 적용되지만 학력 및 경력 인정요건도 함께 적용된다.

[결함사례]

사례 1 : 정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 정보보호 최고책임자를 지정 및 신고하지 않은 경우 >> 법정 의무 미 준수

사례 2 : 개인정보 보호와 관련된 실질적인 권한 및 지위를 보유하고 있지 않은 인원을 개인정보 보호 책임자로 지정하고 있어, 개인정보 처리에 관한 업무를 총괄해서 책임질 수 있다고 보기 어려운 경우 >> 실효성 부재

사례 3 : 조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고 있으나, 인사발령 등의 공식적인 지정절차를 거치지 않은 경우 >> 공식 절차 부재

사례 4 : ISMS 인증 의무대상자이면서 전년도 말 기준 자산총액이 5천억 원을 초과한 정보통신서비스 제공자이지만 정보보호 최고책임자가 CIO를 겸직하고 있는 경우 >> 법정 의무 미 준수(겸직 제한)

정보보호 최고책임자를 지정 및 신고하지 않으면 결함이 될 뿐 아니라 법 위반을 하게 되는 것이므로 유의해야 한다. 최고책임자에는 실질적으로 책임을 지는 자를 인사발령을 통해 지정해야 하며, 겸직의무가 있는 경우에는 관련 제한요건을 준수해야 한다.

[키워드]

책임/역할 문서화
보고 및 의사결정 체계

경영진이 정보보호 관리체계 운영에 참여할 근거와 체계가 마련되어 있는가?

[인증기준]

최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다.

경영진의 관심과 참여가 있어야 (개인)정보보호 관리체계 운영에 있어서 적절한 지원을 받을 수 있다. 경영진이 관심을 가지고 있다고 하면 유관 부서에서도 협조를 할 것이고, 적절한 자원을 할당받게 된다. 아주 기본적이면서 관리체계 운영의 시작이라고 할 수 있을 정도로 중요하다.

[주요 확인사항]

정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는가?

경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립·이행하고 있는가?

[세부 설명]

정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 의사결정권이 있는 경영진의 참여가 이루어질 수 있도록 보고, 의사결정 등의 책임과 역할을 문서화하여야 한다.

• 정보보호 및 개인정보보호 정책의 제·개정, 위험관리, 내부감사 등 관리체계 운영의 중요 사안에 대하여 경영진이 참여할 수 있도록 활동의 근거를 정보보호 및 개인정보보호 정책 또는 시행문서에 명시

정책이나 시행문서에 경영진이 참여해야 한다는 내용을 정책서 또는 시행문서에 명시해야 한다. 그 내용이 경영진이 참여해야 한다는 근거가 되며, 그 내용이 없다면 경영진이 정보보호 체계에 관심을 가지지 않는 것이 되므로 ISMS 심사에서 중결함을 받고 심사가 즉시 중단이 될 수 있다.(어쩌면 심사를 시작하지 못할 수도 있다..)

경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립·이행하여야 한다.

• 정보보호 및 개인정보보호 관리체계 내 경영진이 참여하는 중요한 활동을 정의하고, 그에 따른 보고체계 마련(정기·비정기 보고, 위원회 참여 등)
• 경영진이 효과적으로 관리체계 수립·운영에 참여할 수 있도록 조직의 규모 및 특성에 맞게 보고 및 의사결정 절차, 대상, 주기 등 결정
• 수립된 내부절차에 따라 정보보호 및 개인정보보호 관리체계 내 주요 사항에 대하여 경영진이 보고를 받고 의사결정에 참여

1. 정보보호 정책서를 제/개정할 때 경영진의 결재를 받도록 한다면, 적어도 관련 보고가 이루어졌고 승인을 했다는 것이 증명된다. 

2. 경영진이 어느 활동에 참여해야 하는지를 정의해야 한다. 예를 들면 "경영진 중 누가 연 1회 이상 정보보호 위원회에 참석하여 관련 보고를 받고 의사 결정을 한다" 라는 식이다.

3. 경영진이 위원회에 참석한다면 어느 직책으로 참석하는지도 중요하다. 조직도를 통해 누가 어느 직책과 책임을 가지고 있는지 명확해진다.

4. 추가적으로 활동에 대한 증적 자료가 있어야 한다. 결재 내역이나 회의록이 있다면 적절히 증명될 수 있다.

[결함사례]

사례 1 : 정보보호 및 개인정보보호 정책서에 분기별로 정보보호 및 개인정보보호 현황을 경영진에게 보고하도록 명시하였으나, 장기간 관련 보고를 수행하지 않은 경우
>> 정책대로 운영되지 않는 경우

사례 2 : 중요 정보보호 활동(위험평가, 위험수용수준 결정, 정보보호대책 및 이행계획 검토, 정보보호대책 이행결과 검토, 보안감사 등)을 수행하면서 관련 활동관련 보고, 승인 등 의사결정에 경영진 또는 경영진의 권한을 위임받은 자가 참여하지 않았거나 관련 증거자료가 확인되지 않은 경우
>> 정책대로 운영되지 않는 경우

매 분기별 현황 보고를 하지 않으면 결함이라는 말이 아니고, 정책에 명시된 대로 수행되지 않는 경우가 결함이라는 의미이다. 물론 보고 주기가 "2년에 1회"처럼 비현실적인 경우에는 문제가 되겠지만, 그러한 경우가 아니라면,  일단 회사가 선언한 대로 이루어진 경우 큰 문제는 없다. 정책서와 회의록/보고 자료를 대조하여 검증이 가능하다.