[ISMS-P]교육중 1일차 - 관리체계 기반 마련

ISMS-P 인증을 받기 위해서 가장 기초가 되는 항목

관리체계 : 위협으로부터 주요 정보자산을 보호하기 위해 수립·관리·운영하는 체계를 말하며 서비스 안정성 유지 및 정보자산 보호를 위한 경영활동의 일부로 인식하는 것에서 시작된다.

즉 경영진 관심과 참여정도는 ISMS-P의 성공과 실패를 좌우 한다

최고 경영자는 책임자를 지정하고 해당 책임자에게 책임과 역할을 부여하며

정보보호 최고책임자 및 개인정보 보호책임자는 ISMS-P의 수립과 운영을 책임 진다.

1.1 관리체계 기반 마련


1.1.1 경영진의 참여
인증기준 
*최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다.

주요확인사항
> 정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화 하고 있는가?
> 경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립·이행하고 있는가?

 

1.1.2 최고책임자의 지정
인증기준 
*최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산·인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.

주요확인사항
> 최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가?
> 정보보호 최고책임자 및 개인정보 보호책임자는 예산. 인력 등 지원을 할당할 수 있는 임원급으로 지정하고 있으며 관련 법령에 따른 자격요건을 충족하고 있는가?

※ 공식적으로 지정
 - 인사발령 등을 통하여 명시, 정보보호, 개인정보보호 정책서에 직위 명시

※ 자격요건
<책임자 선정 요건>
- 임원급, 정보통신망법 제45조의3에 해당하는 사업자의 경우 정보보호 최고책임자를 과학기술정보통신부장관에게 신고
- 금융회사의 경우, 정보보호 또는 정보기술(IT)분야의 학력 또는 기술자격을 일정수준이상 갖춘 자
<개인정보 보호책임자 지정요건(민간기업)>
:개인정보 보호법
    >> 사업주 또는 대표자
    >> 임원(임원이 없는 경우에는 개인정보 처리업무를 담당하는 부서의 장)
: 정보통신망법
    >> 임원
    >> 개인정보와 관련하여 이용자의 고충처리를 담당하는 부서의 장
          (단, 상시 종업원 수가 5명 미만인 정보통신서비스 제공자 등은 개인정보 보호책임자를 지정하지 아니할 수 있으며, 이때는 업주 또는 대표자가 개인정보 보호책임자가 됨)

 

1.1.3 조직 구성
인증기준 
*최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다.

주요확인사항
> 정보보호 최고책임자 및 개인정보 보호책임자의 업무를 지원하고 조직의 정보보호 및 개인정보보호 활동을 체계적으로 이행하기 윟애 전문성을 갖춘 실무조직을 구성하여 운영하고 있는가?
> 조직 전반에 걸친 중용한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하고 있는가?
> 전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하고 있는가?