2.2.1. 주요 직무자 지정 및 관리

개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.

 

1. 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가?

상세 기준

  ※ 주요 직무의 기준(예시)

    - 중요정보(개인정보, 인사정보, 영업비밀, 산업기밀, 재무정보 등) 취급

    - 중요 정보시스템(서버, 데이터베이스, 응용 프로그램 등) 및 개인정보처리시스템 운영· 관리

    - 정보보호 및 개인정보보호 관리 업무 수행 

    - 보안시스템 운영 등 

 

(가상자산사업자) 월렛 및 개인키, 거래원장에 접근가능한 직무에 대하여 정의하고 있는가? 

상세 기준

  - 월렛 및 개인키, 거래원장에 접근가능한 직무에 대하여 정의

 

2. 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가?

상세 기준

  - 주요 직무자 현황을 파악하여 주요 직무자로 공식 지정

  - 지정된 주요 직무자에 대하여 목록으로 관리

  - 주요 직무자의 신규 지정 및 변경, 해제 시 목록 업데이트

  - 정기적으로 주요 직무자 지정 현황 및 적정성을 검토하여 목록 최신화

 

3. 업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하고 있는가?

상세 기준

  - 업무상 개인정보를 처리하는 개인정보취급자에 대해서는 목록으로 관리

  - 개인정보취급자 목록에는 개인정보 처리업무에 대한 위탁을 받은 수탁자의 개인정보취급자도 포함 (다만 수탁자의 개인정보취급자 중 개인정보처리시스템에 접근권한이 없는 개인정보취급자에 대한 목록관리는 수탁자 자체적으로 관리 가능)

  - 정기적으로 개인정보취급자 지정 현황 및 적정성을 검토하여 목록 최신화

    ※ 개인정보취급자의 정의

      - 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘· 감독을 받아 개인정보를 처리하는 자

 

4. 업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립·이행하고 있는가?

상세 기준

  - 업무상 반드시 필요한 경우에 한하여 주요 직무자 및 개인정보취급자로 지정

  - 주요 직무자 및 개인정보취급자 권한 신청 및 부여에 대한 승인 절차 마련

  - 주요 직무자 및 개인정보취급자에 대한 관리 및 통제방안 수립·이행(교육, 모니터링 등)

 

    운영 내역(증적) 예시

 

  • 주요 직무 기준
  • 주요직무자 목록
  • 개인정보취급자 목록
  • 중요 정보시스템 및 개인정보처리시스템 계정 및 권한 관리 대장
  • 주요 직무자에 대한 관리 현황(교육 결과, 보안서약서 등)

 

    ** 인증심사 결함사항 예시 **

 

  1. 내부 지침에는 주요 직무자 권한 부여 시에는 보안팀의 승인을 득하고 주요 직무에 따른 보안서약서를 작성하도록 하고 있으나, 보안팀 승인 및 보안서약서 작성 없이 등록된 주요 직무자가 다수 존재하는 경우
  2. 주요 직무자 명단(개인정보취급자 명단, 비밀정보관리자 명단 등)을 작성하고 있으나 대량의 개인정보 등 중요정보를 취급하는 일부 임직원(DBA, DLP 관리자등)을 명단에 누락한 경우
  3. 주요 직무자 및 개인정보취급자 목록을 관리하고 있으나, 퇴사한 임직원이 포함되어 있고 최근 신규 입사한 인력이 포함되어 있지 않는 등 현행화 관리가 되어 있지 않은 경우
  4. 부서 단위로 개인정보취급자 권한을 일괄 부여하고 있어 실제 개인정보를 취급할 필요가 없는 인원까지 과다하게 개인정보취급자로 지정된 경우

  5. (CELA)공식 업무 할당이 확인되지 않은 상태로 개발자에게 DBA 접근 권한이 부여되어 주요 직무자 식별이 미흡한 경우


2.2.2. 직무 분리

권한 오· 남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다.

 

1. 권한 오· 남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하여 적용하고 있는가?

상세 기준

  - 개발과 운영 직무 분리

  - 정보보호담당자, 개인정보취급자와 정보보호 및 개인정보 모니터링 직무 분리

  - 정보시스템 및 개인정보처리시스템(서버, 데이터베이스, 네트워크 등)간 운영직무 분리

  - 정보보호 및 개인정보보호 관리와 정보보호 및 개인정보보호 감사 업무 분리

  - 개인정보보호 관리와 개인정보처리시스템 운영직무 분리

  - 개인정보보호 관리와 개인정보처리시스템 개발직무 분리 등

  - 외부 위탁업체 직원에게 사용자 계정 등록· 삭제(비활성화) 및 접근권한 등록· 변경· 삭제 설정 권한 부여 금지(다만 불가피한 경우 보완통제 적용)

 

2. 직무분리가 어려운 경우 직무자간 상호 검토, 상위관리자 정기 모니터링 및 변경사항 승인, 책임추적성 확보 방안 등의 보완통제를 마련하고 있는가?

상세 기준

(조직 규모가 작거나 인적 자원 부족 등의 사유로 인하여 불가피한 경우)

  - 직무자 간 상호 검토, 상위관리자 승인 등으로 오· 남용이 발생하지 않도록 관리

  - 개인별 계정 사용, 로그기록 및 감사· 모니터링을 통한 책임추적성 확보 등

 

    운영 내역(증적) 예시

 

  • 직무분리 관련 지침(인적 보안 지침 등)
  • 직무기술서(시스템 운영·관리, 개발·운영 등)
  • 직무 미분리 시 보완통제 현황

 

    ** 인증심사 결함사항 예시 **

 

  1. 조직의 규모와 인원이 담당자별 직무 분리가 충분히 가능한 조직임에도 업무의 편의성만을 사유로 내부 규정으로 정한 직무분리 기준을 준수하고 있지 않는 경우
  2. 조직의 특성상 경영진의 승인을 득한 후 개발과 운영 직무를 병행하고 있으나, 직무자간의 상호 검토, 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토·승인, 직무자의 책임추적성 확보 등의 보완통제 절차가 마련되어 있지 않은 경우

2.2.3. 보안 서약

정보자산을 취급하거나 접근권한이 부여된 임직원· 임시직원· 외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서악을 받아야 한다.

 

1. 신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받고 있는가?

상세 기준

  - 신규 인력이 입사하는 경우 정보보호 및 개인정보보호의 필요성과 책임, 내부 정책 및 관련 법규 준수, 비밀 유지 의무에 대해 명시된 서약서 서명

  - 고용 조건의 변경 등 중요 변경사항 발생 시 서약서 재작성 등의 조치 수행

 

2. 임시직원, 외주용역직원 등 외부자에게 정보자산(개인정보 포함), 정보시스템 등에 접근권한을 부여할 경우 정보보호 및 개인정보보호에 대한 책임, 비밀유지 의무 등이 명시된 서약서를 받고 있는가?

상세 기준

  - 정보보호 및 개인정보보호 책임, 비밀유지 의무, 내부 규정 및 관련 법규 준수 의무, 관련 의무의 미 준수로 인한 사건· 사고 발생 시 손해배상 책임 등 필요한 내용 포함

 

3. 임직원 퇴직 시 별도의 비밀유지에 관련한 서약서를 받고 있는가?

상세 기준

  - 퇴직자에게 정보유출 발생 시 그에 따르는 법적 책임이 있음을 명확히 인식시킬 수 있도록 비밀유지 서약서 징구(퇴직 절차 내 포함)

 

4. 정보보호, 개인정보보호 및 비밀유지 서약서는 안전하게 보관하고 필요시 쉽게 찾아볼 수 있도록 관리하고 있는가?

상세 기준

  - 법적 분쟁 발생 시 법률적 책임에 대한 증거자료로 사용할 수 있도록 잠금장치가 있는 캐비닛 또는 출입통제가 적용된 문서고 등에 안전하게 보관·관리

 

    운영 내역(증적) 예시

 

  • 정보보호 및 개인정보보호 서약서(임직원, 외부인력)
  • 비밀유지서약서(퇴직자)

 

    ** 인증심사 결함사항 예시 **

 

  1. 신규 입사자에 대해서는 입사 절차상에 보안서약서를 받도록 규정하고 있으나, 최근에 입사한 일부 직원의 보안서약서 작성이 누락된 경우
  2.  개인정보취급자에 대하여 보안서약서만 받고 있으나 보안서약서 내에 비밀유지에 대한 내용만 있고 개인정보보호에 관한 책임 및 내용이 포함되어 있지 않은 경우
  3. 임직원에 대해서는 보안서약서를 받고 있으나, 정보처리시스템에 직접 접속이 가능한 외주 인력에 대해서는 보안서약서를 받지 않는 경우
  4. 제출된 정보보호 및 개인정보보호 서약서를 모아 놓은 문서철이 비인가자가 접근 가능한 상태로 사무실 책상에 방치되어 있는 등 관리가 미흡한 경우

2.2.4. 인식제고 및 교육훈련

임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립· 운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.

 

1. 정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가?

상세 기준

  - 교육 유형 : 임직원 인식제고 교육, 주요직무자, 개인정보취급자 교육, 수탁자 교육, 전문 교육 등

  - 교육 방법 : 교육 목적, 교육 대상, 교육 일정, 교육 시간, 교육 내용, 온라인 및 집합교육 등

  - 교육 승인 : 교육 계획을 검토, 승인하여 계획에 따라 이행될 수 있도록 예산 배정 지원 등

 

(가상자산사업자) 정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가?

상세 기준

  - 다음 교육시간 준수

    : 임원 : 3시간 이상(단, 정보보호 최고책임자는 6시간 이상)

    : 일반직원 : 6시간 이상

    : 정보기술부문업무 담당 직원 : 9시간 이상

    : 정보보호업무 담당 직원 : 12시간 이상

 

2. 관리체계 범위 내 모든 임직원과 외부자를 대상으로 연간 교육계획에 따라 연 1회 이상 정기적으로 교육을 수행하고, 관련 법규 및 규정의 중대한 변경 시 이에 대한 추가교육을 수행하고 있는가?

상세 기준

  - 정보자산에 직· 간접적으로 접근하는 임직원, 임시직원, 외주용역업체 직원 등 모든 인력 포함

  - 수탁자 및 파견된 직원인 경우 해당 업체가 교육 수행할 수 있도록 관련 자료 제공, 시행 여부를 관리· 감독

  - 최소 연 1회 이상 교육 수행(특히 개인정보취급자의 경우 법적 요구사항에 따라 연 1회 이상 개인정보보호 교육 필요)

  - 교육 내용에는 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고, 이를 준수할 수 있도록 필요한 내용을 모두 포함하여야 함

    ※ 정보보호 및 개인정보보호 관련 교육에 포함될 내용(예시)

      - 정보보호 및 개인정보보호의 기본 개요, 관리체계 구축 및 방법, 관련 법률

      - 정보보호 및 개인정보보호 관련 내부규정, 관리적· 기술적· 물리적 조치사항

      - 중요정보 및 개인정보 침해(유출)사고 사례 및 대응방안, 규정 위반 시 법적 책임 등

  - 출장, 휴가, 업무 등으로 인하여 교육에 참석하지 못한 인력에 대한 교육 방법을 마련하여 시행(불참자 대상 추가교육, 전달 교육, 온라인 교육 등)

  - 내부 규정 및 절차의 중대한 변경, 조직 내·외부 침해사고 발생, 관련 법규 변경 등 발생 시 이에 대한 추가 교육 수행(다만 사안이 중요하지 않을 경우에는 게시판 공지, 이메일 안내, 책자 배포 등으로 대체)

 

3. 임직원 채용 및 외부자 신규 계약 시, 업무 시작 전에 정보보호 및 개인정보보호 교육을 시행하고 있는가?

상세 기준

  - 신규 인력 발생 시점 또는 업무 수행 전에 정보보호 및 개인정보보호 교육을 시행하여 조직 정책, 주의해야 할 사항, 규정 위반 시 법적 책임 등에 대한 내용 숙지

 

4. IT 및 정보보호, 개인정보보호 조직 내 임직원은 정보보호 및 개인정보보호와 관련하여 직무별 전문성 제고를 위한 별도의 교육을 받고 있는가?

상세 기준

  - 관련 직무자 : IT 직무자, 정보보호 최고책임자, 개인정보 보호책임자, 개인정보취급자, 정보보호 직무자 등

  - 교육과정 : 정보보호 및 개인정보보호 관련 콘퍼런스·세미나·워크숍 참가, 교육 전문기관 위탁 교육, 외부 전문가 초빙을 통한 내부교육 등

 

(가상자산사업자) IT 및 정보보호, 개인정보보호, 월렛 조직내 임직원은 직무별 정보보호 전문성 제고를 위해 별도의 교육을 수행하고 있는가?

상세 기준

  - IT 및 정보보호, 개인정보보호, 월렛 조직내 임직원은 직무별 정보보호 전문성 제고를 위해 별도의 교육 수행

 

5. 교육시행에 대한 기록을 남기고 교육 효과와 적정성을 평가하여 다음 교육 계획에 반영하고 있는가?

상세 기준

  - 교육 시행 후 교육 공지, 교육자료, 출석부 등과 같은 기록을 남기고, 미리 마련된 평가기준에 따라 설문 또는 테스트 등을 통하여 교육 내용의 적절성과 효과성 평가

  - 교육평가 결과 내용에서 도출된 개선점에 대한 대책을 마련하고 차기 교육 계획 수립 시 반영

 

    운영 내역(증적) 예시

 

  • 정보보호 및 개인정보보호 교육계획서
  • 교육 결과보고서
  • 공통, 직무별 교육자료
  • 교육참석자 목록

 

    ** 인증심사 결함사항 예시 **

 

  1. 전년도에는 연간 정보보호 및 개인정보보호 교육 계획을 수립하여 이행하였으나 당해년도에 타당한 사유 없이 연간 정보보호 및 개인정보보호 교육 계획을 수립하지 않은 경우
  2. 연간 정보보호 및 개인정보보호 교육 계획에 교육 주기와 대상은 명시하고 있으나 시행일정, 내용 및 방법 등의 내용이 포함되어 있지 않은 경우
  3. 연간 정보보호 및 개인정보보호 교육 계획에 전 직원을 대상으로 하는 개인정보보호인식 교육은 일정 시간 계획되어 있으나 개인정보 보호책임자 및 개인정보담당자 등 각 직무별 로 필요한 개인정보보호관련 교육 계획이 포함되어 있지 않은 경우
  4. 정보보호 및 개인정보보호 교육 미이수자를 파악하지 않고 있거나 해당 미이수자에 대한 추가교육 방법(전달교육, 추가교육, 온라인교육 등)을 수립·이행하고 있지 않은 경우
  5. 정보보호 및 개인정보보호 교육 계획서 및 결과 보고서를 확인한 결과 인증범위 내의 정보자산 및 설비에 접근하는 외주용역업체 직원(전산실 출입 청소원, 경비원, 외주개발자 등) 을 교육 대상에서 누락한 경우
  6. 당해 연도 정보보호 및 개인정보보호 교육을 실시하였으나 교육시행 및 평가에 관한 기록(교육자료, 출석부, 평가 설문지, 결과보고서 등) 일부를 남기지 않고 있는 경우

  7. (CELA)외부자 신규 계약 시 업무 시작 전 정보보호 교육을 시행하지 않은 경우


2.2.5. 퇴직 및 직무변경 관리

퇴직 및 직무변경 시 인사· 정보보호· 개인정보보호· IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수· 조정, 결과확인 등의 절차를 수립· 관리하여야 한다.

 

1. 퇴직, 직무변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호 및 개인정보보호 부서, 정보시스템 및 개인정보처리시스템 운영부서 간 신속히 공유되고 있는가?

상세 기준

  - 관련 조직 및 시스템 간 인사변경 내용이 신속하게 공유될 수 있도록 절차 수립· 이행

    ※ 인사 변경 내용에 대한 신속한 공유 절차(예시)

      - 정보처리시스템을 인사시스템과 연동하여 실시간 또는 일배치로 계정정보 동기화

      - 협력업체 인원에 대한 통합 계정 등록·관리시스템을 구축하여 개별 시스템과 계정 동기화

      - 퇴직 프로세스 내에 관련 부서에 퇴직자 정보를 관련 부서에 공유하는 절차 포함 등

 

2. 조직 내 인력(임직원, 임시직원, 외주용역직원 등)의 퇴직 또는 직무변경 시 지체 없는 정보자산 반납, 접근권한 회수·조정, 결과 확인 등의 절차를 수립· 이행하고 있는가?

상세 기준

  - 퇴직 및 직무변동 시 출입증 및 자산 반납, 계정 삭제 또는 잠금, 접근권한 회수· 조정, 보안점검 등의 절차를 수립·이행

  - 불가피하게 계정을 공유 사용하고 있었다면 해당 계정의 비밀번호를 즉시 변경

  - 관련 기록을 보존하고 퇴직 절차 준수여부에 대하여 정기적으로 검토

 

    운영 내역(증적) 예시

 

  • 퇴직 및 직무변경 절차서
  • 퇴직 시 자산(계정) 반납관리대장
  • 퇴직자 보안점검 체크리스트 및 점검 내역

 

    ** 인증심사 결함사항 예시 ** (개정 23.11.23.)

 

  1. 직무 변동에 따라 개인정보취급자에서 제외된 인력의 계정과 권한이 개인정보처리시스템에 그대로 남아 있는 경우
  2. 최근에 퇴직한 주요직무자 및 개인정보취급자에 대하여 자산반납, 권한 회수 등의 퇴직절차 이행 기록이 확인되지 않은 경우
  3. 임직원 퇴직 시 자산반납 관리는 잘 이행하고 있으나 인사규정에서 정한 퇴직자 보안점검 및 퇴직확인서를 작성하지 않은 경우
  4. 개인정보취급자 퇴직 시 개인정보처리시스템의 접근 권한은 지체 없이 회수되었지만, 출입통제 시스템 및 VPN 등 일부 시스템의 접근 권한이 회수되지 않은 경우 (개정 23.11.23.)
  5. (CELA)퇴사자 발생 시 매월 초에 일괄적으로 권한을 회수하여, 월초에 퇴사자 발생 시 최대 29일까지 권한이 회수되지 않고 운영되는 경우

2.2.6. 보안 위반 시 조치

임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립· 이행하여야 한다.

 

1. 임직원 및 관련 외부자가 법령과 규제 및 내부정책에 따른 정보보호 및 개인정보보호 책임과 의무를 위반한 경우에 대한 처벌 규정을 수립하고 있는가?

상세 기준

  - 관련 법규 및 내부 규정 미준수, 책임 미이행, 중요 정보 및 개인정보의 훼손, 유· 노출, 오· 남용 등이 발견된 경우 조사, 소명, 징계 등의 조치 기준 및 절차 수립

  - 정보보호 및 개인정보보호 책임과 의무를 충실히 이행한 경우에 대한 보상 방안도 고려

 

2. 정보보호 및 개인정보보호 위반 사항이 적발된 경우 내부 절차에 따른 조치를 수행하고 있는가?

상세 기준

  - 상벌 규정에 따른 조치를 수행하고 결과 기록

  - 필요한 경우 전사 공지 또는 교육 사례로 활용 등

 

    운영 내역(증적) 예시

 

  • 인사 규정(정보보호 및 개인정보보호 관련 규정 위반에 따른 처벌규정)
  • 정보보호 및 개인정보보호 지침 위반자 징계 내역
  • 사고 사례 (전사 공지, 교육 내용)

 

    ** 인증심사 결함사항 예시 **

 

  1. 정보보호 및 개인정보보호 규정 위반자에 대한 처리 기준 및 절차가 내부 규정에 전혀 포함되어 있지 않은 경우
  2. 보안시스템(DLP, 데이터베이스 접근제어시스템, 내부정보유출통제시스템 등)을 통하여 정책 위반이 탐지된 관련자에게 경고 메시지를 전달하고 있으나, 이에 대한 소명 및 추가 조사, 징계 처분 등 내부 규정에 따른 후속 조치가 이행되고 있지 않은 경우