정보보호 관리체계(ISMS)

 

1.1.1. 경영진의 참여

최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다.

 

1. 정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는가?

상세 기준

  - 정보보호 개인정보보호 정책의 제· 개정, 위험관리, 내부감사 등 관리체계 운영의 중요 사안에 대하여 경영진이 참여할 수 있도록 활동의 근거를 정보보호 및 개인정보보호 정책 또는 시행문서에 명시

 

2. 경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립· 이행하고 있는가?

상세 기준   - 정보보호 및 개인정보보호 관리체계 내 경영진이 참여하는 중요한 활동을 정의하고 그에 따른 보고체계 마련(정기· 비정기 보고, 위원회 참여 등)

  - 경영진이 효과적으로 관리체계 수립· 운영에 참여할 수 있도록 조직의 규모 및 특성에 맞게 보고 및 의사결정 절차, 대상, 주기 등 결정

  - 수립된 내부절차에 따라 정보보호 및 개인정보보호 관리체계 내 주요 사항에 대하여 경영진이 보고를 받고 의사결정에 참여

 

    운영 내역(증적) 예시

 

  • 정보보호 및 개인정보보호 보고 체계(의사소통계획 등)
  • 정보보호 및 개인정보보호위원회 회의록

  • 정보보호 및 개인정보보호 정책·지침(경영진 승인내역 포함)

  • 정보보호계획 및 내부관리계획(경영진 승인내역 포함)

  • 정보보호 및 개인정보보호 조직도

 

    ** 인증심사 결함사항 예시 **

 

  1. 정보보호 및 개인정보보호 정책서에 분기별로 정보보호 및 개인정보보호 현황을 경영진에게 보고하도록 명시하였으나, 장기간 관련 보고를 수행하지 않은 경우
  2. 중요 정보보호 활동(위험평가, 위험수용수준 결정, 정보보호대책 및 이행계획 검토, 정보보호 대책 이행결과 검토, 보안감사 등)을 수행하면서 관련 활동관련 보고, 승인 등 의사결정에 경영진 또는 경영진의 권한을 위임받은 자가 참여하지 않았거나 관련 증적이 확인되지 않은 경우
  3. 정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 정보보호 최고책임자를 지정 및 신고하지 않은 경우

1.1.2. 최고책임자의 지정

최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산· 인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.

 

1. 최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 효과적으로 추진하고 총괄하여 책임질 최고 책임자를 공식적으로 지정하고 있는가?

상세 기준

  - 정보보호 최고책임자 및 개인정보 보호책임자는 인사발령 등을 통하여 공식으로 임명하여야 하며, 당연직의 경우 정보보호 및 개인정보보호 정책서에 그 직위를 명시하여야 함

 

2. 정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며 관련 법령에 따른 자격요건을 충족하고 있는가?

상세 기준

(※정보통신망법 시행령 제36조의7 참고)

 - 정보보호 최고책임자 및 개인정보 보호책임자는 조직의 정보보호 및 개인정보보호 업무를 실질적으로 총괄할 수 있도록 정보보호 및 개인정보보호 관련 지식 및 소양이 있는 자로서 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정

  ※ 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하고 과학기술정보통신부장관에게 신고. 다만, 대통령령으로 정하는 기준에 해당하는 경우 신고 예외

 - 정보보호 최고책임자 지정에 대한 법적 요건 준수 필요(※정보통신망법 제45조의3 참고)

  a) 정보보호 최고책임자는 다음 업무 수행

    1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.

      가. 정보보호 계획의 수립·시행 및 개선

      나. 정보보호 실태와 관행의 정기적인 감사 및 개선

      다. 정보보호 위험의 식별 평가 및 정보보호 대책 마련

      라. 정보보호 교육과 모의 훈련 계획의 수립 및 시행

    2. 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.

      가. 「정보보호산업의 진흥에 관한 법률」 제13조에 따른 정보보호 공시에 관한 업무

      나. 「정보통신기반 보호법」 제5조제5항에 따른 정보보호 책임자의 업무

      다. 「전자금융거래법」 제21조의2제4항에 따른 정보보호 최고책임자의 업무

      라. 「개인정보 보호법」 제31조제2항에 따른 개인정보 보호책임자의 업무

      마. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

 - 개인정보 보호책임자 지정에 대한 법적 요건 준수 필요(※개인정보 보호법 시행령 제32조 참고)

  a) 개인정보 보호책임자는 다음 업무 수행

    1. 개인정보 보호 계획의 수립 및 시행

    2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선

    3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제

    4. 개인정보 유출 및 오·남용 방지를 위한 내부통제시스템 구축

    5. 개인정보 보호 교육 계획의 수립 및 시행

    6. 개인정보파일의 보호 및 관리·감독

    7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무

  b) 개인정보 보호책임자 지정요건(공공기관)

     가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관: 고위공무원단에 속하는 공무원(이하 고위공무원 이라 한다) 또는 그에 상당하는 공무원

     나. 가목 외에 정무직공무원을 장(䁸)으로 하는 국가기관: 3급 이상 공무원(고위공무원을 포함한다) 또는 그에 상당하는 공무원 

     다. 가목 및 나목 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관: 4급 이상 공무원 또는 그에 상당하는 공무원 

     라. 가목부터 다목까지의 규정에 따른 국가기관 외의 국가기관(소속 기관을 포함한다): 해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장 

     마. 시· 도 및 시· 도 교육청: 3급 이상 공무원 또는 그에 상당하는 공무원 

     바. 시· 군 및 자치구: 4급 공무원 또는 그에 상당하는 공무원 

     사. 제2조제5호에 따른 각급 학교: 해당 학교의 행정사무를 총괄하는 사람 

     아. 가목부터 사목까지의 규정에 따른 기관 외의 공공기관: 개인정보 처리 관련 업무를 담당하는 부서의 장. 다만, 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당 공공기관의 장이 지명하는 부서의 장이 된다.

  c) 개인정보 보호책임자 지정요건(민간기업)

    ②개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우에는 다음 각 호의 구분에 따라 지정한다.

      2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람

        가. 사업주 또는 대표자

        나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)

    ③ 제2항에도 불구하고 개인정보처리자가 「소상공인기본법」 제2조에 따른 소상공인에 해당하는 경우에는 별도의 지정 없이 그 사업주 또는 대표자를 개인정보 보호책임자로 지정한 것으로 본다. 다만 개인정보처리자가 별도로 개인정보 보호책임자를 지정한 경우에는 그렇지 않다. 

 

    운영 내역(증적) 예시

 

  • 정보보호 최고책임자 및 개인정보 보호책임자 임명관련 자료(인사명령, 인사카드 등)
  • 정보보호 및 개인정보보호 조직도

  • 정보보호 및 개인정보보호 정책·지침

  • 직무기술서(정보보호 최고책임자 및 개인정보 보호책임자의 역할 및 책임에 관한 사항)

  • 정보보호 최고책임자 지정 내역

  • 내부관리계획(개인정보 보호책임자 지정에 관한 사항)

 

    ** 인증심사 결함사항 예시 ** (개정 23.11.23.)

 

  1. 정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 정보보호 최고책임자를 지정 및 신고하지 않은 경우 
  2. 개인정보 보호법을 적용받는 민간기업이 개인정보 처리업무 관련 임원이 존재함에도 불구하고 부서장을 개인정보 보호책임자로 지정한 경우
  3. 개인정보 보호와 관련된 실질적인 권한 및 지위를 보유하고 있지 않은 인원을 개인정보 보호책임자로 지정하고 있어, 개인정보 처리에 관한 업무를 총괄해서 책임질 수 있다고 보기 어려운 경우(개정 23.11.23.) 
  4. 조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고 있으나 인사발령 등의 공식적인 지정절차를 거치지 않은 경우
  5. ISMS 인증 의무대상자이면서 전년도 말 기준 자산총액이 5천억 원을 초과한 정보통신서비스 제공자이지만 정보보호 최고책임자가 CIO를 겸직하고 있는 경우 

1.1.3. 조직 구성

최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다. 

 

1. 정보보호 최고책임자 및 개인정보 보호책임자의 업무를 지원하고 조직의 정보보호 및 개인정보보호 활동을 체계적으로 이행하기 위하여 필요한 조직 구성의 근거를 정보보호 및 개인정보보호 정책서 등에 명시하고 전문성을 갖춘 실무조직을 구성하여 운영하고 있는가?

상세 기준

  - 정보보호 최고책임자, 개인정보 보호책임자, 개인정보보호 실무조직, 위원회 등 정보보호 및 개인정보보호 조직의 구성· 운영에 대한 사항을 정책서, 내부관리계획 등에 명시

  - 실무조직의 구성형태 및 규모는 전사 조직의 규모, 업무, 서비스의 특성, 처리하는 정보 및 개인정보의 중요도, 민감도, 법 규제 등 고려 

  - 실무조직은 전담조직 또는 겸임조직으로 구성할 수 있으나, 겸임조직으로 구성하더라도 실질적인 역할 수행이 가능하도록 역할 및 책임이 공식적으로 부여되어야 함 

  - 실무조직의 구성원은 정보보호 및 개인정보보호 전문성과 다양한 서비스에 대한 이해도와 경험이 많은 직원으로 구성(관련 학위 및 자격증 보유, 실무 경험 보유, 관련 교육 이수 등) 

 

2. 조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하고 있는가?

상세 기준

  - 위원회는 정보보호 및 개인정보보호 관련하여 조직 내 이해관계를 대변하고 의사결정을 할 수 있도록 경영진, 임원, 정보보호 최고책임자, 개인정보 보호책임자 등 실질적인 검토 및 의사결정 권한이 있는 임직원으로 구성 

  - 정기 또는 사안에 따라 수시로 위원회 개최 

  - 위원회는 조직전반에 걸친 주요 사안에 대한 검토, 승인 및 의사결정 수행 

    ※ 위원회에서 검토 및 의사결정이 필요한 주요 사안(예시) 

      - 정보보호 및 개인정보보호 정책· 지침의 제· 개정 

      - 위험평가 결과

      - 정보보호 및 개인정보보호 예산 및 자원 할당 

      - 내부 보안사고 및 주요 위반사항에 대한 조치 

      - 내부감사 결과 등

 

3. 전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하고 있는가?

상세 기준

  - 조직의 규모 및 관리체계 범위 내 서비스의 중요도에 따라 실무 협의체 구성원, 조직체계 등을 결정 

  - 실무협의체에서는 정보보호 및 개인정보보호 관련 사항에 대해 실무 차원에서 공유· 조정· 검토· 개선하고, 의사결정 및 경영진 지원이 필요한 경우에는 위원회에 상정하여 논의

 

    운영 내역(증적) 예시

 

  • 정보보호 및 개인정보보호 위원회 규정/회의록
  • 정보보호 및 개인정보보호 실무협의체 규정/회의록  
  • 정보보호 및 개인정보보호 조직도

  • 내부관리계획

  • 직무기술서

 

    ** 인증심사 결함사항 예시 ** (개정 23.11.23.)

 

  1. 보호 및 개인정보보호 위원회를 구성하였으나, 임원 등 경영진이 포함되어 있지 않고 실무부서의 장으로 구성되어 있어 조직의 중요 정보 및 개인정보 보호에 관한 사항을 결정 할 수 없는 경우
  2. 내부 지침에 따라 중요 정보처리부서 및 개인정보처리부서의 장(팀장급)으로 구성된 정보 보호 및 개인정보보호 실무협의체를 구성하였으나, 장기간 운영 실적이 없는 경우 
  3. 정보보호 및 개인정보보호 위원회를 개최하였으나 연간 정보보호 및 개인정보보호 계획 및 교육계획, 예산 및 인력 등 정보보호 및 개인정보보호에 관한 주요 사항이 검토 및 의사결정 되지 않은 경우
  4. 정보보호 및 개인정보보호 관련 심의·의결을 위해 정보보호위원회를 구성하여 운영하고 있으나, 운영 및 IT보안 관련 조직만 참여하고 개인정보보호 관련 조직은 참여하지 않고 있어 개인정보보호에 관한 사항을 결정할 수 없는 경우(개정 23.11.23)
  5. (CELA)정보보호 최고 책임자(CISO)가 정보보호 관리자를 겸임하고 있으나, 실질적인 정보보호 관리자의 역할을 수행하고 있지 않은 경우
  6. (CELA)개인정보 보호담당자가 정보보호 업무를 겸임하고 있으나, 조직 규모 대비 소규모의 담당자가 업무를 수행하여 실질적인 개인정보 보호 업무 수행이 어려운 경우 
  7. (CELA)위원회를 구성하고 있으나, 실제 정책에 따라 위원회를 운영하지 않고 있는 경우 
  8. (CELA)정보보호 조직도를 조직 현황에 맞춰 업데이트 하지 않고 있는 경우 

1.1.4. 범위 설정

조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화 하여야 한다.

 

1. 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가?

상세 기준

  - 관리체계 범위에는 사업(서비스)와 관련된 임직원, 정보시스템, 정보, 시설 등 유· 무형의 핵심자산을 누락 없이 포함 

  - 특히 정보보호 관리체계 의무대상자의 경우 법적 요구사항에 따른 정보통신서비스 및 관련 정보자산은 의무적으로 포함되도록 범위 설정

 

2. 정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의· 책임자 승인 등 관련 근거를 기록· 관리하고 있는가?

상세 기준

  - 정보보호 관리체계와 개인정보보호 관리체계의 범위가 상이한 경우에는 인증범위 내의 정보자산 목록(개인정보, 시스템, 네트워크 등)을 정보보호 관리체계 및 개인정보보호 관리체계 관점에서 명확하게 식별하여 정의 

  - 인증범위에서 제외되는 서비스, 정보시스템 등에 대해서는 내부 협의 및 책임자 승인을 거친 후 그 사유 및 근거에 대해 기록하여 관리

 

3. 정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서 목록 등)이 포함된 문서를 작성하여 관리하고 있는가?

상세 기준

  - 주요 서비스 및 업무 현황(개인정보 처리 업무 현황 포함) 

  - 서비스 제공과 관련된 조직 현황(조직도 등) 

  - 정보보호 및 개인정보보호 조직 현황 

  - 주요 설비 목록 

  - 정보시스템 목록 및 네트워크 구성도 

  - 정보자산, 개인정보 관련 자산식별 기준 및 자산현황 

  - 정보보호 및 개인정보보호 시스템 목록 

  - 서비스(시스템) 구성도 및 개인정보(수집, 이용, 제공, 저장, 관리, 파기) 처리 흐름 

  - 문서 목록(예 : 정책, 지침, 매뉴얼, 운영명세서 등) 

  - 정보보호 및 개인정보보호 관리체계 수립 방법 및 절차, 관련 법적 준거성 검토, 내부감사 

  - 고객센터, IDC, IT 개발 및 운영 등 외주(위탁)업체 현황 등 

 

    운영 내역(증적) 예시

 

  • 정보보호 및 개인정보보호 관리체계 범위 정의서
  • 정보자산 및 개인정보 목록
  • 문서 목록
  • 서비스 흐름도
  • 개인정보 흐름도
  • 전사 조직도
  • 시스템 및 네트워크 구성도

 

    ** 인증심사 결함사항 예시 ** (개정 23.11.23.)

 

  1. 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 외주업체직원, PC, 테스트용 단말기 등이 관리체계 범위에서 누락됨
  2. 정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사 결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 인증범위에 포함하지 않은 경우 

  3. 인증범위 내 조직 및 인력에 적용하고 있는 보안시스템(PC보안, 백신, 패치 등)을 인증범위에서 배제하고 있는 경우 
  4. 정보통신망법에 따른 정보보호 관리체계 의무대상자 임에도 불구하고 인터넷֘에 공개되어 있는 일부 사이트가 관리체계 범위에서 누락된 경우
  5. 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 개발자 PC, 테스트용 단말기, 개발조직 등이 관리체계 범위에서 누락된 경우(개정 23.11.23)

1.1.5. 정책 수립

정보보호와 개인정보보호 정책 및 시행문서를 수립· 작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다. 

 

1.조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책을 수립하였는가?

상세 기준

  - 조직의 정보보호 및 개인정보보호에 대한 최고경영자의 등 경영진의 의지 및 방향 

  - 조직의 정보보호 및 개인정보보호를 위한 역할과 책임 및 대상과 범위 

  - 조직이 수행하는 관리적, 기술적, 물리적 정보보호 및 개인정보보호 활동의 근거 

 

2. 정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부 방법, 절차, 주기, 수행주체 등을 규정하는 지침, 절차, 매뉴얼, 가이드 등의 하위 실행 문서를 조직의 특성에 맞게 수립하고 있는가? (개정 23.11.23.)

상세 기준

 - 하위 실행 문서는 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 구체적으로 제시할 수 있어야 하며, 보호 대상 관점 또는 수행주체 관점 등 다양한 관점에서 조직 특성에 맞게 수립 

  ※ 하위 실행 문서(예시) 

   - 보호대상 관점 : 서버보안 지침, 네트워크보안 지침, 데이터베이스보안 지침, 어플리케이션보안 지침, 웹서비스 보안 지침, 클라우드 보안 지침

   - 수행주체 관점 : 임직원보안 지침, 개발자보안 지침, 운영자보안 지침 등  

 - 정책 및 시행문서(지침, 절차 등)는 조직이 제공하고 있는 서비스, 사업 등에 관련된 개인정보 보호 관련 법적 요구사항(법률, 시행령, 시행규칙, 하위 고시, 가이드 등)을 반영

 - 개인정보를 처리하는 경우 개인정보 보호법에 따른 내부관리계획을 관련 법규에서 요구하는 사항을 모두 포함하여 수립 

  - 개인정보 보호법에 따라 내부관리계획에 포함되어야 하는 사항

   1. 개인정보 보호 조직의 구성 및 운영에 관한 사항

   2. 개인정보 보호책임자의 자격요건 및 지정에 관한 사항

   3. 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항

   4. 개인정보취급자에 대한 관리·감독 및 교육에 관한 사항

   5. 접근 권한의 관리에 관한 사항

   6. 접근 통제에 관한 사항

   7. 개인정보의 암호화 조치에 관한 사항

   8. 접속기록 보관 및 점검에 관한 사항

   9. 악성프로그램 등 방지에 관한 사항

   10. 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항

   11. 물리적 안전조치에 관한 사항

   12. 개인정보 유출사고 대응 계획 수립·시행에 관한 사항

   13. 위험 분석 및 관리에 관한 사항

   14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항

   15. 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항

   16. 그 밖에 개인정보 보호를 위하여 필요한 사항

     ※ 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인·개인·단체의 경우에는 생략 가능 

(개정 23.11.23)

 

(가상자산사업자) 가상자산 거래 서비스를 안전하게 제공/관리하기 위하여 취급업소의 주요 자산분류 및 작업에 대한 보안요구사항이 정책, 매뉴얼, 지침 등에 포함되어 있는가?

상세 기준

  - 가상자산 거래 서비스를 안전하게 제공/관리하기 위하여 취급업소의 주요 자산분류 및 작업에 대한 보안요구사항을 정책, 매뉴얼, 지침 등에 포함 

 

3. 정보보호 및 개인정보보호 정책· 시행문서의 제· 개정 시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받고 있는가?

상세 기준

  - 정책서와 시행문서를 제· 개정하는 경우 이해관계자와 해당 내용을 충분히 협의· 검토 

  - 정책서 및 시행문서 변경으로 인한 조직 업무 및 서비스 영향도, 법적 준거성 등을 고려 

  - 회의록 등 검토 사항에 대한 기록을 남기고 정책· 지침 등에 관련 사항 반영 

  - 검토가 완료된 정책서 및 시행문서를 경영진에게 보고하고 승인 

 

4. 정보보호 및 개인정보보호 정책· 시행문서의 최신본을 관련 임직원에게 이해하기 쉬운 형태로 제공하고 있는가?

상세 기준

  - 임직원 및 외부자가 용이하게 참고할 수 있는 형태(전자게시판, 책자, 교육자료, 매뉴얼 등)로 제공 

  - 정책서 및 시행문서는 제· 개정사항이 발생되면 즉시 공표하고 최신본을 유지 

 

 

(가상자산사업자) 핫/콜드월렛 관련 주요 작업 지침 및 절차는 비밀로 관리하고 업무상 열람이 필요한 인원으로 배포를 제한하고 있는가?

상세 기준

  - 핫/콜드월렛 관련 주요 작업 지침 및 절차는 비밀로 관리하고 업무상 열람이 필요한 인원으로 배포 제한

 

    운영 내역(증적) 예시

 

  • 정보보호 및 개인정보보호 정책/지침/절차서(제·개정 내역 포함)
  • 정보보호 및 개인정보보호 정책/지침절차서 제·개정 시 이해관계자 검토 회의록

  • 내부관리계획

  • 정보보호 및 개인정보보호 정책/지침 제·개정 공지내역(그룹웨어, 사내게시판 등)

  • 정보보호 및 개인정보보호 위원회 회의록

 

    ** 인증심사 결함사항 예시 **

 

  1. 내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제·개정 시에는 정보보호 및 개인정보보호 위원회의 의결을 거치도록 하고 있으나, 최근 정책서 개정 시 위원회에 안건으로 상정하지 않고 정보보호 최고책임자 및 개인정보 보호책임자의 승인을 근거로만 개정한 경우
  2. 정보보호 및 개인정보보호 정책 및 지침서가 최근에 개정되었으나, 해당 사항이 관련 부서 및 임직원에게 공유·전달되지 않아 일부 부서에서는 구버전의 지침서를 기준으로 업무를 수행하고 있는 경우 
  3. 정보보호 및 개인정보보호 정책 및 지침서를 보안부서에서만 관리하고 있고 임직원이 열람 할 수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우


  4. (CELA)안전한 클라우드 운영을 위한 보안 지침(정책 등)이 수립되지 않은 경우


1.1.6. 자원 할당

최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리 체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다.

 

1. 정보보호 및 개인정보보호 활동을 원활하게 수행하기 위하여 분야별 전문성을 갖춘 인력을 확보하고 있는가?

상세 기준

  - 전문 지식 및 관련 자격 보유(정보보호 및 개인정보보호 관련 학위 또는 자격증 보유) 

  - 정보보호 및 개인정보보호 관련 실무 경력 보유 

  - 정보보호 및 개인정보보호 관련 직무교육 이수 등 

 

2. 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위하여 필요한 자원을 평가하여 필요한 예산과 인력을 지원하고 있는가? 

상세 기준

  - 매년 정보보호 및 개인정보보호 관리체계의 효과적 구축 및 지속적 운영을 위하여 필요한 예산과 자원을 평가하여 예산 및 인력운영 계획 수립 및 승인 

  - 예산 및 인력운영계획에 따라 필요한 자원(인력, 조직, 예산 등)을 지속적으로 지원 

 

(가상자산사업자) 가상자산 거래 서비스의 안전성 확보 및 이용자 보호를 위해 정보기술(IT)부문과 정보보호에 필요한 예산과 인력을 지원하고 있는가?

상세 기준

  - (권고)정보보호 예산을 정보기술(IT)부문 예산의 100분의 7이상으로 편성

  - (권고)정보기술(IT)부문 인력은 총 임직원 수의 100분의 5이상, 정보보호 인력은 정보기술(IT)부문 인력의 100분의 5이상 확보

 

3. 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립· 시행하고 그 추진결과에 대한 심사분석· 평가를 실시하는가?

상세 기준

  - 해당 연도의 정보보호 및 개인정보보호 업무를 효과적으로 수행하기 위한 연도별 정보보호 및 개인 정보보호 업무 세부추진 계획을 수립하고 경영진 보고 및 시행 

  - 세부추진 계획에 따른 추진결과를 심사분석 및 평가하여 경영진에게 보고 

 

    운영 내역(증적) 예시

 

  • 정보보호 및 개인정보보호 활동 연간 추진계획서(예산 및 인력운영계획)
  • 정보보호 및 개인정보보호 활동 결과 보고서

  • 정보보호 및 개인정보보호 투자 내역

  • 정보보호 및 개인정보보호 조직도

 

    ** 인증심사 결함사항 예시 ** (개정 23.11.23.)

 

  1. 정보보호 및 개인정보보호 조직을 구성하는데, 분야별 전문성을 갖춘 인력이 아닌 정보보호 관련 또는 IT 관련 전문성이 없는 인원으로만 보안인력을 구성한 경우
  2. 개인정보처리시스템의 기술적, 관리적 보호조치의 요건을 갖추기 위한 보안 솔루션 등의 비용을 최고경영자가 지원하지 않고 법적 위험을 수용하고 있는 경우 도입, 안전조치 적용 등을 위한 비용을 최고경영자가 지원하지 않고 있는 경우 (개정 23.11.23.)
  3. 인증을 취득한 이후에 인력과 예산 지원을 대폭 줄이고 기존 인력을 타부서로 배치하거나 일부 예산을 다른 용도로 사용하는 경우