1.1.1 경영진의 참여
인증 기준 :
최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다.
주요 확인 사항 :
정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는가?
경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립·이행하고 있는가
1.1.2 최고책임자의 지정
인증 기준 :
최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산·인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다
주요 확인 사항 :
최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고 책임자를 공식적으로 지정하고 있는가? 정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며, 관련 법령에 따른 자격요건을 충족하고 있는가?
관련 법규 :
개보29조,31조 개인정보 보호법 제29조(안전조치의무), 제31조(개인정보 보호책임자의 지정)
망법45조3 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)
안전조치4조 개인정보의 안전성 확보조치 기준 제4조(내부관리계획의 수립·시행)
개보기관보호조치3조 개인정보의 기술적·관리적 보호조치 기준 제3조(내부관리계획의 수립·시행)
1.1.3 조직 구성
인증 기준 :
최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다
주요 확인 사항 :
정보보호 최고책임자 및 개인정보 보호책임자의 업무를 지원하고 조직의 정보보호 및 개인정보보호 활동을 체계적으로 이행하기 위하여 전문성을 갖춘 실무조직을 구성하여 운영하고 있는가?
조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하고 있는가?
전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하고 있는가?
관련 법규 :
개보29조 개인정보 보호법 제29조(안전조치의무)
안전조치4조 개인정보의 안전성 확보조치 기준 제4조(내부관리계획의 수립·시행)
개보기관보호조치3조 개인정보의 기술적·관리적 보호조치 기준 제3조(내부관리계획의 수립·시행
1.1.4 범위 설정
인증 기준 :
조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화 하여야 한다.
주요 확인 사항 :
조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가?
정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의·책임자 승인 등 관련 근거를 기록·관리하고 있는가?
정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용 (주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이 포함된 문서를 작성하여 관리하고 있는가?
'보안 > ISMS-P' 카테고리의 다른 글
| 22.05.17 ISMS-P 학습 내용 (0) | 2022.05.17 |
|---|---|
| ISMS-P 공부 하는 방법 (0) | 2022.05.17 |
