Home » ISMS 인증기준 – 정보보호대책 (정보보호조직)

ISMS 인증기준 – 정보보호대책 (정보보호조직)

2.1 조직 체계

2.1.1 정보보호 최고책임자 지정

최고경영자는 임원급의 정보보호 최고책임자를 지정하고 정보보호 최고책임자는 정보보호정책 수립, 정보보호 조직 구성, 위험관리, 정보보호위원회 운영 등의 정보보호에 관한 업무를 총괄 관리하여야 한다.

  • 최고경영자는 조직의 정보보호 관련 업무를 총괄 관리할 수 있는 임원급의 정보보호 최고책임자(CISO)를 지정하고 있는가?
ㅇ 최고경영자는 조직 내에서 정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄 관리할 수 있는 임원급의 정보보호 최고책임자(CISO)를 지정하여야 하며 인사발령 등의 공식적인 지정절차를 거쳐야 한다.

ㅇ 정보보호 최고책임자 지정 시 다음과 같은 법률을 참고할 수 있다.

– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제45조의3(정보보호 최고책임자의 지정 등)
– 전자금융거래법 제21조의2(정보보호 최고책임자의 지정)

2.1.2 실무조직 구성

최고경영자는 정보보호 최고책임자의 역할을 지원하고 조직의 정보보호활동을 체계적으로 이행하기 위해 실무조직을 구성하고 조직 구성원의 정보보호 전문성을 고려하여 구성한다.

  • 최고경영자는 정보보호 최고책임자(CISO)의 역할을 지원하고 조직의 정보보호활동을 체계적으로 이행하기 위한 실무조직을 구성하고 있는가?
ㅇ 최고경영자는 조직의 규모 및 정보보호 관리체계 범위 내 서비스의 중요도에 따라 필요인력, 예산 등을 분석하여 정보보호 실무조직을 구성하여야 한다.

ㅇ 실무조직은 전담 또는 겸임조직으로 구성할 수 있으며 겸임조직으로 구성하더라도 정보보호 조직에 대한 공식적인 선언 또는 지정이 필요하다.

  • 정보보호 전문성을 고려하여 실무조직 구성원을 임명하고 있는가?
ㅇ 조직의 정보보호활동을 원활하게 수행하기 위하여 다음과 같은 항목을 고려하여 실무조직 구성원을 임명하여야 한다.

– 전문적 지식 보유 여부 (예 : 정보보호 관련 학위 또는 자격증 보유)
– 정보보호 관련 실무 경력
– 정보보호 관련 직무교육 이수 등

2.1.3 정보보호위원회

정보보호 자원할당 등 조직 전반에 걸친 중요한 정보보호 관련사항에 대한 검토 및 의사결정을 할 수 있도록 정보보호위원회를 구성하여 운영하여야 한다.

  • 정보보호위원회 구성, 운영, 역할 및 책임 등을 정한 규정을 마련하고 있는가?
ㅇ 정보보호위원회의 주기적인 운영이 가능하도록 위원회의 구성, 역할, 책임, 주기 등을 정의한 규정을 마련하여야 한다.

ㅇ 정보보호위원회의 역할과 책임은 다음과 같다.

– 조직 전반에 걸친 중요한 정보보호 관련 사항 검토 및 의사결정
– 정보보호 실무조직 구성 및 정보보호 활동을 위한 위한 자원할당 등

  • 정보보호위원회는 중요한 정보보호 관련 사항에 대해 검토 및 의사결정을 할 수 있는 인원으로 구성하고 있는가?
ㅇ 정보보호위원회는 정보보호 관련하여 조직 내 이해관계를 대변할 수 있는 경영진, 부서장, 정보보호 최고책임자 등 주요 임직원으로 구성하여야 한다. 즉, 조직 내 정보보호위원회의 위상은 조직의 정보보호 의지를 나타내는 것이므로 정보보호 관련 중요한 사안에 대해 검토, 의사결정, 집행 권한이 부여된 인원으로 구성하여야 한다.

2.2 역할 및 책임

2.2.1 역할 및 책임

정보보호 최고책임자와 정보보호 관련 담당자에 대한 역할 및 책임을 정의하고 그 활동을 평가할 수 있는 체계를 마련하여야 한다.

  • 정보보호 최고책임자와 정보보호 관련 담당자의 역할 및 책임을 정의하고 있는가?
ㅇ 정보보호 최고책임자가 총괄 관리하여야 할 정보보호 관련 업무는 다음과 같다.

– 정보보호정책 및 정책시행 문서 수립
– 정보보호 조직 구성
– 정보보호 관리체계 수립 및 운영
– CERT 구성 등 침해사고 예방, 대응, 복구
– 정보보호 취약점 분석, 평가 및 개선 등을 포함한 위험관리 활동
– 임직원 대상 정보보호 교육
– 정보보호위원회 운영
– 그 밖에 법에서 정한 정보보호 조치 이행 등

ㅇ 정보보호관리자, 정보보호담당자 등 정보보호실무자는 정보보호 최고책임자의 관리 업무를 실무적으로 이행할 수 있도록 직무기술서 등을 통해 책임과 역할을 구체적으로 정의하여야 한다.

  • 정보보호 최고책임자와 정보보호 관련 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가?
ㅇ 조직 내 KPI, MBO, 인사평가와 같은 평가체계 내 정보보호 활동의 책임과 역할을 평가할 수 있는 항목을 포함하여 주기적으로 정보보호 최고책임자와 정보보호 관련 담당자의 활동을 평가하여야 한다.

※ KPI (Key Performance Indicator) : 핵심성과지표
※ MBO (Management By Objectives) : 목표관리