ISMS-P 인증 기준 2.1.2.조직의 유지관리: Difference between revisions
From IT위키
(정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)) |
|||
Line 16: | Line 16: | ||
*정보보호 및 개인정보보호 관련 책임자와 담당자의 역할 및 책임을 명확히 정의하고 있는가? | *정보보호 및 개인정보보호 관련 책임자와 담당자의 역할 및 책임을 명확히 정의하고 있는가? | ||
*정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가? | *정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가? | ||
*정보보호 및 개인정보보호 관련 조직 및 조직의 | *정보보호 및 개인정보보호 관련 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계 및 절차를 수립·이행하고 있는가? | ||
|} | |} | ||
==세부 설명== | ==세부 설명== | ||
==== | ==== 조직의 각 구성원별 역할 및 책임 할당==== | ||
*정보보호 및 개인정보보호 업무 수행과 관련된 조직의 특성을 고려하여 관련 책임자와 담당자의 역할및 책임을 시행문서에 구체적으로 정의하여야 한다. | *정보보호 및 개인정보보호 업무 수행과 관련된 조직의 특성을 고려하여 관련 책임자와 담당자의 역할및 책임을 시행문서에 구체적으로 정의하여야 한다. | ||
Line 26: | Line 26: | ||
**정보보호, 개인정보보호 관리자 및 담당자 | **정보보호, 개인정보보호 관리자 및 담당자 | ||
**부서별 정보보호, 개인정보보호 책임자 및 담당자 | **부서별 정보보호, 개인정보보호 책임자 및 담당자 | ||
**정보보호 및 개인정보보호 관리자, 보호담당자, 보호실무자 등이 정보보호 최고책임자 및 개인정보보호책임자의 관리 업무를 실무적으로 지원·이행할 수 있도록 직무기술서 등을 통하여 책임 | **정보보호 및 개인정보보호 관리자, 보호담당자, 보호실무자 등이 정보보호 최고책임자 및 개인정보보호책임자의 관리 업무를 실무적으로 지원·이행할 수 있도록 직무기술서 등을 통하여 책임 및 역할을 구체적으로 정의 | ||
**정보보호 최고책임자, 개인정보 보호책임자는 법적 요구사항 등을 반영하여 다음과 같은 업무를 수행 | **정보보호 최고책임자, 개인정보 보호책임자는 법적 요구사항 등을 반영하여 다음과 같은 업무를 수행 | ||
{| class="wikitable" | {| class="wikitable" | ||
!정보보호 최고책임자 | ! style="width : 50%" |정보보호 최고책임자 | ||
!개인정보 보호책임자 | ! style="width : 50%" |개인정보 보호책임자 | ||
|- | |- | ||
| | | | ||
Line 51: | Line 51: | ||
|} | |} | ||
==== 조직 활동 평가 ==== | ====조직 활동 평가==== | ||
*정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하여야 한다. | *정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하여야 한다. | ||
**조직 내 [[KPI|핵심성과지표(KPI)]], [[MBO]](Management By Objectives), 인사평가 등 정보보호 및 개인정보보호 활동을 평가할 수 있는 방안을 마련하여 주기적으로 평가 | **조직 내 [[KPI|핵심성과지표(KPI)]], [[MBO]](Management By Objectives), 인사평가 등 정보보호 및 개인정보보호 활동을 평가할 수 있는 방안을 마련하여 주기적으로 평가 | ||
==== | ====의사소통 체계 수립 및 이행==== | ||
*정보보호 및 개인정보보호 관련 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계 및 절차를수립·이행하여야 한다. | *정보보호 및 개인정보보호 관련 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계 및 절차를수립·이행하여야 한다. | ||
Line 65: | Line 65: | ||
*의사소통 관리 계획 개요 : 목적 및 범위 | *의사소통 관리 계획 개요 : 목적 및 범위 | ||
*의사소통 체계 : 전사 협의체, 실무 협의체, 위원회 등 보고 및 협의체 운영방안, 참여 대상, 참여대상별 역할 및 책임, 주기 등 | *의사소통 체계 : 전사 협의체, 실무 협의체, 위원회 등 보고 및 협의체 운영방안, 참여 대상, 참여대상별 역할 및 책임, 주기 등 | ||
*의사소통 방법 : 보고 및 회의(월간보고, 주간보고 등), 공지, 이메일, 메신저, 정보보호포털 등 | * 의사소통 방법 : 보고 및 회의(월간보고, 주간보고 등), 공지, 이메일, 메신저, 정보보호포털 등 | ||
*의사소통 양식 : 유형별 보고서 양식, 회의록 양식 등</div> | *의사소통 양식 : 유형별 보고서 양식, 회의록 양식 등</div> | ||
==증거 자료== | ==증거 자료== | ||
*정보보호 및 개인정보보호 조직도 | *정보보호 및 개인정보보호 조직도 | ||
*정보보호 및 개인정보보호 조직 직무기술서 | * 정보보호 및 개인정보보호 조직 직무기술서 | ||
*정보보호 및 개인정보보호 업무 분장표 | *정보보호 및 개인정보보호 업무 분장표 | ||
*정보보호 및 개인정보보호 정책·지침, 내부관리계획 | *정보보호 및 개인정보보호 정책·지침, 내부관리계획 | ||
Line 77: | Line 77: | ||
*의사소통 채널(정보보호포털, 게시판 등) | *의사소통 채널(정보보호포털, 게시판 등) | ||
==결함 사례== | ==결함 사례 == | ||
*내부 지침 및 직무기술서에 정보보호 최고책임자, 개인정보 보호책임자 및 관련 담당자의 역할과 책임을 정의하고 있으나, 실제 운영현황과 일치하지 않는 경우 | *내부 지침 및 직무기술서에 정보보호 최고책임자, 개인정보 보호책임자 및 관련 담당자의 역할과 책임을 정의하고 있으나, 실제 운영현황과 일치하지 않는 경우 | ||
*정보보호 최고책임자 및 관련 담당자의 활동을 주기적으로 '''평가할 수 있는 목표, 기준, 지표 등의 체계가 마련되어 있지 않은 경우''' | *정보보호 최고책임자 및 관련 담당자의 활동을 주기적으로 '''평가할 수 있는 목표, 기준, 지표 등의 체계가 마련되어 있지 않은 경우''' | ||
*내부 지침에는 부서별 정보보호 담당자는 정보보호와 관련된 KPI를 설정하여 | *내부 지침에는 부서별 정보보호 담당자는 정보보호와 관련된 KPI를 설정하여 인사평가 시 반영하도록 되어 있으나, 부서별 정보보호 담당자의 KPI에 정보보호와 관련된 사항이 전혀 반영되어 있지 않은 경우 | ||
*정보보호 최고책임자 및 개인정보 보호책임자가 지정되어 있으나, 관련 법령에서 요구하는 역할 및 책임이 내부 지침이나 직무기술서 등에 구체적으로 명시되어 있지 않은 경우 | *정보보호 최고책임자 및 개인정보 보호책임자가 지정되어 있으나, 관련 법령에서 요구하는 역할 및 책임이 내부 지침이나 직무기술서 등에 구체적으로 명시되어 있지 않은 경우 | ||
Line 92: | Line 92: | ||
==참고 문헌== | ==참고 문헌== | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | *정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.) |
Revision as of 01:19, 11 February 2024
- 영역: 2.보호대책 요구사항
- 분류: 2.1.정책, 조직, 자산 관리
개요
항목 | 2.1.2.조직의 유지관리 |
---|---|
인증기준 | 조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다. |
주요 확인사항 |
|
세부 설명
조직의 각 구성원별 역할 및 책임 할당
- 정보보호 및 개인정보보호 업무 수행과 관련된 조직의 특성을 고려하여 관련 책임자와 담당자의 역할및 책임을 시행문서에 구체적으로 정의하여야 한다.
- 정보보호 최고책임자 및 개인정보 보호책임자
- 정보보호, 개인정보보호 관리자 및 담당자
- 부서별 정보보호, 개인정보보호 책임자 및 담당자
- 정보보호 및 개인정보보호 관리자, 보호담당자, 보호실무자 등이 정보보호 최고책임자 및 개인정보보호책임자의 관리 업무를 실무적으로 지원·이행할 수 있도록 직무기술서 등을 통하여 책임 및 역할을 구체적으로 정의
- 정보보호 최고책임자, 개인정보 보호책임자는 법적 요구사항 등을 반영하여 다음과 같은 업무를 수행
정보보호 최고책임자 | 개인정보 보호책임자 |
---|---|
|
|
조직 활동 평가
- 정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하여야 한다.
- 조직 내 핵심성과지표(KPI), MBO(Management By Objectives), 인사평가 등 정보보호 및 개인정보보호 활동을 평가할 수 있는 방안을 마련하여 주기적으로 평가
의사소통 체계 수립 및 이행
- 정보보호 및 개인정보보호 관련 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계 및 절차를수립·이행하여야 한다.
- 정보보호 및 개인정보보호 관련 의사소통 관리 계획 수립 및 이행
※ 정보보호 및 개인정보보호 관련 의사소통 관리계획(예시)
- 의사소통 관리 계획 개요 : 목적 및 범위
- 의사소통 체계 : 전사 협의체, 실무 협의체, 위원회 등 보고 및 협의체 운영방안, 참여 대상, 참여대상별 역할 및 책임, 주기 등
- 의사소통 방법 : 보고 및 회의(월간보고, 주간보고 등), 공지, 이메일, 메신저, 정보보호포털 등
- 의사소통 양식 : 유형별 보고서 양식, 회의록 양식 등
증거 자료
- 정보보호 및 개인정보보호 조직도
- 정보보호 및 개인정보보호 조직 직무기술서
- 정보보호 및 개인정보보호 업무 분장표
- 정보보호 및 개인정보보호 정책·지침, 내부관리계획
- 정보보호 및 개인정보보호 의사소통 관리계획
- 의사소통 수행 이력(월간보고, 주간보고, 내부공지 등)
- 의사소통 채널(정보보호포털, 게시판 등)
결함 사례
- 내부 지침 및 직무기술서에 정보보호 최고책임자, 개인정보 보호책임자 및 관련 담당자의 역할과 책임을 정의하고 있으나, 실제 운영현황과 일치하지 않는 경우
- 정보보호 최고책임자 및 관련 담당자의 활동을 주기적으로 평가할 수 있는 목표, 기준, 지표 등의 체계가 마련되어 있지 않은 경우
- 내부 지침에는 부서별 정보보호 담당자는 정보보호와 관련된 KPI를 설정하여 인사평가 시 반영하도록 되어 있으나, 부서별 정보보호 담당자의 KPI에 정보보호와 관련된 사항이 전혀 반영되어 있지 않은 경우
- 정보보호 최고책임자 및 개인정보 보호책임자가 지정되어 있으나, 관련 법령에서 요구하는 역할 및 책임이 내부 지침이나 직무기술서 등에 구체적으로 명시되어 있지 않은 경우
같이 보기
참고 문헌
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)