[ISMS-P인증기준] 2.1.2 조직의 유지관리

항목

---

2. 보호대책 요구사항

  - 2.1. 정책, 조직, 자산 관리

  - 2.1.2 조직의 유지관리

 

인증기준

---

조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다.

2.1.2 조직의 유지관리

 

세부설명

---

■ 정보보호 및 개인정보보호 업무 수행과 관련된 조직의 특성을 고려하여 관련 책임자와 담당자의 역할 및 책임을 시행문서에 구체적으로 정의하여야 한다.

 

- 정보보호 최고책임자 및 개인정보 보호책임자

- 정보보호, 개인정보보호 관리자 및 담당자

- 부서별 정보보호, 개인정보보호 책임자 및 담당자

- 정보보호 최고책임자, 개인정보 보호책임자는 법적 요구사항 등을 반영하여 다음과 같은 업무를 수행

- 정보보호 및 개인정보보호 관리자, 보호담당자, 보호실무자 등이 정보보호 최고책임자 및 개인정보 보호책임자의 관리 업무를 실무적으로 지원·이행할 수 있도록 직무기술서 등을 통하여 책임 및 역할을 구체적으로 정의

 

■ 정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하여야 한다.

 

- 조직 내 핵심성과지표(KPI), MBO(Management By Objectives), 인사평가 등 정보보호 및 개인정보보호 활동을 평가할 수 있는 방안을 마련하여 주기적으로 평가

 

■ 정보보호 및 개인정보보호 관련 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계 및 절차를 수립·이행하여야 한다.

 

- 정보보호 및 개인정보보호 관련 의사소통 관리 계획 수립 및 이행'

 

 

 

 

 

 

 

결함사례

---

‧ 사례 1 : 내부 지침 및 직무기술서에 정보보호 최고책임자, 개인정보 보호책임자 및 관련 담당자의 역할과 책임을 정의하고 있으나, 실제 운영현황과 일치하지 않는 경우

 

‧ 사례 2 : 정보보호 최고책임자 및 관련 담당자의 활동을 주기적으로 평가할 수 있는 목표, 기준, 지표 등의 체계가 마련되어 있지 않은 경우

 

‧ 사례 3 : 내부 지침에는 부서별 정보보호 담당자는 정보보호와 관련된 KPI를 설정하여 인사평가 시 반영하도록 되어 있으나, 부서별 정보보호 담당자의 KPI에 정보보호와 관련된 사항이 전혀 반영되어 있지 않은 경우

 

‧ 사례 4 : 정보보호 최고책임자 및 개인정보 보호책임자가 지정되어 있으나, 관련 법령에서 요구하는 역할 및 책임이 내부 지침이나 직무기술서 등에 구체적으로 명시되어 있지 않은 경우

 

"본 저작물은 '한국인터넷진흥원'에서 '2023년' 작성하여 공공누리 제4유형으로 개방한 '정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증기준 안내서'를 이용하였으며, 해당 저작물은 '한국인터넷진흥원(https://isms.kisa.or.kr/)'에서 무료로 다운받으실 수 있습니다."