[ISMS-P인증기준] 2.2.1 주요 직무자 지정 및 관리

항목

---

2. 보호대책 요구사항

  - 2.2. 인적 보안

  - 2.2.1 주요 직무자 지정 및 관리

 

인증기준

---

개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.

2.2.1 주요 직무자 지정 및 관리

 

세부설명

---

■ 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하여야 한다.

 

■ 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하여야 한다.

 

- 주요 직무자 현황을 파악하여 주요 직무자로 공식 지정

- 지정된 주요 직무자에 대하여 목록으로 관리

- 주요 직무자의 신규 지정 및 변경, 해제 시 목록 업데이트

- 정기적으로 주요 직무자 지정 현황 및 적정성을 검토하여 목록 최신화

 

 

 

■ 업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하여야 한다.

 

- 업무상 개인정보를 처리하는 개인정보취급자에 대해서는 목록으로 관리

- 개인정보취급자 목록에는 개인정보 처리업무에 대한 위탁을 받은 수탁자의 개인정보취급자도 포함(다만 수탁자의 개인정보취급자 중 개인정보처리시스템에 접근권한이 없는 개인정보취급자에 대한 목록관리는 수탁자 자체적으로 관리 가능)

- 정기적으로 개인정보취급자 지정 현황 및 적정성을 검토하여 목록 최신화

 

■ 업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립·이행하여야 한다.

 

- 업무상 반드시 필요한 경우에 한하여 주요 직무자 및 개인정보취급자로 지정

- 주요 직무자 및 개인정보취급자 권한 신청 및 부여에 대한 승인 절차 마련

- 주요 직무자 및 개인정보취급자에 대한 관리 및 통제방안 수립·이행(교육, 모니터링 등)

 

결함사례

---

‧ 사례 1 : 주요 직무자 명단(개인정보취급자 명단, 비밀정보관리자 명단 등)을 작성하고 있으나, 대량의 개인정보 등 중요정보를 취급하는 일부 임직원(DBA, DLP 관리자 등)을 명단에 누락한 경우

 

‧ 사례 2 : 주요 직무자 및 개인정보취급자 목록을 관리하고 있으나, 퇴사한 임직원이 포함되어 있고 최근 신규 입사한 인력이 포함되어 있지 않는 등 현행화 관리가 되어 있지 않은 경우

 

‧ 사례 3 : 부서 단위로 개인정보취급자 권한을 일괄 부여하고 있어 실제 개인정보를 취급할 필요가 없는 인원까지 과다하게 개인정보취급자로 지정된 경우

 

‧ 사례 4 : 내부 지침에는 주요 직무자 권한 부여 시에는 보안팀의 승인을 받고 주요 직무에 따른 보안서약서를 작성하도록 하고 있으나, 보안팀 승인 및 보안서약서 작성 없이 등록된 주요 직무자가 다수 존재하는 경우

 

"본 저작물은 '한국인터넷진흥원'에서 '2023년' 작성하여 공공누리 제4유형으로 개방한 '정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증기준 안내서'를 이용하였으며, 해당 저작물은 '한국인터넷진흥원(https://isms.kisa.or.kr/)'에서 무료로 다운받으실 수 있습니다."