[ISMS-P 인증기준 안내서] 1. 관리체계 수립 및 운영 (1.1.1 경영진의 참여)

안녕하세요. 황컴플라이언스 입니다.

[ISMS-P 인증기준 안내서] 1. 관리체계 수립 및 운영 (1.1.1 경영진의 참여)

 1. 관리체계 수립 및 운영

1.1 관리체계 기반 마련

1.1.1 경영진의 참여

---

[인증기준]

• 최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다.

---

[주요 확인사항]

• 정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는가?
• 경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립·이행하고 있는가?

---

[운영방안]

→ 정보보호 정책 경영진 참여 문서화 (예시)

 

'정보보호 정책' 제OO조 (정보보호 조직구성)

① 최고경영자(CEO)는 회사의 정보보호를 위해 정보통신망의 보안대책을 수립·시행하는 책임을 진다.

② 최고경영자(CEO)는 정보보호 업무를 효율적으로 수행하기 위해 정보보호 최고책임자(CISO)를 포함한 전담 조직을 구성한다. 이 조직은 정보보호 전략의 수립과 실행을 총괄하며, 다음과 같은 역할을 담당한다.

• CISO : 정보보호 최고책임자(CISO)는 정보보호 전담조직을 이끌며, 정보보호와 관련된 모든 업무를 총괄한다.
• 정보보호팀 : CISO 아래, 다양한 보안전문가들로 구성하여 보안대책의 시행과 점검을 담당하며, 보안 기술의 구현, 보안시스템의 운영·관리, 보안사고 대응 등의 업무를 수행한다.

③ 정보보호 최고책임자(CISO)는 정보보호와 관련된 심의 및 의결을 위해 최상위 기구인 '정보보호위원회'를 구성·운영한다. 정보보호위원회는 다음과 같은 역할을 담당한다.

• 정책심의 : 정보보호 정책의 수립 및 개정에 대한 심의와 의결을 담당한다.
• 위험평가 : 정보보호와 관련된 잠재적 위험을 평가하고, 이에 대한 대응 전략을 수립한다.
• 사고대응 : 보안사고 발생 시 신속한 대응을 위한 계획을 수립하고 이를 실행한다.

→ 정보보호 활동 참여 (예시)

'정보보호 지침' 제OO조 (정보보호 최고책임자 역할)

① 회사는 정보보호 활동을 주관하는 정보보호 부서를 구성하고 정보보호 최고책임자(CISO)를 선임하여 정보보호 업무를 총괄하도록 해야 한다.

• 회사의 정보보호 활동을 주관하며 회사의 경영전략과 부합되는 보안전략을 수립하여 정보보호 부서가 실행하도록 관리·감독해야 한다.
• 회사의 정보보호 업무를 조정 및 통제하며 조직간의 역할 및 책임을 명확히 하고 정보보호 정책/지침에 따라 각 부분별 정보보호 여부가 이행되는지 관리·감독해야 한다.
• 회사의 정보보호 대책을 수립하고 실행관련 투자 및 비용집행에 대한 권한을 가진다.
• 정보보호 관련부서의 임원을 대상으로 대책의 공조, 현안협의 등을 위한 정보보호위원회를 구성하고 운영해야 한다.

'정보보호 지침' 제OO조 (정보보호위원회)

① 정보보호위원회는 정보보호 최고책임자(CISO)가 주관하여 각 사업부 정보보호 관련 부서임원, 부서장으로 구성하며 다음과 같은 업무를 수행한다.

• 정보보호 추진방향에 대한 심의 및 의결
• 중장기 정보보호 전략, 긴급상황 대응검토
• 중요 정보자산에 대한 위협과 취약점에 대해 정보보호 대책을 검토하여 우선적으로 해결해야 할 위험을 선정
• 정보보호 정책의 제정 및 개정에 관한 심의 및 의결 

---

[인증기준 취지]

• 경영진의 참여는 ISMS-P에 있어 매우 중요한 요소로써, 경영진 및 CISO는 정보보호 활동에 대한 책임과 역할을 명확히 정의하고 문서화해야 하며, 정보보호 전략을 수립하고 실행해야 한다.
• 이를 통해 경영진은 정보보호 의사결정에 과정에 적극적으로 참여하고 조직 전체의 정보보호 수준을 향상시키기 위한 효과적인 보고체계 및 의사소통체계를 구축해야 한다. 이 보고체계는 정보보호 현황과 이슈를 신속하고 정확하게 파악할 수 있도록 지원한다.

---

[유사한 인증통제 항목]

○ 1.1.2 최고책임자의 지정

• 최고경영자는 ISMS-P에 전반적인 운영에서 경영진 참여를 보장하기 위해 체계적인 의사결정 구조를 수립한다.

○ 1.1.3 조직구성

• 최고경영자는 ISMS-P의 효과적인 구현을 위해 실무조직, 정보보호위원회, 실무 협의체를 구성한다.

○ 1.1.5 정책 수립

• 조직의 정보보호를 효과적으로 관리하기 위해 정보보호 정책 및 시행문서를 체계적으로 수립하여 정보보호 목표, 전략, 절차, 방법, 기준 등을 포함시켜야 하고, 이를 통해 조직의 모든 구성원이 정보보호 중요성에 대해 인식하고 일관된 방침을 준수할 수 있다.

○ 1.1.6 자원 할당

• 최고경영자는 정보보호 관리체계의 성공적인 구현을 위해 정보보호 전문성을 갖춘 인력을 확보하고, 이에 필요한 예산 및 자원을 체계적으로 할당한다. 이를 통해 조직은 정보보호 목표를 달성하기 위한 충분한 역량과 자원을 보유할 수 있다.

---

[정보보호 관리체계 · 절차 관련 인증통제 항목]

정보보호 관리체계에는 체계적인 수립과 운영을 위해 다양한 인증통제 항목이 많다. 이 중에서 특히 중요한 항목은 1.1.1 경영진의 참여, 2.1.2 조직의 유지관리가 있다. 2개의 인증통제 항목은 정보보호 관리체계의 성공적인 구현과 운영을 보장하기 위해 다음의 4가지 주요사항을 충족해야 한다.

 

① 문서화 여부

• 모든 정보보호 활동과 절차는 명확하게 문서화되어야 한다. 여기에는 정책, 세부 지침/절차/가이드/양식 등의 내용이 포함되고  이를 통해 조직의 정보보호 활동이 체계적이고 일관되게 수행될 수 있다.

② 문서화의 적절성

• 문서화된 내용은 조직의 실제 상황과 요구에 부합하여야 한다. 즉, 문서가 현실적이고 구체적으로 작성이 되어, 각 부서와 임직원이 이를 쉽게 이해하고 준수할 수 있도록 하여야 한다. 문서는 최신의 정보보호 트렌드와 기술을 반영하여 정기적으로 현행화한다.

③ 문서대로 수행 여부 

• 문서화된 정책과 세부 지침 등은 실제로 실행되어야 하며, 이를 통해 조직의 정보보호 목표를 달성할 수 있다. 또한, 내부감사와 검토 절차를 통해 각 부서가 문서화된 정책, 지침을 준수하고 있는지를 정기적으로 확인한다.

④ 수행에 따른 문서 개선

• 실행 과정에서 발견된 문제점이나 개선사항은 즉시 문서에 반영되어야 한다. 이를 통해 지속적인 개선이 이루어지며, 정보보호 관리체계의 효과성을 유지할 수 있다. 

---

[세부 설명]

• 1. 정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 의사결정권이 있는 경영진의 참여가 이루어질 수 있도록 보고, 의사결정 등의 책임과 역할을 문서화하여야 한다.
• 1-1. 정보보호 및 개인정보보호 정책의 제·개정, 위험관리, 내부감사 등 관리체계 운영의 중요 사안에 대하여 경영진이 참여할 수 있도록 활동의 근거를 정보보호 및 개인정보보호 정책 또는 시행문서에 명시
• 2. 경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립·이행하여야 한다.
• 2.1. 정보보호 및 개인정보보호 관리체계 내 경영진이 참여하는 중요한 활동을 정의하고, 그에 따른 보고체계 마련(정기·비정기 보고, 위원회 참여 등)
• 2-2. 경영진이 효과적으로 관리체계 수립·운영에 참여할 수 있도록 조직의 규모 및 특성에 맞게 보고 및 의사결정 절차, 대상, 주기 등 결정
• 2-3. 수립된 내부 절차에 따라 정보보호 및 개인정보보호 관리체계 내 주요 사항에 대하여 경영진이 보고를 받고 의사결정에 참여

---

[증적 필요사항 예시]

• 정보보호 및 개인정보보호 보고 체계(의사소통계획 등)
• 정보보호 및 개인정보보호 위원회 회의록
• 정보보호 및 개인정보보호 정책·지침(경영진 승인내역 포함)
• 정보보호계획 및 내부 관리계획(경영진 승인내역 포함)
• 정보보호 및 개인정보보호 조직도

---

[인증심사원의 심사 관점]

인증심사원은 정보보호 및 개인정보보호 관리체계의 효과적인 운영을 확인하기 위해 다음의 사항을 확인한다.

 

① 문서심사 방법

• 인증심사원은 경영진의 챔임과 역할이 문서화되어 있는지 여부를 확인하여 경영진의 정보보호 활동에 대한 참여 및 책임 이행 여부를 평가한다.

② 경영진의 의사결정 참여 여부

• 인증심사원은 중요 정보보호 및 개인정보보호 활동에 대한 경영진의 보고 및 승인 절차가 적절히 수행되고 있는지를 확인한다. 여기에는 다음과 같은 활동이 포함된다.

2-1. 위험평가

• 정보보호와 개인정보보호의 관련된 위험을 식별하고 평가하는 과정에서 경영진이 참여하고 있는지 여부를 확인한다.

2-2. 위험수용수준 결정

• 조직이 수용 가능한 위험 수준을 결정하는 과정에서 경영진이 참여하고 있는지 여부를 확인한다.

2-3. 정보보호 및 개인정보보호 대책 및 이행계획/결과

• 정보보호 및 개인정보보호 대책을 수립하고, 이행계획과 결과를 경영진이 검토 및 승인하는지 여부를 확인한다.

2-4. 내부감사

• 정보보호 및 개인정보보호 관리체계 활동이 조직의 정책과 절차에 따라 적절하게 수행되고 있는지 확인하기 위해 경영진이 내부감사에 참여하는지 여부를 확인한다.

위와 같이, 인증심사원은 조직의 정보보호 및 개인정보보호 관리체계가 체계적으로 운영되고 있으며, 경영진의 적극적인 참여와 책임과 역할에 대한 이행 여부를 평가한다.

---

[보안담당자의 관점]

정보보호 및 개인정보보호 담당자는 조직의 정보보호와 개인정보보호 관리체계의 성공적인 구현과 운영 활동을 위해 다음과 같은 역할을 수행한다.

 

① 정책 및 지침

• 정보보호 및 개인정보보호 담당자는 조직의 정보보호 및 개인정보보호 정책과 지침에 대표이사, 정보보호 최고책임자(CISO), 개인정보 보호책임자(CPO)의 역할과 책임을 명시한다. 이를 통해 조직이 정보보호와 개인정보보호의 중요성을 인식하고 일관된 방침을 준수할 수 있도록 한다.

② 경영진 보고 및 의사결정 참여

• 정보보호 및 개인정보보호 담당자는 중요한 정보보호 및 개인정보보호 관련 사항에 대해 경영진이 보고받고 의사결정에 참여할 수 있도록 노력한다. 여기에는 정보보호 및 개인정보보호 관리체계의 운영 과정에서 발생하는 위험평가, 위험수용수준 결정, 정보보호 및 개인정보보호 대책 및 이행계획 결과, 내부감사 등의 활동이 포함된다.

위와 같이 보안담당자의 역할은 조직의 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되고, 모든 임직원이 정보보호 및 개인정보보호 목표를 달성하는데 기여하는 중요한 요소로 작용된다.

---

[결함사례]

• 사례 1 : 정보보호 및 개인정보보호 정책서에 분기별로 정보보호 및 개인정보보호 현황을 경영진에게 보고하도록 명시하였으나, 장기간 관련 보고를 수행하지 않은 경우
• 사례 2 : 중요 정보보호 활동(위험평가, 위험수용수준 결정, 정보보호 대책 및 이행계획 검토, 정보보호대책 이행결과 검토, 보안감사 등)을 수행하면서 관련 활동관련 보고, 승인 등 의사결정에 경영진 또는 경영진의 권한을 위임받은 자가 참여하지 않았거나 관련 증거자료가 확인되지 않은 경우