[ISMS-P 인증기준 안내서] 1. 관리체계 수립 및 운영 (1.1.3 조직 구성)

안녕하세요. 황컴플라이언스 입니다.

[ISMS-P 인증기준 안내서] 1. 관리체계 수립 및 운영 (1.1.3 조직 구성)

 1. 관리체계 수립 및 운영

1.1 관리체계 기반 마련

1.1.3 조직 구성

---

[인증기준]

• 최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다.

---

[주요 확인사항]

• 정보보호 최고책임자 및 개인정보 보호책임자의 업무를 지원하고 조직의 정보보호 및 개인정보보호 활동을 체계적으로 이행하기 위하여 전문성을 갖춘 실무조직을 구성하여 운영하고 있는가?
• 조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하고 있는가?
• 전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하고 있는가?

---

[관련 법규]

• 개인정보 보호법 제29조 (안전조치의무)
• 개인정보의 안전성 확보조치 기준 제4조 (내부 관리계획의 수립·시행 및 점검)

---

[운영방안]

→ 정보보호 조직 문서화

 

'정보보호 지침' 제OO조 (정보보호 조직 구성)

 

사내 정보보호 활동을 효율적으로 수행하기 위해 조직은 전문성을 갖춘 정보보호 전담팀(이하 정보보호팀)을 구성한다. 정보보호팀은 조직의 정보 자산을 보호하고 정보보호 수준을 지속적으로 향상시키기 위해 다음과 같은 활동을 담당한다.

 

① 위혐 및 위험분석과 주기적 모니터링

• 정보보호팀은 조직의 정보 자산에 대한 위협 및 위험을 분석·평가하고 주기적인 모니터링을 통해 정보보호 관리를 체계적으로 수행한다. 이를 통해 잠재적인 보안위협을 조기에 식별하고 신속한 대응을 통해 위험을 최소화할 수 있다.

② 정보보호 인식 및 기술 수준 제고를 위한 교육 계획

• 정보보호팀은 사내 정보보호 인식 및 기술 수준을 향상시키기 위한 교육 계획을 수립하고 실행합니다. 이를 통해 모든 임직원들이 정보보호의 중요성을 인식하고 최신 기술 및 방법론을 습득하여 정보보호 활동에 적극적으로 참여할 수 있도록 한다.

③ 사이버 침해 예방, 대응, 분석 및 복구

• 정보보호팀은 조직을 사이버 침해로부터 보호하기 위해 예방, 대응, 분석 및 복구 활동을 수행한다. 침해사고 발생 시 신속한 대응과 분석을 통해 피해를 최소화하고 원인 분석을 바탕으로 재발방지 대책을 마련한다.

④ 장애 대응 활동

• 정보보호팀은 조직의 서비스가 안정적으로 제공될 수 있도록 장애 대응 활동을 수행한다. 시스템의 가동 중단이나 장아 발생 시 신속하게 문제를 해결하고, 재발방지를 위한 대책을 마련하여 서비스의 안정성을 확보한다.

⑤ 개인정보 보호 활동

• 정보보호팀은 개인정보의 안전한 관리를 위해 개인정보 보호 활동을 수행한다. 개인정보 수집, 이용, 제공, 저장, 파기 등 전 과정에서 개인정보 보호법과 조직의 내부 규정을 준수하며, 개인정보 유출 및 침해를 방지하기 위한 적절한 보완조치를 취한다.

→ 정보보호 정책 : 경영진 참여 문서화 (예시)

'정보보호 지침' 제OO조 (정보보호위원회 구성)

 

정보보호 최고책임자(CISO)는 조직의 정보보호 및 개인정보보호와 관련된 중요사항을 심의 및 의결하기 위해 정보보호위원회를 구성하고 운영한다. 이 위원회는 정보보호 정책의 수립, 보안사고 대응, 개인정보보호 조치 등 중대한 정보보호 관련 사항을 검토하고 결정하는 역할을 담당한다.

○ 위원장 : 정보보호 최고책임자(CSIO)

• 위원장은 정보보호 최고책임자(CISO)로서, 위원회를 총괄하며 주요 사항에 대한 의사결정을 가진다. 

○ 위원 : 각 부서 업무 팀장

• 부서별로 정보보호와 관련된 상황을 보고하고 논의한다. 부서의 업무 특성과 요구사항을 반영하여 정보보호 정책과 절차가 실무적으로 적합하게 적용될 수 있도록 기여한다.

○ 간사 : 정보보호 팀장

• 정보보호 팀장은 정보보호 위원회의 간사로서 회의 준비 및 진행, 의사록 작성, 후속 조치 등 위원회의 의사결정이 효과적으로 이루어질 수 있도록 한다.

'정보보호 지침' 제OO조 (정보보호위원회 심의)

정보보호위원회는 조직의 전반적인 정보보호 활동을 강화하고 체계적으로 운영하기 위해 다음과 같은 사항들을 심의한다.

 

○ 정보보호 제도 개선에 관한 사항

• 조직의 정보보호 제도를 지속적으로 개선하고 최신 보안 표준과 법령을 준수하기 위하여 정보보호 정책 및 지침을 검토하고 개정한다.

○ 정보보호 업무 기획, 조정, 감독, 통제에 관한 사항

• 정보보호 관련 업무 전반에 걸쳐 체계적인 관리가 이루어질 수 있도록 심의하며, 각 부서의 정보보호 활동을 효율적으로 조율한다.

○ 정보보호 위규자 심의의 처리에 관한 사항

• 정보보호 규정을 위반한 직원이나 부서에 대해 심의하고 이에 대한 적절한 처벌 맟 재발방지 대책을 마련한다. 이를 통해 조직 내 정보보호 규율을 보호하고 위법행위 근절을 목표로 한다.

○ 기타 정보보호 활동의 중요사항

• 정보보호 활동과 관련하여 중요하다고 인정되는 기타 사항을 심의한다. 이는 새로운 보안 위협에 대한 대응 전략, 긴급 보안 조치, 교육 및 인식 제고 프로그램 등을 포함할 수 있다.

○ 정보보호위원회의 의결사항 공표

• 정보보호위원회에서 의결된 사항은 정보보호 최고책임자가 공표한다. 이를 통해 조직 내 모든 구성원이 의결된 사항을 숙지하고 정보보호 활동에 일관되게 참여할 수 있도록 한다.

---

[인증기준 취지]

• 1.1.3 조직구성은 ISMS-P를 효과적으로 운영하기 위해 정보보호 최고책임자(CISO), 개인정보 보호책임자( CPO), 실무 조직의 구성을 명확히 규정하는 인증기준이다. 조직 규모와 업무 중요도 등을 고려하여 실무 조직을 구성하고, 정보보호 정책에 근거를 명시하며 전문성을 갖춘 구성원을 선발해야 한다.
• 조직 전반의 정보보호 관련 주요 사항에 대해 신속하고 효과적으로 의사결정을 내릴 수 있는 정보보호위원회를 구성해야 한다. 이 위원회는 조직의 정보보호 운영 방향을 결정하고 중추적인 역할을 한다. 위원회는 경영진을 포함한 주요 의사결정권자들로 구성되어, 정보보호와 관련된 모든 중요한 결정을 정확하게 내릴 수 있도록 한다.
• 전사적인 ISMS-P 운영을 위해 정보보호 조직과 부서별 담당자로 구성된 실무협의체를 구성해야 한다. 실무협의체는 조직 내 각 부서에서 발생하는 정보보호 관련 문제를 논의하고 해결하는 역할을 하며, 전사적으로 정보보호 관리체계를 통일성 있게 운영될 수 잇도록 한다. 이를 통해 부서 간 협력과 원활한 소통이 촉진되며 정보보호 관리체계가 더욱 강회될 수 있다.
• 특히, 중요한 보안 이슈가 발생했을 경우 해당 의제를 정보보호위원회에 상정하여 경영진 차원에서 신속하게 처리될 수 있도록 해야 한다. 이를 통해 조직의 정보보호 관리체계는 보다 효과적으로 운영될 수 있다.

---

[유사한 인증통제 항목]

○ 1.1.1 경영진의 참여

• 최고경영자(CEO)는 ISMS-P의 전반적인 운영에 있어 경영진의 적극적인 참여를 보장하기 위해 의사결정 체계를 수립한다. 이를 통해 정보보호 관리체계 운영 활동이 조직의 전반적인 경영 활동과 긴밀히 연계될 수 있다.

○ 1.1.6 자원 할당

• 최고경영자(CEO)는 정보보호 관리체계를 효과적으로 운영하기 위해 정보보호 전문성을 갖춘 인력을 확보한다. 또한, 정보보호 관리체계를 위한 예산과 자원을 적절히 할당하여 정보보호 전략과 정책이 원활하게 실행될 수 있도록 지원한다. 

○ 2.2.1  주요 직무자 지정 및 관리

• 조직의 개인정보처리시스템 및 주요 업무시스템과 관련된 주요 직무의 기준과 관리방안을 체계적으로 수립하여야 한다. 이를 통해 각 직무의 책임과 권한을 명확히 규정하고, 직무 수행에 필요한 역할과 책임을 정의한다. 또한, 직무자의 목록을 주기적으로 검토하고 최신 상태로 현행화하여 직무 내용이 변경될 때마다 신속하게 반영하여 항시 업무 효율성을 유지함으로써 조직의 정보보호 및 개인정보보호 수준을 높인다.

○ 2.2.2 직무 분리

• 권한 오·남용으로 인한 피해를 예방하기 위해 조직은 직무 분리 기준을 명확히 수립해야 한다. 직무 분리 기준은 조직의 업무 프로세스와 역할에 따라 체계적으로 설정되어야 하며, 각 직무에 대한 책임과 권한이 명확히 구분되도록 해야 한다. 이를 통해 조직 내에서 권한 오·남용을 예방하고 업무의 투명성과 신뢰성을 보장할 수 있다.

---

[세부 설명]

• 1. 조직의 규모, 업무 중요도 등의 특성을 고려하여 정보보호 및 개인정보보호 관리체계를 구축하고 지속적으로 운영하기 위하여 필요한 조직 구성의 근거를 정보보호 및 개인정보보호 정책서 등에 명시하고, 전문성을 갖춘 실무조직을 구성하여 운영하여야 한다.
• 1-1. 정보보호 최고책임자, 개인정보 보호책임자, 개인정보보호 실무조직, 위원회 등 정보보호 및 개인정보보호 조직의 구성·운영에 대한 사항을 정책서, 내부 관리계획 등에 명시
• 1-2. 실무조직의 구성형태 및 규모는 전사 조직의 규모, 업무, 서비스의 특성, 처리하는 정보 및 개인정보의 중요도, 민감도, 법 규제 등 고려
• 1-3. 실무조직은 전담조직 또는 겸임조직으로 구성할 수 있으나, 겸임조직으로 구성하더라도 실질적인 역할 수행이 가능하도록 역할 및 책임이 공식적으로 부여되어야 함
• 1-4. 실무조직의 구성원은 정보보호 및 개인정보보호 전문성과 다양한 서비스에 대한 이해도와 경험이 많은 직원으루 구성(관련 학위 및 자격증 보유, 실무 경험 보유, 관련 교육 이수 등)
• 2. 조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하여야 한다.
• 2-1. 위원회는 정보보호 및 개인정보보호 관련하여 조직 내 이해관계를 대변하고 의사결정을 할 수 있도록 경영진, 임원, 정보보호 최고책임자, 개인정보 보호책임자 등 실질적인 검토 및 의사결정 권한이 있는 임직원으로 구성
• 2-2. 정기 또는 사안에 따라 수시로 위원회 개최
• 2.3. 위원회는 조직 절반에 걸친 주요 사안에 대한 검토, 승인 및 의사결정 수행

※ 위원회에서 검토 및 의사결정이 필요한 주요 사안(예시)

1. 정보보호 및 개인정보보호 정책·지침의 제·개정

2. 위험평가 결과

3. 정보보호 및 개인정보보호 예산 및 자원 할당

4. 내부 봉나사고 및 주요 위반사항에 대한 조치

5. 내부감사 결과 등

• 3. 전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하여야 한다.
• 3-1. 조직의 규모 및 관리체계 범위 내 서비스의 중요도에 따라 실무 협의체 구성원, 조직체계 등을 결정
• 3-2. 실무 협의체에서는 정보보호 및 개인정보보호 관련 사항에 대하여 실무 차원에서 공유·조정·검토·개선하고, 의사결정 및 경영진 지원이 필요한 경우에는 위원회에 상정하여 논의

---

[증적 필요사항 예시]

• 정보보호 및 개인정보보호 위원회 규정·회의록
  
• 정보보호 및 개인정보보호 실무 협의체 규정·회의록
• 정보보호 및 개인정보보호 조직도
• 내부 관리계획
• 직무기술서

---

[인증심사원의 심사 관점]

인증심사원은 정보보호 및 개인정보보호 관리체계의 효과적인 운영을 확인하기 위해 다음의 사항을 확인한다.

 

① 전문성 갖춘 실무조직 구성 확인

• 정보보호 최고책임자(CISO), 개인정보 보호책임자(CPO) 및 실무조직 구성원들과의 인터뷰와 문서심사를 통해 조직의 정보보호 및 개인정보보호 실무조직이 전문성을 갖춘 인력으로 구성되었는지 확인한다. 이 과정에서 각 직무자의 자격요건과 역할이 명확히 정의되어 있는지를 평가한다.

② 비상사태 대응 조직의 전문성 확인

• 정보보호 및 개인정보보호 조직 구성원이 정보보호와 관련된 비상사태 시 이를 신속하고 효과적으로 처리할 수 있는 전문적인 직원들로 구성되었는지 확인한다. 이는 조직 내에서의 비상 대응체계가 제대로 작동할 수 있도록 보장한다.

③ 위원회 및 실무 협의체의 역할/책임 확인

• 최고경영자, 정보보호위원회, 개인정보보호위원회 및 실무 협의체 구성원들과의 인터뷰와 문서심사를 통해 해당 위원회 및 실무 협의체의 역할과 책임이 정보보호 및 개인정보보호 정책의 기준을 충족하고 있는지를 확인한다. 이를 통해 관련 주요 임원급과 실무자로 구성되어 있는지를 확ㅇ니하며 정책 내 역할 분담이 명확히 서술되어 있는지 평가한다.

④ 정보보호위원회 및 개인정보보호위원회의 업무분장 및 의사결정 확인

• 주요 임직원으로 구성된 정보보호 및 개인정보보호위원회의 업무분장을 확인함과 동시에 정보보호위원회 및 개인정보보호위원회에서 승인한 정보보호 및 개인정보보호 안건과 의사 결정 내용을 담고 있는 회의록을 검토한다. 이를 통해 위원회의 결정사항과 실행 과정을 투명하게 확인하고 의사결정이 체계적으로 이루어지고 있는지를 평가한다.

위와 같이, 정보보호 및 개인정보보호 관리체계를 강화하고, 법적 리스크를 최소화하며 사이버 위협에 효과적으로 대응할 수 있는 기반을 마련하여야 한다. 이는 조직의 정보 자산 보호와 신뢰성 향상에 중요한 기여를 하게 된다.

---

[보안담당자의 관점]

정보보호 및 개인정보보호 담당자는 조직의 정보보호와 개인정보보호 관리체계의 성공적인 구현과 운영 활동을 위해 다음과 같은 역할을 수행한다.

 

① 실무조직의 구성 및 관리

• 보안담당자는 정보보호 및 개인정보보호 활동을 원활하게 수행하기 위해 전문성을 갖춘 실무조직을 구성한다.

② 정보보호위원회, 개인정보보호위원회, 실무 협의체 운영 규정 마련

• 보안담당자는 정보보호위원회 및 개인정보보호위원회, 실무 협의체가 주기적인 운영이 가능하도록 각 기구의 구성, 역할, 책임, 주기 등을 명확히 정의한 규정을 마련한다.
• 이를 통해 각 위원회와 협의체가 효율적으로 운영될 수 있도록 하며, 정보보호와 개인정보보호 정책과 활동이 일관성 있게 추진될 수 있도록 지원한다.

위와 같은 보안담당자의 역할로 정보보호와 개인정보보호 활동에 대한 조직의 신뢰성과 투명성을 높일 수 있다. 모든 구성원들이 정보보호 정책과 절차를 명확히 이해하고, 적극적으로 참여할 수 있도록 함으로써, 조직의 정보보호 문화가 정착될 수 있다. 이는 정보보호와 개인정보보호 활동에 대한 내외부 이해관계자의 신뢰를 증대시키고 조직의 경쟁력을 강화하는데 기여할 수 있다.

---

[결함사례]

• 사례 1 : 정보보호 및 개인정보보호 위원회를 구성하였으나, 임원 등 경영진이 포함되어 있지 않고 실무 부서의 장으로 구성되어 있어 조직의 중요 정보 및 개인정보 보호에 관한 사항을 결정할 수 없는 경우
• 사례 2 : 내부 지침에 따라 중요 정보처리 부서 및 개인정보처리 부서의 장(팀장급)으로 구성된 정보보호 및 개인정보보호 실무 협의체를 구성하였으나, 장기간 운영 실적이 없는 경우
• 사례 3 : 정보보호 및 개인정보보호 위원회를 개최하였으나, 연간 정보보호 및 개인정보보호 계획 및 교육 계획, 예산 및 인력 등 정보보호 및 개인정보보호에 관한 주요 사항이 검토 및 의사결정이 되지 않은 경우
• 사례 4 : 정보보호 및 개인정보보호 관련 심의·의결을 위해 정보보호위원회를 구성하여 운영하고 있으나, 운영 및 IT보안 관련 조직만 참여하고 개인정보보호 관련 조직은 참여하지 않고 있어 개인정보보호에 관한 사항을 결정할수 없는 경우