[ISMS-P 인증기준 안내서] 1. 관리체계 수립 및 운영(1.1.2 최고책임자의 지정)

안녕하세요. 황컴플라이언스 입니다.

[ISMS-P 인증기준 안내서] 1. 관리체계 수립 및 운영 (1.1.2 최고책임자의 지정)

 1. 관리체계 수립 및 운영

1.1 관리체계 기반 마련

1.1.2 최고책임자의 지정

---

[인증기준]

• 최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산·인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.

---

[주요 확인사항]

• 최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가?
• 정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며, 관련 법령에 따른 자격요건을 충족하고 있는가?

---

[관련 법규]

• 개인정보 보호법 제29조 (안전조치의무)
• 개인정보 보호법 제31조 (개인정보 보호책임자의 지정)
• 정보통신망법 제45조의 3 (정보보호 최고책임자의 지정 등)
• 개인정보의 안전성 확보조치 기준 제4조 (내부 관리계획의 수립·시행 및 점검)

---

[운영방안]

→ 정보보호 최고책임자(CISO), 개인정보 보호책임자(CPO) 임명

 

'정보보호 지침' 제OO조 (최고책임자 지정)

 

① 정보보호 관리체계 활동을 효과적으로 추진하기 위해 조직 내에서 정보보호 최고책임자(CISO)를 임명해야 한다.

• CISO : 정보보호 최고책임자(CISO)는 정보 자산의 기밀성, 무결성, 가용성을 보장하기 위한 전략 수립과 실행을 총괄한다. 이를 통해 조직의 정보보호 관리체계를 강화하고 사이버 보안 위협에 대한 종합적인 대응책을 마련할 수 있다.

→ 정보보호 최고책임자(CISO) 지정·신고 의무대상

[ 정보통신망법 제45조의 3 (정보보호 최고책임자의 지정 등) ]

• 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하고 과학기술정보통신부장관에게 신고하여야 한다. 다만, 자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우에는 정보보호 최고책임자를 신고하지 아니할 수 있다.

○ 정보보호 최고책임자(CISO) 신고의무 제외대상 / 사업주 또는 대표자

• 자본금 1억원 이하인 자
• 중소기업기본법 제2조 제2항에 따른 소기업
• 전기통신사업자, ISMS 의무대상자, 개인정보처리자, 통신판매업자 중 어느 하나에 해당하지 않은 중기업 정보통신서비스 제공자

○ 일반신고 의무대상 / 부서의 장 이상

• (신고의무 제외대상에 해당하지 않은) 중기업 이상의 정보통신서비스 제공자
• 정보통신서비스 제공자로서 전기통신사업자, ISMS 의무대상자, 개인정보처리자, 통신판매업자는 CISO를 지정·신고하여야 함

○ 겸직금지 의무대상 / 상법 상 이사

• 정보통신서비스 제공자로서 ① 직전 사업연도 말 기준 자산총액 5조원 이상 또는 ② 정보보호 관리체계(ISMS) 인증의무대상자 중 직전 사업연도 말 기준 자산총액 5천억원 이상

→ 정보보호 최고책임자(CISO) 신고 의무대상자 분류별 지정 기준

○ 대규모 기업(겸직 제한 의무대상) 

• 직전 사업연도 말 기준 자산총액이 5조원 이상인 자
• 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액 5천억원 이상인 정보통신서비스 제공자

○ 중기업 이상

• 대규모 기업 외 정보통신서비스 제공자

○ 소기업 등

• 신고 의무 제외

→ 정보보호 최고책임자(CISO) 자격요건

① 일반 자격요건 : (중기업 이상 신고 의무대상자)

• 정보보호 또는 정보기술 분야의 국내 또는 외국의 석사학위 이상 학위를 취득한 사람
• 정보보호 또는 정보기술 분야의 국내 또는 외국의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람
• 정보보호 또는 정보기술 분야의 국내 또는 외국의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람
• 정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람
• 정보통신망법 제47조 제6항 제5호에 따른 정보보호 관리체계 인증심사원의 자격을 취득한 사람
• 해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람

② 특별 자격요건 : (대규모 기업 겸직제한 의무대상자)

• 정보보호 업무 경력 4년 이상
• 정보보호 또는 정보기술분야 5년 이상 경력 중 2년은 정보보호 분야 업무 경력

→ 개인정보 보호책임자 자격요건

[개인정보보호법 시행령 제32조 제4항 관련 [별표 1] ]

1. 제32조 제4항에 따라 개인정보 보호책임자로 지정되는 사람은 개인정보보호 경력, 정보보호 경력, 정보기술 경력을 합하여 총 4년 이상 보유하고, 그 중 개인정보보호 경력을 최소 2년 이상 보유해야 한다.
2. 제1호에서 "개인정보보호 경력"이란 공공기관, 기업체, 교육기관 및 연구기관 등에서 개인정보보호 관련 정책 및 제도 · 개인정보 영향평가 · 개인정보 보호 인증심사 등 개인정보보호 업무를 수행한 경력, 개인정보보호 관련 컨설팅 또는 법률자문 경력을 말한다.
3. 제1호에서 "정보보호 경력"이란 공공기관, 기업체, 교육기관 및 연구기관 등에서 정보보호를 위한 공통기반기술, 시스템 · 네트워크 보호, 응용서비스 보호, 계획 · 분석 · 설계 · 개발 · 운영 · 유지보수 · 컨설팅 · 감리 또는 연구개발 등 정보보호 업무를 수행한 경력, 정보보호 관련 컨설팅 또는 법률자문 경력을 말한다.
4. 제1호에서 "정보기술 경력"이란 공공기관, 기업체, 교육기관 및 연구기관 등에서 정보통신서비스, 정보통신기기, 소프트웨어 및 컴퓨터 관련 서비스 분야의 계획 · 분석 · 설계 · 개발 · 운영 · 유지보수 · 컨설팅 · 감리 또는 연구개발 등 정보기술 업무를 수행한 경력, 정보기술 관련 컨설팅 또는 법률자문 경력을 말한다.
5. 비고 1 : 동일기간에 두가지 이상 업무가 중복되는 경우에는 하나의 경력만 인정한다.
6. 비고 2 : 개인정보보호, 정보보호, 정보기술 관련 학위를 취득할 경우에는 아래의 표에 따라 경력으로 인정한다. 다만, 여러 학위를 취득한 경우에는 개인정보 보호책임자를 지정하려는 개인정보처리자가 정하는 하나의 학위만 경력으로 인정한다.

학위	경력 인정기간
개인정보보호 관련 박사	개인정보보호 경력 2년
개인정보보호 관련 석사	개인정보보호 경력 1년
개인정보보호 관련 학사	개인정보보호 경력 6개월
정보보호 관련 박사	정보보호 경력 2년
정보보호 관련 석사	정보보호 경력 1년
정보보호 관련 학사	정보보호 경력 6개월
정보기술 관련 박사	정보기술 경력 2년
정보기술 관련 석사	정보기술 경력 1년
정보기술 관련 학사	정보기술 경력 6개월

• 그 밖에 보호위원회가 정하여 고시하는 자격을 취득하거나 교육을 이수한 경우 등의 해당 취득자격이나 이수교육 등에 대해서는 보호위원회가 정하여 고시하는 바에 따라 개인정보보호 경력, 정보보호 경력 또는 정보기술 경력으로 인정한다.

---

[인증기준 취지]

1.1.2 최고책임자의 지정은 조직 내 정보보호 및 개인정보보호 관리 활동을 총괄하는 정보보호 최고책임자(CISO), 개인정보 보호책임자(CPO)를 최고경영자(CEO)가 인사발령 등의 절차를 통해 공식적으로 지정하도록 하여, 정보보호 및 개인정보보호 활동에 대한 명확한 책임과 역할을 부여한 것을 의미한다.

 

○ 최고책임자의 지정

•  최고경영자(CEO)는 정보보호 및 개인정보보호 관리체계의 효과적인 운영을 위해 정보보호 최고책임자(CISO)와 개인정보 보호책임자(CPO)를 지정하여야 한다. 이 절차는 공식적인 인사발령 등을 통해 이루어져야 한다.

○ 당연직의 경우

• 당연직으로 정보보호 최고책임자(CISO)와 개인정보 보호책임자(CPO)의 역할을 수행하는 경우, 정보보호 및 개인정보보호 정책서에 해당 직위를 명시해야 한다. 이는 조직 내에서 정보보호와 개인정보보호에 대한 명확한 책임 소재를 규정하는데 매우 중요한 역할을 하게 된다.

○ 법적 자격요건 확인

• 정보보호 최고책임자(CISO), 개인정보 보호책임자(CPO)에 지정에 관한 법적 자격요건을 충족하는지 반드시 확인해야 한다. 이는 지정된 자가 관련 법규와 규정을 준수하며, 정보보호와 개인정보보에 대한 전문성을 갖추고 있음을 보장하기 위함이다. 법적 자격요건을 충족하는 경우, 관계기간에 신고하여 공식적으로 인정을 받아야 한다.

○ 정책 문서 명시

• 정보보호 최고책임자(CISO), 개인정보 보호책임자(CPO)의 책임과 역할을 정책 문서에 명시하여야 한다. 이는 조직 내 모든 구성원이 정보보호 최고책임자(CISO), 개인정보 보호책임자(CPO)의 책임과 역할을 명확히 이해하고, 일관된 정보보호 및 개인정보보호 활동을 수행할 수 있도록 하기 위함이다.

위와 같은 절차와 기준을 통해 조직은 정보보호와 개인정보보호 관리체계의 효과적인 운영을 보장하고, 또한 최고경영자(CEO)의 적극적인 참여는 정보보호와 개인정보보호 수준을 지속적으로 향상시킬 수 있다.

---

[유사한 인증통제 항목]

○ 1.1.1 경영진의 참여

• 최고경영자(CEO)는 ISMS-P의 전반적인 운영에 있어 경영진의 적극적인 참여를 보장하기 위해 의사결정 체계를 수립한다. 이를 통해 정보보호 관리체계 운영 활동이 조직의 전반적인 경영 활동과 긴밀히 연계될 수 있다.

○ 1.1.3 조직구성

• 최고경영자는 ISMS-P의 효과적인 구현을 위해 실무조직, 정보보호위원회, 실무 협의체를 구성한다.

○ 1.1.5 정책 수립

• 조직의 정보보호를 효과적으로 관리하기 위해 정보보호 정책 및 시행문서를 체계적으로 수립하여 정보보호 목표, 전략, 절차, 방법, 기준 등을 포함시켜야 하고, 이를 통해 조직의 모든 구성원이 정보보호 중요성에 대해 인식하고 일관된 방침을 준수할 수 있다.

○ 2.2.1 주요 직무자 지정 및 관리

• 개인정보처리시스템, 주요업무시스템 등 주요 직무에 대해 명확한 기준과 체계적인 관리 방안을 수립한다. 이를 통해 각 조직은 각 직무의 책임과 권한을 명확히 정의하고, 해당 직무에 적합한 직무자를 지정하여 효과적인 관리가 이루어질 수 있다.

○ 3.5.1 개인정보처리방침 공개

• 개인정보의 처리에 대한 모든 필요한 사항을 포함하여 체계적인 개인정보처리방침을 수립한다. 이 방침은 회사의 개인정보의 관리 절차와 보호 조치를 상세히 설명하며, 개인정보 보호책임자(CPO) 지정 등에 관한 사항까지 명확히 포함되어 있어야 한다. 수립된 개인정보처리방침은 정보주체가 쉽게 접근하고 이해할 수 있도록 공개되어야 한다.

---

[세부 설명]

• 1. 최고경영자는 조직 내에서 정보보호 및 개인정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄하여 책임질 수 있는 정보보호 최고책임자 및 개인정보 보호책임자를 인사발령 등의 절차를 통하여 공식적으로 지정하여야 한다.
• 1-1. 정보보호 최고책임자 및 개인정보 보호책임자는 인사발령 등을 통하여 공식적으로 임명하여야 하며, 당연직의 경우 정보보호 및 개인정보보호 정책서에 그 직위를 명시하여야 함
• 2. 정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 관련 법령에 따른 자격요건을 충족하여야 한다. (※ 정보통신망법 시행령 제36조의 7 참고)
• 2.1. 정보보호 최고책임자 및 개인정보 보호책임자는 조직의 정보보호 및 개인정보보호 업무를 실질적으로 총괄할 수 있도록 정보보호 및 개인정보보호 관련 지식 및 소양이 있는 자로서 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정
• 2-1-1. 정보통신서비스 제공자는 정보통신시스템 등에 댛나 보안 및 정보의 안전한 관리를 위하여 대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하고 과학기술정보통신부장관에게 신고. 다만, 대통령령으로 정하는 기준에 해당하는 경우 신고 예외
• 3. 정보보호 최고책임자 지정에 대한 법적 요건 준수 필요 (※ 정보통신망법 제45조의 3 참고)
• 3-1. 정보보호 최고책임자는 다음 업무 수행

3-1-1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.	3-1-2. 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.
가. 정보보호 계획의 수립·시행 및 개선	가. 정보보호산업의 진흥에 관한 법률      제13조에 따른 정보보호 공시에 관한 업무
나. 정보보호 실태와 관행의      정기적인 감사 및 개선	나. 정보통신기반 보호법 제5조 제5항에 따른      정보보호 책임자의 업무
다. 정보보호 위험의 식별 평가 및      정보보호 대책 마련	다. 전자금융거래법 제21조의 2 제4항에 따른      정보보호 최고책임자의 업무
라. 정보보호 교육과 모의훈련 계획의      수립 및 시행	라. 개인정보 보호법 제31조 제2항에 따른      개인정보 보호책임자의 업무
	마. 그 밖에 이 법 또는 관계법령에 따라      정보보호를 위하여 필요한 조치의 이행

3-2. 정보보호 최고책임자 지정요건 (※ 정보통신망법 시행령 제36조의 7 제1항)

구분 (정보통신서비스 제공자)	정보보호 최고책임자 지정 요건
1. 자본금 1억원 이하인 자 2. 소기업 3. 중기업으로 전기통신사업자,     정보보호 관리체계 인증을 받아야 하는 자,     개인정보처리방침을 공개해야 하는     개인정보처리자, 통신판매업자가 아닌 자	1. 사업주 또는 대표자
1. 직전 사업연도 말 기준 자산총액이     5조원 이상인 자 2. 법 제47조 제2항에 따라 정보보호 관리체계     인증을 받아야 하는 자 중 직전 사업연도 말     기준 자산 총액이 5천억원 이상인 자	1. 이사    (상법 제401조의 2 제1항 제3호에 따른 자와     같은 법 제408조의 2에 따른 집행임원을 포함) ※ 겸직 제한 요건 준수 필요
위에서 해당하지 않는 자	1. 사업주 또는 대표자 2. 이사    (상법 제401조의 2 제1항 제3호에 따른 자와     같은 법 제408조의 2에 따른 집행임원을 포함) 3. 정보보호 과련 업무를 총괄하는 부서의 장

• 4. 개인정보 보호책임자 지정에 대한 법적 요건 준수 필요 (※ 개인정보 보호법 시행령 제32조 등 참고)
• 4-1. 개인정보 보호책임자는 다음의 업무 수행

1. 개인정보 보호 계획의 수립 및 시행

2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선

3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제

4. 개인정보 유출 및 오·남용 방지를 위한 내부통제시스템 구축

5. 개인정보 보호 교육 계획의 수립 및 시행

6. 개인정보파일의 보호 및 관리·감독

7. 개인정보 처리방침의 수립·변경 및 시행

8. 개인정보 보호 관련 자료의 관리

9. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

---

[증적 필요사항 예시]

• 정보보호 최고책임자 및 개인정보 보호책임자 임명관련 자료 (인사명령, 인사카드 등)
• 정보보호 및 개인정보보호 조직도
• 정보보호 및 개인정보보호 정책·지침
• 직무기술서 (정보보호 최고책임자 및 개인정보 보호책임자의 역할 및 책임에 관한 사항)
• 정보보호 최고책임자 신고 내역
• 내부 관리계획 (개인정보 보호책임자 지정에 관한 사항)

---

[인증심사원의 심사 관점]

인증심사원은 정보보호 및 개인정보보호 관리체계의 효과적인 운영을 확인하기 위해 다음의 사항을 확인한다.

 

① 정보보호 최고책임자(CISO) 및 개인정보 보호책임자(CPO) 지정에 관한 인터뷰

• 최고경영자(CEO)로부터 정보보호 최고책임자(CISO)와 개인정보 보호책임자(CPO)의 지정 여부를 확인하는 인터뷰를 실시하여, 지정된 문서와 직무기술서의 내용을 문서심사를 통해 검토하고, 정보보호 최고책임자(CISO)와 개인정보 보호책임자(CPO)의 자격요건이 기준에 적합한지 확인한다.

② 관련 법률 준수 여부 확인

• 인증심사기관의 해당 법률(정보통신망법, 개인정보보호법, 전자금융거래법 등)에 의해 적절한 정보보호 최고책임자(CISO) 및 개인정보 보호책임자(CPO)를 지정했는지 확인한다. 이는 법률 준수 여부와 적법한 지정 절차를 검토하는데 중요한 요소로 작용된다. 

③ 공식적 임명 절차 확인

• 정보보호 최고책임자(CISO) 및 개인정보 보호책임자(CPO)가 공식적인 인사명령 절차에 따라 임명되었는지를 확인한다. 이를 통해 임명 절차가 조직 내에서 공식적으로 이루어졌는지, 절차적으로 문제가 없는지를 검토한다.

위와 같이,  1.1.2 최고책임자의 지정이 관련 법률 준수와 공식적 임명 절차에 따라서 지정되었는지 여부를 평가한다. 이를 통해 정보보호 최고책임자(CISO) 및 개인정보 보호책임자(CPO)의 자격요건을 명확히 검증할 수 있으며, 조직의 정책과 절차가 더욱 강화될 수 있다.   

---

[보안담당자의 관점]

정보보호 및 개인정보보호 담당자는 조직의 정보보호와 개인정보보호 관리체계의 성공적인 구현과 운영 활동을 위해 다음과 같은 역할을 수행한다.

 

① 정보보호 최고책임자(CISO) 및 개인정보 보호책임자(CPO) 임명 관리

• 최고경영자(CEO)로부터 인사발령 공문 또는 내부 규정에 따라 임명될 수 있도록 임명 절차를 수립하여 관리한다. 이를 통해 정보보호 최고책임자(CISO) 및 개인정보 보호책임자(CPO)가 적법한 절차에 의해서 임명되고, 조직 내에서 정보보호와 개인정보 보호업무를 효과적으로 수행될 수 있도록 주관한다.

② 정보보호 최고책임자(CISO) 및 개인정보 보호책임자(CPO) 겸직 금지

• 정보통신망법 제45조의 3에 따라 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우 정보보호 최고책임자(CISO)를 겸직할 수 없다.
• 위 법 조문에 근거하여 정보보호 및 개인정보보호 업무의 독립성과 효과성을 유지해야 한다.

위와 같은 보안담당자의 역할로 최고경영자(CEO)로부터 명확한 권한과 책임을 부여받은 최고책임자를 확보할 수 있게 되며, 법적 규정을 엄격히 준수하게 된다. 또한 조직의 정책이 일관성 있게 실행되고, 신속하고 효과적으로 운영될 수 있는 기반을 마련하여 정보보호 및 개인정보보호 체계의 안정성을 높이게 된다.

---

[결함사례]

• 사례 1 : 정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상임에도 불구하고 정보보호 최고책임자를 지정 및 신고하지 않은 경우
• 사례 2 : 개인정보 보호와 관련된 실질적인 권한 및 지위를  보유하고 있지 않은 인원을 개인정보 보호책임자로 지정하고 있어, 개인정보 처리에 관한 업무를 총괄해서 책임질 수 있다고 보기 어려운 경우
• 사례 3 : 조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고 있으나, 인사발령 등의 공식적인 지정절차를 거치지 않은 경우
• 사례 4 : ISMS 인증 의무대상자이면서 전년도 말 기준 자산총액이 5천억 원을 초과한 정보통신서비스 제공자이지만 정보보호 최고책임자가 CIO를 겸직하고 있는 경우