ISMS(정보보호관리체계) 인증 기준 1.1.1 경영진의 참여

1. 관리체계 수립 및 운영 > 1.1 관리체계 기반 마련 > 1.1.1 경영진의 참여

항목		상세내용
1.1.1	경영진의 참여	최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다.
주요 확인사항		ㆍ정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는가? ㆍ경영진이 정보보호 및 개인(신용)정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립･이행하고 있는가?
관련 법규

 

● 중요사안

- 정보보호 및 개인정보보호 관리체계 수립 및 운영을 위한 정보보호 및 개인정보보호 정책의 제ㆍ개정 승인 및 공표, 위험관리, 내부감사 등과 같은 중요한 사안에 대해 경영진이 참여하여 의사결정을 할 수 있도록 경영진의 책임과 역할을 정보보호 정책에 명시하여야 함

- 정보보호 및 개인정보보호 관리체계에서 경영진이 참여하는 중요한 활동을 정의하고 그에 따른 보고체계를 갖추어야 함

- 정보보호 및개인정보보호 관리체계 범위 내 중요한 활동에 대해 경영진은 직접 또는 권한 위임을 통해 보고를 받고 의사결정에 참여하여야 함

 

● 점검 체크리스트

- 정보보호 및 개인정보보호 관리체계에 대한 경영진의 책임과 역할이 문서화 되어 있는가?

- 정보보호 및 개인정보보호 전담조직과 책임자의 역할 및 책임이 문서화 되어 있는가?

- 중요 정보보호 및 개인정보보호 활동(위험평가, 정보보호 및 개인정보보호 대책 및 이행 계획/결과 검토, 내부감사 등)의 경영진에 대한 보고 및 승인 등의 의사결정을 참여하고 있는가?

 

● 기록(증적자료)

- 정보보호 및 개인정보보호 정책문서(경영진 승인 내역 포함)

- 정보보호 및 개인정보보호 위원회 회의록

- 정보보호 및 개인정보보호 활동에 관한 보고 및 승인 현황

 

● 주요 결함사례

- 중요 정보보호 및 개인정보보호 활동을 수행하고는 있으나 관련 활동에 대한 보고 및 승인 등의 의사결정에 경영진 또는 경영진의 권한을 위임받은 자가 참여하지 않았거나 관련 증적이 확인되지 않는 경우

- 정보보호 및 개인정보보호 관련 활동(위험평가, 보안감사 등)을 수행한 후 최고경영자에게 승인받지 않았거나 최고경영자의 위임을 받지 않은 자가 최종 승인한 경우