ISMS(정보보호관리체계) 인증 기준 1.1.2 최고책임자의 지정

1. 관리체계 수립 및 운영 > 1.1 관리체계 기반 마련 > 1.1.2 최고책임자의 지정

항목		상세내용
1.1.2	최고책임자의 지정	최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산ㆍ인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.
주요 확인사항		ㆍ정보보호 및 개인정보보호 업무를 총괄하는 책임자를 공식적으로 지정하고 있는가? ㆍ관계법령에 따라 자격요건에 충족하는 책임자를 지정하고 있는가?
관련 법규		ㆍ개인정보보호법 제29조(안전조치의무), 제31조(개인정보 보호책임자의 지정) ㆍ정보통신망법 제45조의3(정보보호 최고책임자의 지정 등) ㆍ전자금융거래법 제21조의2(정보보호 최고책임자의 지정) ㆍ개인정보보호법 제31조(개인정보 보호책임자의 지정) ㆍ 개인정보보호법 시행령 제32조(개인정보 보호책임자의 업무 및 지정요건 등)

 

● 중요사안

- 최고경영자는 조직 내에서 정보보호 및 개인정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄 관리할 수 있는 임원급의 정보보호 최고책임자(CISO)와 개인정보 보호책임자(CPO)를 지정하여야 하며 인사발령 등의 공식적인 지정절차를 거쳐야 함

- 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)에서는 임원급의 정보보호 최고책임자를 지정할 수 있도록 하고 있음

- 전자금융거래법 제21조의2(정보보호 최고책임자의 지정)에서는 금융회사 및 전자금융업자는 정보기술부문 보안을 총괄하여 책임질 정보보호 최고책임자를 지정하도록 하고 있음

- 개인정보보호법 제31조(개인정보 보호책임자의 지정)에서는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하도록 하고 있음

- 개인정보보호법 시행령 제32조(개인정보 보호책임자의 업무 및 지정요건 등)에서는 사업주 또는 대표자나 임원을 개인정보 보호책임자로 지정하도록 하고 있음

 

● 점검 체크리스트

- 회사는 정보보호 최고책임자(CISO)와 개인정보 보호책임자(CPO)를 필수로 지정해야하는 기준에 부합하는가?

- 정보보호 최고책임자(CISO)와 개인정보 보호책임자(CPO)의 지정 시 자격요건에 부합하는가?

- 정보보호 최고책임자(CISO)와 개인정보 보호책임자(CPO)의 지정 시 인사발령 등의 공식적인 지정절차를 거치고 있는가?

- 정보보호 최고책임자(CISO)와 개인정보 보호책임자(CPO)의 지정, 책임 및 역할을 내부 정보보호 정책문서에 명시하고 있는가?

- 정보보호 최고책임자(CISO)와 개인정보 보호책임자(CPO)를 이용자가 확인 가능하도록 외부에 공개하고 있는가?

 

● 기록(증적자료)

- 정보보호 최고책임자(CISO), 개인정보 보호책임자(CPO) 인사발령 공식문서

- 정보보호 최고책임자(CISO) 지정 신고서 및 등록 현황

- 정보보호 및 개인정보보호 전담조직도

- 정보보호 및 개인정보보호 책임자 직무 기술서

- 정보보호 최고책임자(CISO), 개인정보 보호책임자(CPO) 외부 공개현황

 

● 주요 결함사례

- 정보통신망법에 따른 정보보호 최고책임자(CISO) 지정 및 신고 의무 대상임에도 신고하지 않은 경우

- 정보보호 및 개인정보보호 업무 관련 임원이 존재함에도 불구하고 정보보호 최고책임자(CISO) 및 개인정보 보호책임자(CPO)를 정보보호 및 개인정보보호 비관련자로 지정한 경우

- 정보보호 최고책임자(CISO) 및 개인정보 보호책임자(CPO)를 지정하고 있으나 인사발령 등의 공식적인 지정절차를 거치지 않은 경우

- 정보통신망법에서 겸직금지 대상에 해당하는 정보통신서비스 제공자임에도 불구하고 정보보호 최고책임자(CISO)와 정보관리최고책임자(CIO)를 겸직하고 있는 경우

- 정보보호 최고책임자(CISO) 및 개인정보 보호책임자(CPO)를 지정하고 있으나 자격요건이 부합하지 않은 자로 지정한 경우

- 정보보호 최고책임자(CISO) 및 개인정보 보호책임자(CPO)를 지정하고 있으나 외부에 공개하지 않은 경우