ISMS(정보보호관리체계) 인증 기준 1.1.6 자원 할당

1. 관리체계 수립 및 운영 > 1.1 관리체계 기반 마련 > 1.1.6 자원 할당

항목		상세내용
1.1.6	자원 할당	최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다.
주요 확인사항		ㆍ정보보호 및 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고 있는가? ㆍ정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위하여 필요한 자원을 평가하여 필요한 예산과 인력을 지원하고 있는가? ㆍ연도별 정보보호 및 개인정보보호 정책ㆍ시행문서의 최신본을 관련 임직원에게 이해하기 쉬운 형태로 제공하고 있는가?
관련 법규		ㆍ전자금융감독규정 제8조(인력, 조직 및 예산)

 

● 중요사안

- 조직의 정보보호 및 개인정보보호 활동을 원활하게 수행하기 위하여 다음과 같은 항목을 고려하여 실무조직 구성원을 확보하여야 함.

   > 전문적 지식 보유 여부(관련 학위 또는 자격증 보유)

   > 정보보호 및 개인정보보호 관련 실무 경력

   > 정보보호 및 개인정보보호 관련 직무교육 이수 등

- 최고경영자는 정보보호 및 개인정보보호 관리체계 구축 및 운영을 하는데 필요한 자원을 파악하여 예산 및 인력운영계획을 승인하여야 함.

- 금융회사 또는 전자금융업자는 전자금융감독규정 제8조(인력, 조직 및 예산)에 따라 정보기술부분 인력은 총 임직원수의 5%이상, 정보보호인력은 정보기술인력의 5%이상, 정보보호 예산은 정보기술부문 예산의 100분의 7 이상을 갖추도록 하고 있음.

 

● 점검 체크리스트

- 회사의 정보보호 및 개인정보보호 활동을 위한 전담조직을 구성하고 있는가?

- 업무분장표 및 직무기술서를 토대로 정보보호 및 개인정보보호 전담조직을 구성하고 있는 인력의 직무 적합도를 고려하였는가?

- 정보보호 및 개인정보보호 전담조직의 각 구성원별 책임 및 역할을 내부 정책문서에 명시하고 있는가?

- 정보보호 및 개인정보보호 관리체계 구축 및 운영을 위한 예산 및 인력 운영을 적정한 수준으로 지원하고 있는가?

 

● 기록(증적자료)

- 정보보호 및 개인정보보호 전담조직도

- 정보보호 및 개인정보보호 구성원 R&R 문서

- 정보보호 및 개인정보보호 계획문서

- 정보기술부문/정보보호부문 비용 및 인력 투자 예산집행 문서

 

● 주요 결함사례

- 정보보호 및 개인정보보호 전담조직을 구성하고 있으나 공식적인 선언이나 절차 없이 문서상으로만 존재하는 경우

- 정보보호 및 개인정보보호 전문성을 갖춘 인력이 아닌 총무부서 인력을 보안인력으로 구성한 경우

- 정보보호시스템 서비스 지원이 종료되었음에도 시스템 교체를 대비한 예산을 지원하지 않은 경우

- 인증 취득 후 인력과 예산 지원을 대폭 줄이고 기존 인력을 다른 부서로 배치하거나 일부 예산을 다른 용도로 사용하는 경우