ISMS(정보보호관리체계) 인증 기준 2.2.1 주요 직무자 지정 및 관리

2. 보호대책 요구사항 > 2.2 인적 보안 > 2.2.1 주요 직무자 지정 및 관리

항목		상세내용
2.2.1	주요 직무자 지정 및 관리	개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.
주요 확인사항		ㆍ개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가? ㆍ주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가? ㆍ업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하고 있는가? ㆍ업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리 방안을 수립ㆍ이행하고 있는가?
관련 법규

 

● 중요사안

- 인력보안 지침 등에 관련 보안업무 정의 및 역할에 대한 직무담당자의 직무분리 명시

- 개발과 정보시스템(서버, DB, 네트워크 등)운영 직무자 지정

- 중요정보를 취급하는 주요 직무자를 최소한으로 지정

- 주요 직무자의 현황을 주기적으로 관리 및 검토

- 개인정보처리자는 개인정보보호법 제28조(개인정보취급자에 대한 감독)에 따라 개인정보취급자에 대하여 적절한 관리ㆍ감독을 해야 함

- 금융회사 또는 전자금융업자는 전자금융감독규정 제28조(거래통제 등)에 따라 사고 위험이 높은 거래에 대해 이중 확인이 가능하도록 통제해야 한다.

 

● 운영현황

- 주요 직무자는 개인정보 주요 취급자, 정보시스템 관리자 등 IT부문 인력을 대상으로 하며 내부품의를 통해 업무관계자 및 책임자의 승인을 거쳐 최소한의 권한을 개별적으로 부여하고 있음.

- 주요 직무자는 문서화하여 관리하고 있음.

 

 

● 기록(증적자료)

- 주요 직무자 리스트

- 주요 직무자 권한 관리 기준