1.1 관리체계 기반 마련

1.1.1	경영진의 참여	최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다.
1.1.2	최고책임자의 지정	최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산·인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.
1.1.3	조직 구성	최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다.
1.1.4	범위 설정	조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다.
1.1.5	정책 수립	정보보호와 개인정보보호 정책 및 시행문서를 수립·작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다.
1.1.6	자원 할당	최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다.

1.1.1 경영진의 참여

- 의사결정에 참여, 검토 및 승인절차 수립

사례 1 : 정보보호 및 개인정보보호 정책서에 분기별로 정보보호 및 개인정보보호 현황을 경영진에
게 보고하도록 명시하였으나, 장기간 관련 보고를 수행하지 않은 경우

사례 2 : 중요 정보보호 활동(위험평가, 위험수용수준 결정, 정보보호대책 및 이행계획 검토, 정보보
호대책 이행결과 검토, 보안감사 등)을 수행하면서 관련 활동관련 보고, 승인 등 의사결정
에 경영진 또는 경영진의 권한을 위임받은 자가 참여하지 않았거나 관련 증적이 확인되지 않
는 경우

 

1.1.2 최고책임자의 지정

- 책임자는 예산, 인력 등 자원을 할당할 수 있는 사람으로 지정

- 인사발령을 통한 공식적인 지정

- CISO(정보보호 최고책임자 지정) 법적요건

★ 정보통신망법 시행령 제36조의6(정보보호 최고책임자 지정 ․ 신고 대상자의 범위) 1. 「정보통신망법」제41조제1항제1호에 따른 내용 선별 소프트웨어를 개발 및 보급하는 사업자 2. 「정보통신망법」제47조제2항에 따른 정보보호 관리체계 인증을 받아야 하는 자 3. 「저작권법」제104조제1항에 따른 특수한 유형의 온라인서비스제공자로서 상시 종업원 수가 5명 이상이거나 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 1천명 이상인자 4. 「전자상거래 등에서의 소비자보호에 관한 법률」 제2조제3호에 따른 통신판매업자(통신판매중개업자를 포함한다)로서 상시 종업원 수가 5명 이상인 자 5. 「게임산업진흥에 관한 법률」 제2조제7호에 따른 인터넷컴퓨터게임시설제공업을 영위하는 자에게 같은 법 제28조제6호에 따라 고시된 음란물 및 사행성게임물 차단 프로그램을 제공하는 사업자 6. 상시 종업원 수가 1천명 이상인 자

- CISO의 업무

★ 정보통신망법 제43조의3(정보보호 최고책임자의 지정 등) 제4항 1. 정보보호관리체계의 수립 및 관리ㆍ운영 2. 정보보호 취약점 분석ㆍ평가 및 개선 3. 침해사고의 예방 및 대응 4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등 5. 정보보호 사전 보안성 검토 6. 중요 정보의 암호화 및 보안서버 적합성 검토 7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

※ 자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우 정보
보호 최고책임자는 위의 업무 외의 다른 업무를 겸직할 수 없음(2019.6.13 시행)

 

- CPO(개인정보책임자 지정)

 . 개인정보 보호법 : 사업주 도는 대표자, 임원

 . 정보통신망법 : 임원, 개인정보보호 관련 부서의 장

- (공공기관) CPO 지정요건

★ 개인정보 보호법 시행령 제32조(개인정보 보호책임자의 업무 및 지정요건 등) 제2항 제1호 가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관: 고위공무원단에 속하는 공무원(이하 "고위공무원"이라 한다) 또는 그에 상당하는 공무원 나. 가목 외에 정무직공무원을 장(長)으로 하는 국가기관: 3급 이상 공무원(고위공무원을 포함 한다) 또는 그에 상당하는 공무원 다. 가목 및 나목 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관: 4급 이상 공무원 또는 그에 상당하는 공무원 라. 가목부터 다목까지의 규정에 따른 국가기관 외의 국가기관(소속 기관을 포함한다):  해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장 마. 시ㆍ도 및 시ㆍ도 교육청: 3급 이상 공무원 또는 그에 상당하는 공무원 바. 시ㆍ군 및 자치구: 4급 공무원 또는 그에 상당하는 공무원 사. 제2조제5호에 따른 각급 학교: 해당 학교의 행정사무를 총괄하는 사람 아. 가목부터 사목까지의 규정에 따른 기관 외의 공공기관: 개인정보 처리 관련 업무를 담당하는 부서의 장.  다만, 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당 공공기관의 장이 지명하는 부서의 장이 된다.

사례 1 : 정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 정보보호 최고책임자를 지정 및 신고하지 않은 경우

사례 2 : 개인정보 보호법을 적용받는 민간기업이 개인정보 처리업무 관련 임원이 존재함에도 불구하고 부서장을 개인정보 보호책임자로 지정한 경우

사례 3 : 조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고 있으나 인사발령 등의 공식적인 지정절차를 거치지 않은 경우

 

1.1.3 조직 구성

사례 1 : 정보보호 및 개인정보보호 위원회를 구성하였으나, 임원 등 경영진이 포함되어 있지 않고
실무부서의 장으로 구성되어 있어 조직의 중요 정보 및 개인정보 보호에 관한 사항을 결정할 수 없는 경우

사례 2 : 내부 지침에 따라 중요 정보처리부서 및 개인정보처리부서의 장(팀장급)으로 구성된 정보보호 및 개인정보보호 실무협의체를 구성하였으나, 장기간 운영 실적이 없는 경우
사례 3 : 정보보호 및 개인정보보호 위원회를 개최하였으나 연간 정보보호 및 개인정보보호 계획 및
교육계획, 예산 및 인력 등 정보보호 및 개인정보보호에 관한 주요 사항이 검토 및 의사결정 되지 않은 경우

 

1.1.4 범위 설정

- 범위를 설정하고 문서화

사례 1 : 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 외주업체직원, PC, 테스트용 단말기 등이 관리체계 범위에서 누락됨

사례 2 : 정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 인증범위에 포함하지 않은 경우

사례 3 : 인증범위 내 조직 및 인력에 적용하고 있는 보안시스템(PC보안, 백신, 패치 등)을 인증범위에서 배제하고 있는 경우

사례 4 : 정보통신망법에 따른 정보보호 관리체계 의무대상자 임에도 불구하고 인터넷에 공개되어 있는 일부 웹사이트가 관리체계 범위에서 누락된 경우

 

1.1.5 정책 수립

- 정책과 시행문서는 경영진 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달되어야 함

- 정책 및 시행문서는 법적 요구사항(법률, 시행령, 시행규칙, 하위 고시, 가이드 등)을 반영

- 개인정보 처리 시 내부관리계획을 관련 법규에서 요구하는 사항을 모두 포함하여 수립

개인정보 보호법

정보통신망법

1. 개인정보 보호책임자의 지정에 관한 사항 2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항 3. 개인정보취급자에 대한 교육에 관한 사항 4. 접근 권한의 관리에 관한 사항 5. 접근 통제에 관한 사항 6. 개인정보의 암호화 조치에 관한 사항 7. 접속기록 보관 및 점검에 관한 사항 8. 악성프로그램 등 방지에 관한 사항 9. 물리적 안전조치에 관한 사항 10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항 11. 개인정보 유출사고 대응 계획 수립 ․ 시행에 관한 사항 12. 위험도 분석 및 대응방안 마련에 관한 사항 13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항 14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 15. 그 밖에 개인정보 보호를 위하여 필요한 사항 ※ 단, 개인정보처리자 유형 및 규모에 따라 필수 사항이 상이함(개인정보의 안전성 확보조치 기준 별표 참조)

1. 개인정보관리책임자의 자격요건 및 지정에 관한 사항 2. 개인정보관리책임자와 개인정보취급자의 역할 및 책임에 관한 사항 3. 개인정보 내부관리계획의 수립 및 승인에 관한 사항 4. 개인정보의 기술적 ․ 관리적 보호조치 이행 여부의 내부 점검에 관한 사항 5. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 6. 개인정보의 분실 ․ 도난 ․ 누출 ․ 변조 ․ 훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항 7. 그 밖에 개인정보보호를 위해 필요한 사항

※ 정보통신망법에는 암호화 조치, 접근통제 등 구체적인 내용은 요구하지 않음

사례 1 : 내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제 ․ 개정 시에는 정보보호 및 개인정보보호 위원회의 의결을 거치도록 하고 있으나, 최근 정책서 개정 시 위원회에 안건으로 상정하지 않고 정보보호 최고책임자 및 개인정보 보호책임자의 승인을 근거로만 개정한 경우 => 내부 규정을 따르지 않음

사례 2 : 정보보호 및 개인정보보호 정책 및 지침서가 최근에 개정되었으나, 해당 사항이 관련 부서 및 임직원에게 공유 ․ 전달되지 않아 일부 부서에서는 구버전의 지침서를 기준으로 업무를 수행하고 있는 경우

사례 3 : 정보보호 및 개인정보보호 정책 및 지침서를 보안부서에서만 관리하고 있고 임직원이 열람할 수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우

 

1.1.6 자원 할당

사례 1 : 정보보호 및 개인정보보호 조직을 구성하는데, 분야별 전문성을 갖춘 인력이 아닌 정보보호 관련 또는 IT 관련 전문성이 없는 인원으로만 보안인력을 구성한 경우

사례 2 : 개인정보처리시스템의 기술적, 관리적 보호조치의 요건을 갖추기 위한 보안 솔루션 등의 비용을 최고경영자가 지원하지 않고 법적 위험을 수용하고 있는 경우

사례 3 : 인증을 취득한 이후에 인력과 예산 지원을 대폭 줄이고 기존 인력을 타부서로 배치하거나 일부 예산을 다른 용도로 사용하는 경우