ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.1 관리체계 기반 마련(1.1.2 최고책임자의 지정)

항목 : 1.1.2 최고책임자의 지정

 

■ 인증기준 : 최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산·인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다

 

■ 주요 확인사항

• 최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고 책임자를 공식적으로 지정하고 있는가?
• 정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며, 관련 법령에 따른 자격요건을 충족하고 있는가?

금융분야 추가 확인사항 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등) 정보통신망법 시행령 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등) 전자금융거래법 제21조의2(정보보호최고책임자 지정) 전자금융거래법 시행령 제11조의3(정보보호최고책임자 지정대상 금융회사 등), [별표 1] 정보보호최고책임자의 자격 개인정보 보호법 제31조(개인정보 보호책임자의 지정) 제1항, 제2항, 제6항 개인정보 보호법 시행령 제 32조(개인정보 보호책임자의 업무 및 지정요건 등) 제2항 신용정보법 제20조(신용정보 관리책임의 명확화 및 업무처리기록의 보존) 제3항, 제4항 신용정보법 시행령 제17조(신용정보관리･보호인의 지정 등)

 

■ 세부 설명

① 최고경영자는 조직 내에서 정보보호 및 개인정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄하여 책임질 수 있는 정보보호 최고책임자 및 개인정보 보호책임자를 인사발령 등의 절차를 통하여 공식적으로 지정하여야 한다.

• 정보보호 최고책임자 및 개인정보 보호책임자는 인사발령 등을 통하여 공식으로 임명하여야 하며, 당연직의 경우 정보보호 및 개인정보보호 정책서에 그 직위를 명시하여야 함.

② 정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 관련 법령에 따른 자격요건을 충족하여야 한다(※정보통신망법 시행령 제36조의7 참고).

• 정보보호 최고책임자 및 개인정보 보호책임자는 조직의 정보보호 및 개인정보보호 업무를 실질적으로 총괄할 수 있도록 정보보호 및 개인정보보호 관련 지식 및 소양이 있는 자로서 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정※ 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하고 과학기술정보통신부장관에게 신고. 다만, 대통령령으로 정하는 기준에 해당하는 경우 신고 예외
• 정보보호 최고책임자 지정에 대한 법적 요건 준수 필요(※정보통신망법 제45조의3 , 전자금융거래법 제21조의2 참고) 
  - 정보보호 최고책임자는 다음 업무 수행

【정보통신망법 제45조의3제4항】 1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.    가. 정보보호 계획의 수립･시행 및 개선    나. 정보보호 실태와 관행의 정기적인 감사 및 개선    다. 정보보호 위험의 식별 평가 및 정보보호 대책 마련    라. 정보보호 교육과 모의 훈련 계획의 수립 및 시행 2. 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.    가. ｢정보보호산업의 진흥에 관한 법률｣ 제13조에 따른 정보보호 공시에 관한 업무    나. ｢정보통신기반 보호법｣ 제5조제5항에 따른 정보보호 책임자의 업무    다. ｢전자금융거래법｣ 제21조의2제4항에 따른 정보보호 최고책임자의 업무    라. ｢개인정보 보호법｣ 제31조제2항ㅋ에 따른 개인정보 보호책임자의 업무    마. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 금융분야 추가사항 【전자금융거래법 제21조의2제4항】 1. 정보보호 최고책임자는 다음 각 목의 업무를 수행한다.    가. 제21조제2항에 따른 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립    나. 정보기술부문의 보호    다. 정보기술부문의 보안에 필요한 인력관리 및 예산편성    라. 전자금융거래의 사고 예방 및 조치    마. 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 위한 자체심의에 관한 사항    바. 정보기술부문 보안에 관한 임직원 교육에 관한 사항 【전자금융거래법 제21조의2제3항】 1. 정보보호 최고책임자는 제4항의 업무 외의 다른 정보기술부문 업무를 겸직할 수 없다.

 

• 개인정보 보호책임자 지정에 대한 법적 요건 준수 필요(※개인정보 보호법 시행령 제32조 참고) 
  - 개인정보 보호책임자는 다음 업무 수행

1. 개인정보 보호 계획의 수립 및 시행 2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제 4. 개인정보 유출 및 오·남용 방지를 위한 내부통제시스템 구축 5. 개인정보 보호 교육 계획의 수립 및 시행 6. 개인정보파일의 보호 및 관리·감독 7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무

• 개인정보 보호책임자 지정요건(공공기관)

가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정 기관: 고위공무원단에 속하는 공무         원 (이하 ʻ고위공무원ʼ이라 함.) 또는 그에 상당하는 공무원 나. 가목 외에 정무직공무원을 장(長)으로 하는 국가기관: 3급 이상 공무원(고위공무원을 포함한다.) 또는 그에 상당하는 공무원 다. 가목 및 나목 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관: 4급 이상 공          무원 또는 그에 상당하는 공무원 라. 가목부터 다목까지의 규정에 따른 국가기관 외의 국가기관(소속 기관을 포함한다.): 해당 기관의 개인정보 처리 관련 업무를       담당하는 부서의 장 마. 시·도 및 시·도 교육청: 3급 이상 공무원 또는 그에 상당하는 공무원 바. 시·군 및 자치구: 4급 공무원 또는 그에 상당하는 공무원 사. 제2조제5호에 따른 각급 학교: 해당 학교의 행정사무를 총괄하는 사람 아. 가목부터 사목까지의 규정에 따른 기관 외의 공공기관: 개인정보 처리 관련 업무를 담당하는 부서의 장. 다만 개인정보 처리        관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당 공공기관의 장이 지명하는 부서의 장이 된다.

• 개인정보 보호책임자 지정요건(민간기업)

② 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우에는 다음 각 호의 구분에 따라 지정한다.       2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람        가. 사업주 또는 대표자        나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장) ③ 제2항에도 불구하고 개인정보처리자가 ｢소상공인기본법｣ 제2조에 따른 소상공인에 해당하는 경우에는 별도의 지정 없이 그      사업주 또는 대표자를 개인정보 보호책임자로 지정한 것으로 본다. 다만 개인정보처리자가 별도로 개인정보 보호책임자를          지정한 경우에는 그렇지 않다.

 

 

금융분야 추가사항

• 신용정보관리･보호인 지정에 대한 법적 요건 준수 필요(※신용정보법 제20조 참고) 
  - 신용정보관리･보호인은 다음 업무 수행

1. 개인신용정보의 경우 각 목의 업무를 수행한다.    가. 「개인정보 보호법」 제31조제2항제1호부터 제5호까지의 업무    나. 임직원 및 전속 모집인 등의 신용정보보호 관련 법령 및 규정 준수 여부 점검    다. 그 밖에 신용정보의 관리 및 보호를 위하여 대통령령으로 정하는 업무 2. 기업신용정보의 경우 다음 각목의 업무를 수행한다.    가. 신용정보의 수집･보유･제공･삭제 등 관리 및 보호 계획의 수립 및 시행    나. 신용정보의 수집･보유･제공･삭제 등 관리 및 보호 계획 실태와 관행에 대한 정기적인 조사 및 개선    다. 신용정보 열람 및 정정청구 등 신용정보주체의 권리행사 및 피해구제    라. 신용정보 유출 등을 방지하기 위한 내부통제시스템의 구축 및 운영    마. 임직원 및 전속 모집인 등에 대한 신용정보보호 교육계획의 수립 및 시행    바. 임직원 및 전속 모집인 등의 신용정보보호 관련 법령 및 규정 준수 여부 점검    사. 그 밖에 신용정보의 관리 및 보호를 위하여 대통령으로 정하는 업무

      - 신용정보관리･보호인 지정요건

② 법 제20조제3항 단서에서 ‘총자산 종업원 수 등을 감안하여 대통령으로 정하는 자’란 다음 각 호의 어느 하나에 대항하는 자를 말한다.     1. 종합신용정보집중기관     2. 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사 및 본인신용정보관리회사     3. 신용조사회사, 채권추심회사 및 제1항에서 정하는 자로서 직전 사업연도 말 기준으로 총자산 2조원 이상이고 상시 종업원          수가 300명 이상인 자 이 경우 상시 종업원 수의 산정방식은 금융위원회가 정하여 고시한다.

 

■ 증적예시

• 정보보호 최고책임자 및 개인정보 보호책임자 임명관련 자료(인사명령, 인사카드 등)
•  정보보호 및 개인정보보호 조직도
•  정보보호 및 개인정보보호 정책·지침
•  직무기술서(정보보호 최고책임자 및 개인정보 보호책임자의 역할 및 책임에 관한 사항)
•  정보보호 최고책임자 지정 내역
•  내부관리계획(개인정보 보호책임자 지정에 관한 사항)

 

■ 결함사례

1. 정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 정보 보호 최고책임자를 지정 및 신고하지 않은 경우
2. 개인정보 보호법을 적용받는 민간기업이 개인정보 처리업무 관련 임원이 존재함에도 불구하고 부서장을 개인정보 보호책임자로 지정한 경우
3. 조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고 있으나, 인사발령 등의 공식적인 지정절차를 거치지 않은 경우
4. ISMS 인증 의무대상자이면서 전년도 말 기준 자산총액이 5천억 원을 초과한 정보통신서비스 제공자이지만 정보보호 최고책임자가 CIO를 겸직하고 있는 경우

 

 

출처 : ISMS-P 인증기준 안내서 (2022.04)

          금융권에 적합한 ISMS-P 인증 점검항목(2022.09)

 

 

 

_그사람