태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

1.1.1 경영진의 참여


최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다.


● 주요 확인사항


  • 정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는가?
  • 경영진의 (개인)정보보호 활동 참여가 가능하도록 경영진이 포함된 보고, 검토 및 승인 절차를 수립ㆍ이행하고 있는가?

● 세부 설명


  • 정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 의사결정권이 있는 경영진의 참여가 이루어질 수 있도록 보고, 의사결정 등의 책임과 역할을 문서화하여야 한다.
    • 정보보호 및 개인정보보호 정책의 정책의 제ㆍ개정, 위험관리, 내부 감사 등 관리체계 운영의 주요 사안에 대하여 경영진이 참여할 수 있도록 활동의 근거를 정보보호 및 개인정보보호 정책 또는 시행문서에 명시
  • 경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립ㆍ이행하여야 한다.
    • 정보보호 및 개인정보보호 관리체계 내 경영진이 참여하는 중요한 활동을 정의하고 그에 따른 보고체계 마련(정기ㆍ비정기 보고, 위원회 참여 등)
    • 경영진이 효과적으로 관리체계 수립ㆍ운영에 참여할 수 있도록 조직의 규모 및 특성에 맞게 보고 및 의사결정 절차, 대상, 주기 등 결정
    • 수립된 내부절차에 따라 정보보호 및 개인정보보호 관리체계 내 주요 사항에 대하여 경영진이 보고를 받고 의사결정에 참여
  • 경영진이 주요 정보보호관련 의사결정을 위한 회의참석 또는 회의 및 주요 의사결정에 대한 결과보고 혹은 승인 등 증적을 확인할 수 있어야 함

● 결함사례


  • 정보보호 및 개인정보보호 정책서에 분기별로 정보보호 및 개인정보보호 운영 현황을 경영진에게 보고하도록 명시하였으나 장기간 관련 보고를 수행하지 않는 경우 ▶ 반드시 보고하고 서명을 받아야 함 (내부 정책의 위반임)
  • 중요 정보보호 활동(위험평가, 위험수용수준 결정, 정보보호대책 및 이행계획 검토, 정보보호 대책 이행 결과 검토, 보안감사 등)을 수행하면서 관련 활동관련 보고ㆍ승인 등 의사 결정에 경영진 또는 경영진의 권한위임을 받은 자가 참석하지 않았거나 관련 승인 증적이 확인되지 않는 경우


● taeho's notes


  • 일반적으로 "의사결정권이 있는 경영진"을 이사 이상의 "임원"급으로 제한해서 해석하고 중요 보고나 의사결정 및 보고에 대한 증적에 임원급의 서명이 없을 경우 문제시 하는 경향이 있다.
  • 하지만 "경영진"이라 함은 단지 기업을 관리하고 운영하는 집단을 일컫는다. 반드시 임원만을 경영진으로 본다는 법적 해석도 없다. 오히려 조직의 규모가 작은 기업에서는 부장급, 더 심한경우 차,과장급에서도 상당한 의사결정권을 갖거나 의사결정에 직접적인 영향력을 행사할 수 있는 경우도 많다. 특히 IT 서비스 또는 온라인 쇼핑몰과 같이 매출규모 대비 조직의 인력 규모가 작은 기업에서는 그러한 경우가 더 많다.
  • 주요 정보보호솔루션의 도입, 보안직군 인력의 신규 채용 등에 대한 의사결정 증적에 차,부장급의 결제 만으로 시행된 근거가 있다면 해당 차,부장은 실질적인 경영진의 권한으로 정보보호 활동에 참여하고 있다고 해석할 수 있다.
  • 따라서 조직의 매출 및 인적 구성에 따라 경영진에 대한 해석은 유연하게 가져가야 한다. 인증심사의 기간이 주로 4~5일 이기 때문에 짧은 시간에 조직의 의사결정 구조 및 권한부여의 특성을 신속하게 파악할 수 있어야 한다.
  • 그럼에도 불구하고 일반적으로 정보보호조직에서 경영진에 해당하는 임직원은 CISO가 유일한 경우가 많다. 그리고 CISO의 직급 만으로 본다면 경영진의 일원이라고 보기 모호한 경우도 많다. 따라서 CISO를 포함하는 정보보호 위원회에 다른 경영진이 포함되어 있어야 하며 정보보호 위원회가 개최되었을 때 해당 경영진이 참석하고 의사결정에 참여한 흔적이 반드시 남아 있어야 한다.

#isms #isms인증기준 #isms-p인증기준


  • [찌쏘]'s Magazine 2019.11.23 19:07 신고

    너무 잘 정리해주셨네요 저도 궁금하던 내용인데 열심히 포스팅보고 기억해보겠습니다^^

    • taeho Tae-Ho 2019.11.23 20:17 신고

      감사합니다.
      틈 나는대로 102개 인증기준을 모두 올릴 예정입니다.
      제 경험(?)도 노트로 함께 지속적으로 업데이트할 예정입니다.