태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

1.1.2 최고책임자의 지정


최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보호 업무를 총괄하는 개인정보보보호 책임자를 예산.인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.


● 주요 점검 사항


이용자의 개인정보, 기업의 영업, 기술 정보를 보호하는 것은 정보유출로 인한 다양한 측면의 위험을 줄이고 기업의 생존력을 높이는 매우 중요한 요소일 뿐만 아니라 국가의 위상을 제고하는 매우 중요한 요소로 부각됨에 따라 여러 법률에서 기업의 (개인)정보보호최고책임자를 지정하고 신고하도록 하고 있다. 이에 따라 ISMS-P 인증을 취득하고자 하는 기업 및 기관은 법률에 따라 정보보호최고책임자 및 개인정보보호책임자를 지정하고 신고해야 한다.


  • 최고경영자는 (개인)정보보호 업무를 총괄하여 책임질 최고 책임자를 공식적으로 지정하고 있는가?
  • (개인)정보보호 최고책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정해야 하며 관련 법령에 따른 자격요건을 충족하고 있는가?


● 관련법령


  • 개인정보 보호법 제29조(안전조치의무), 제31조(개인정보 보호책임자의 지정)
  • 정보통신망법 시행령 제36조의6(정보보호 최고책임자 지정ㆍ신고 대상자의 범위)
  • 개인정보의 기술적ㆍ관리적 보호조치 기준 제3조(내부관리계획의 수립ㆍ시행)
  • 개인정보의 안전성ㆍ확보조치 기준 제4조(내부 관리계획의 수립ㆍ시행)
  • 정보통신망법 제27조(개인정보 보호책임자의 지정), 제28조(개인정보의 보호조치), 제45조의3(정보보호 최고책임자의 지정 등)


● 세부 설명


  • 최고경영자는 조직 내에서 정보보호 및 개인정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄하여 책임질 수 있는 정보보호 최고책임자 및 개인정보 보호책임자를 인사발령 등의 절차를 통해 공식적으로 지정하여야 한다.
    • 정보보호 최고책임자 및 개인정보 보호책임자는 인사발령 등을 통해 공식적으로 임명하여야 하며, 당연직의 경우 정보보호 및 개인정보보호 정책서에 그 직위를 명시해야 함
  • 정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 관련 법령에 따른 자격요건을 충족하여야 한다.
    • 정보보호 최고책임자 및 개인정보 보호책임자는 조직의 정보보호 및 개인정보보호 업무를 실질적으로 총괄할 수 있도록 정보보호 및 개인정보보호 관련 지식 및 소양이 있는 자로서 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정
    • 정보보호 최고책임자 지정에 대한 법적 요건 준수 필요
    • - 종업원 수, 이용자 수 등 정보통신망법에서 정하는 기준에 해당하는 정보통신서비스 제공자의 경우 임원급의 정보보호 최고책임자를 지정하고 이를 과학기술정통부 장관에게 신고
    •    ★ 정보통신망법 시행령 제36조의6(정보보호 최고책임자 지정·신고 대상자의 범위
      1. 정보통신망법 제41조제1항제1호에 따른 내용 선별 소프트웨어를 개발 및 보급하는 사업자
      2. 정보통신망법 제47조제2항에 따른 정보보호 관리체게 인증을 받아야하는 자
      3. 저작권법 제104조제1항에 다른 특수한 유형의 온라인서비스제공자로서 상시 종업원 수가 5명 이상이거나 전년도 말 기준 직전3개월간의 일일평균 이용자 수가 1천명 이상인자
      4. 전자상거래 등에서의 소비자보호에 관한 법률 제2조제3호에 따른 통신판매업자(통신판매중개업자를 포함한다)로서 상시 종업원 수가 5명 이상인 자
      5. 게임산업진흥에 관한 법률 제2조제7호에 따른 인터넷컴퓨터게임시설제공업을 영위하는 자에게 같은 법 제28조제6호에 따라 고시된 음란물 및 사행성게임물 차단 프로그램을 제공하는 사업자
      6. 상시 종업원 수가 1천명 이상인 자


    • - 정보보호 최고책임자는 다음의 업무를 총괄

    •    ★ 정보통신망법 제43조의3(정보보호 최고책임자의 지정 등) 제4항
      1. 정보보호관리체계의 수립 및 관리ㆍ운영
      2. 정보보호 취약점 분석ㆍ평가 및 개선
      3. 침해사고의 예방 및 대응
      4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등
      5. 정보보호 사전 보안성 검토
      6. 중요 정보의 암호화 및 보안서버 적합성 검토
      7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

    • ※ 자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우 정보보호 최고책임자는 위의 업무 외의 다른 업무를 겸직할 수 없음 (2019.6.13 시행)


    • 정보보호 최고책임자 지정에 대한 법적 요건 준수 필요
    • - 개인정보 보호책임자 지정요건(민간기업)

       개인정보 보호법

      정보통신망법 

      - 사업주 또는 대표자
      임원(임원이 없는 경우에는 개인정보 처리업무를 담당하는 부서의 장
      - 임원
      개인정보보호와 관련하여 이용자의 고충처리를 담당하는 부서의 장
      ※ 단, 상시 종업원 수가 5명 미만인 정보통신 서비스 제공자 등은 개인정보 보호책임자를 지정하지 아니할 수 있으며, 이때는 업주 또는 대표자가 개인정보 보호책임자가 됨
    • - 개인정보 보호책임자 지정요건(공공기관)
    •    ★ 개인정보 보호법 시행령 제32조(개인정보 보호책임자의 업무 및 지정요건 등) 제2항 제1호

         가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관

         고위공무원단에 속하는 공무원(이하, "고위공무원"이라 한다) 또는 그에 상당하는 공무원

         나. 가목 외에 정무직공무원을 장으로 하는 국가기관 : 3급 공무원 또는 그에 상당하는 공무원

         다. 가목 및 나목 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관 : 4급 이상 공무원 또는 그에 상당하는 공무원


● 결함사례


  • 정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 정보보호 최고 책임자를 지정하지 않거나 지정했더라도 신고하지 않은 경우
  • 조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고 있으나 인사발령 등의 공식적인 절차를 거치지 않은 경우
  • 개인정보 보호법을 적용받는 민간기업이 개인정보 처리업무를 처리하는 공식적인 XX부문 혹은 XX본부가 있음에도 해당 부문장 또는 본부장이 아닌 하위 직급의 부서장을 개인정보 보호책임자로 지정한 경우


● taeho's notes


  • 앞의 인증기준에서도 언급했듯 ISMS-P 인증기준에서 언급하는 "임원급"에 대한 기준은 예산과 인력을 스스로 결정해 투입할 수 있는 권한을 가진 사람이다. 이는 예산과 자원할당에 대해 CEO 및 회계담당 임원 등을 제외하면 의사결정 과정에서 명백하게 견제할 수 있는 구성원이 없다는 것을 의미한다. "CISO가 회계 담당 임원이 반대하면 예산과 인력을 투입할 수 없으니 임원급이 아니다"라는 막무가내 식의 결함 도출은 안된다.
  • 다만 CISO는 인사발령 등을 통해 전사에 공식적으로 임명되어야 하며 그 임명의 근거와 임명의 내역이 명확해야만 한다. 당연직의 경우에도 가능하다면 임명 시 CISO를 겸직하게 됨을 알려야 하며 정보보호정책서, 조직도 등에 명기되어 있어 누가 CISO인지를 쉽게 파악할 수 있어야 한다.
  • 2019년 6월 시행된 개정된 정보통신망법에서는 "정보통신서비스를 제공하는 자 중 의무 대상이 아니더라도 자산총액 5조원 이상인 기업과 ISMS인증 의무대상 정보통신서비스 제공자 중 자산총액 5000억 이상인 자"는 CISO가 위에서 언급한 CISO의 업무 이외의 다른 업무를 겸직할 수 없도록 못박고 있다.
  • CISO와 CPO는 겸직금지에 해당되는 기업이 아니라면 겸직할 수 있으나 겸직금지에 해당되는 기업이라면 CISO가 CPO를 겸직할 수 없다. (관련기사 : http://www.inews24.com/view/1184149)


#isms #isms-p #isms-p인증기준