태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

1.1.3 조직 구성


최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다.


● 주요 확인 사항


  • 정보보호 최고책임자 및 개인정보 보호책임자의 업무를 지원하고 조직의 정보보호 및 개인정보보호 활동을 체계적으로 이행하기 위해 전문성을 갖춘 실무조직을 구성하여 운영하고 있는가?
  • 조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하고 있는가?
  • 전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하고 있는가?


● 관련 법규


  • 개인정보 보호법 제29조(안전조치의무)
  • 정보통신망법 제28조(개인정보의 보호조치)
  • 개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립ㆍ시행)
  • 개인정보의 기술적ㆍ관리적 보호조치 기준 제3조(내부관리계획의 수립ㆍ시행)


● 세부 설명


  • 조직의 규모 업무 중요도  등의 특성을 고려하여 정보보호 및 개인정보보호 관리체계를 구축하고 지속적으로 운영하기 위해 필요한 조직 구성의 근거를 정보보호 및 개인정보보호 정책서 등에 명시하고 전문성을 갖춘 실무조직을 구성하여 운영하여야 한다.
    • 정보보호 최고책임자, 개인정보 보호책임자, 개인정보보호 실무조직, 정보보호 위원회 등 정보보호 및 개인정보보호 조직의 구성·운영에 대한 사항을 정책서, 내부관리계획 등에 명시
    • 실무조직의 구성형태 및 규모는 전사 조직의 규모, 업무, 서비스의 특성, 처리하는 정보 및 개인정보의 중요도, 민감도, 법 규제 등을 고려하여야 함
    • 실무조직은 전담조직 또는 겸임조직으로 구성할 수 있으나, 겸임조직으로 구성하더라도 실질적인 역할 수행이 가능하도록 역할 및 책임이 공식적으로 부여되어야 함
    • 실무조직의 구성원은 정보보호 및 개인정보보호 전문성과 다양한 서비스에 대한 이해도와 경험이 많은 직원으로 구성해야 함(관련 학위 및 자격증 보유, 실무 경험 보유, 관련 전문 교육 이수 등)
  • 조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하여야 한다.
    • 정보보호 위원회는 정보보호 및 개인정보보호 관련하여 조직 내 이해관계를 대변하고 의사결정을 할 수 있도록 경영진, 임원, 정보보호 최고책임자, 개인정보 보호책임자 등 실질적인 검토 및 의사결정 권한이 있는 임직원으로 구성
    • 정기 또는 사안에 따라 수시로 위원회를 개최
    • 위원회는 조직전반에 걸친 주요 사안에 대한 검토, 승인 및 의사결정을 수행
    •    ※ 위원회에서 검토 및 의사결정이 필요한 주요 사안(예시)

         - 정보보호 및 개인정보보호 정책ㆍ지침의 제ㆍ개정

         - 위험평가 결과

         - 정보보호 및 개인정보보호 예산 및 자원 할당

         - 내부 보안사고 및 주요 위반사항에 대한 조치

         - 내부감사 결과 등

  • 전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하여야 한다.
    • 조직의 규모 및 관리체계 범위 내 서비스의 중요도에 따라 실무 협의체 구성원, 조직체계 등을 결정
    • 실무협의체에서는 정보보호 및 개인정보보호 관련 사항에 대해 실무 차원에서 공유ㆍ조정ㆍ검토ㆍ개선하고, 의사 결정 및 경영진 지원이 필요한 경우에는 위원회에 상정하여 논의


● 결함사례


  • 정보보호 및 개인정보보호 위원회를 구성하였으나, 임원 등 경영진이 포함되어 있지 않고 실무부서의 장으로 구성되어 있어 조직의 중요 정보 및 개인정보 보호에 관한 사항을 결정할 수 없는 경우
  • 경우내부 지침에 따라 중요 정보처리부서 및 개인정보처리부서의 장(팀장급)으로 구성된 정보보호 및 개인정보보호 실무협의체를 구성하였으나 장기간 운영 실적이 없는 경우
  • 정보보호 및 개인정보보호위원회를 개최하였으나 연간 정보보호 및 개인정보보호 계획 및 교육계획, 예산 및 인력 등 정보보호 및 개인정보보호에 관한 주요 사항이 검토 및 의사결정 되지 않은 경우


● taeho's notes


  • 정보보호조직의 구성은 각 구성원 및 주변 임직원이 인지할 수 있도록 공식적으로 공표되고 공식적인 인사발령을 통해 이루어져야 하며 그 증적이 남아 있어야 한다.
  • 정보보호활동을 위한 실무조직 구성원의 전담 혹은 겸직 허용 여부는 전사 조직의 규모와 매출 그리고 겸직하는 업무의 종류 등에 따라 합리적으로 판단하여야 한다.
  • 정보보호위원회에는 전사적으로 반영될 정보보호 활동에 대한 의사결정을 하는 조직이므로 각 사업부문(본부, 부서 등)의 장(경영진에 해당하는)을 포함하는 것이 바람직하다.
  • 정보보호위원회는 정기적으로 개최되어야 하며 위의 주요 사안에 대한 의사결정에 따른 회의록(참석자 표시)이 작성되어 있어야 한다.
  • 조직의 규모에 따라 정보보호 위원회의 의사결정 사항의 시행방안을 협의하거나 정보보호 위원회에 의사결정을 요구할 수 있는 실무협의회 또한 필요할 수 있다. (조직이 작다면 없을 수도 있음)
  • 정보보호 위원회 및 실무 협의회의 활동은 모두 기록되어야 한다.