태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.


1.1.6 자원 할당


최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다.



● 주요 점검 사항


  • 정보보호 및 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고 있는가?
  • 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위해 필요한 자원을 평가하여 필요한 예산과 인력을 지원하고 있는가?
  • 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립ㆍ시행하고 그 추진결과에 대한 심사분석ㆍ평가를 실시하는가?

● 세부 설명


  • 최고경영자는 정보보호 및 개인정보보호 활동을 원활하게 수행하기 위하여 분야별 전문성을 갖추 인력을 확보하야여 한다.
    • 전문 지식 및 관련 자격 보유(정보보호 및 개인정보보호 관련 학위 또는 자격증 보유)
    • 정보보호 및 개인정보보호 관련 실무 경력 보유
    • 정보보호 및 개인정보보호 관련 직무교육 이수 등
  • 최고경영자는 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위해 필요한 자원을 평가하여 필요한 예산과 인력을 지원하여야 한다.
    • 매년 정보보호 및 개인정보보호 관리체계의 효과적 구축 및 지속적 운영을 위하여 필요한 예산과 지원을 평가하여 예산 및 인력운영 계획 수립 및 승인
    • 예산 및 인력운영계획에 따라 필요한 지원(인력, 조직, 예산 등)을 지속적으로 지원
    • 정보보호 및 개인정보보호 정책·시행문서 제·개정 시 최고경영자 또는 최고경영자로부터 권한을 위임 받은 자의 승인을 받아야 한다.
  • 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립ㆍ시행하고 그 추진결과에 대한 심사분석ㆍ평가를 실시하여야 한다.
    • 해당 연도의 정보보호 및 개인정보보호 업무를 효과적으로 수행하기 위한 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립하고 경영진 보고 및 시행
    • 세부추진 계획에 따른 추진결과를 심사분석 및 평가하여 경영진에게 보고

● 결함 사례


  • 정보보호 및 개인정보보호 조직을 구성하는데, 분야별 전문성을 갖춘 인력이 아닌 정보보호 관련 또는 IT 관련 전문성이 없는 인원으로만 보안인력을 구성한 경우
  • 개인정보처리시스템의 기술적ㆍ관리적 보호조치의 요건을 갖추기 위한 보안 솔루션 등의 비용을 최고경영자가 지원하지 않고 법적 위험을 수용하고 있는 경우
  • 인증을 취즉한 이후에 인력과 예산 지원을 대폭 줄이고 기존 인력을 타부서로 배치하거나 일부 예산을 다른 용도로 사용하는 경우


● taeho's notes


  • 조직에서 "자원"이라 함은 결국 예산과 인력을 의미한다. 조직의 규모와 보유하고 있는 정보시스템 및 개인정보 및 기밀을 내부 및 외부의 위협으로부터 보호할 수 있는 충분한 인력과 예산을 투입하고 있는지를 평가하여야 한다.
  • 정보보호관리 등급제를 참고하면 다음과 같은 기준을 제시할 수 있다.
    • 정보보호 전담인력의 비율을 외주 및 아웃소싱을 제외하고 전체 임직원 대비 0.25% 이상을 유지할 경우 우수, 0.5% 이상으로 유지할 경우 최우수 등급을 부여한다.
    • 예산의 경우 IT 예산 대비 정보보호 예산의 1년 비율이 5%일 경우 우수, 3년 평균 7%의 비율을 유지할 경우 최우수 등급을 부여한다.
  • 연단위로 작성되는 연간 정보보호 계획서에 해당하는 문서(CISO 혹은 CEO의 승인을 받은)에 인력의 유지 및 증원 계획, 정보보호솔루션의 도입, 정보보호컨설팅 계획 등을 종합하여 부족하거나 퇴보하고 있지는 않은지 확인해야 한다.
  • 정보통신망법 및 개인정보의 기술적ㆍ관리적 보호조치 기준 고시의 기술적인 요건과 개인정보보호법 및 개인정보의 안전성 확보조치 기준 고시의 기술보안 요건은 CISO 및 CEO의 승인을 받더라도 위험관리 상의 "수용"으로 처리될 수 없다. 이는 보안솔루션의 도입 및 자체개발 등을 떠나 무조건적으로 보호대책이 수립될 수 있도록 인력 및 예산을 투입하여야 하는 법적인 의무다. 이러한 법적인 의무를 이행하기 위한 자원이 할당되어 있는지를 평가하여야 한다.


#ISMS-P인증기준  #정책수립 #정보보호관리체계