1. 관리체계 수립 및 운영 (16개)
[두음] 기위운점
| 1.1 관리체계 기반 마련 | 1.1.1 경영진의 참여 |
| 1.1.2 최고책임자의 지정 | |
| 1.1.3 조직 구성 | |
| 1.1.4 범위 설정 | |
| 1.1.5 정책 수립 | |
| 1.1.6 자원 할당 |
국법헌중고 교3 자4 학행, 사대임부,
천오백 상만학 정백 (ISMS 인증 의무대상자)
CISO / CPO 공식 지정, 임원급, 자격요건
핵심 키워드
정보보호 최고책임자(CISO), 개인정보보호 책임자(CPO), 임원급 지정, 자격요건 충족
최고경영자는 CISO, CPO를 공식적으로 지정
임원급 지정 및 법령 자격 요건 충족
CPO 지정 요건(민간, 공공)
CISO 지정 및 과기정통부 신고 기준
관련 법규
□ 개인정보 보호법 제29조(안전조치의무), 제31조(개인정보 보호책임자의 지정)
□ 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)
□ 개인정보의 안전성 확보조치 기준 제4조(내부관리계획의 수립·시행)
□ 개인정보의 기술적·관리적 보호조치 기준 제3조(내부관리계획의 수립·시행)
개인정보 보호법 시행령 / 제32조(개인정보 보호책임자의 업무 및 지정요건 등)
연관 두음
▶ 개인정보 보호책임자 지정요건 (공공기관)
[두음] 국법헌중고 교3 자4 학행
국회, 법원, 헌법재판소, 중앙선거관리위원회, 고위공무원
교육청, 3급
자치구, 4급
학교, 행정사무
▶ 개인정보 보호책임자 지정요건 (민간기업)
[두음] 사대임부
사업주, 대표자, 임원, 부서의 장
인증기준
최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와
개인정보보호 업무를 총괄하는 개인정보보호 책임자를
예산 · 인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.
주요 확인사항
* 최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고 책임자를
공식적으로 지정하고 있는가?
* 정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는
임원급으로 지정하고 있으며, 관련 법령에 따른 자격요건을 충족하고 있는가?
세부 설명
□ 최고경영자는 조직 내에서 정보보호 및 개인정보보호 관리 활동을 효과적으로 추진하기 위하여
이를 총괄하여 책임질 수 있는 정보보호 최고책임자 및 개인정보 보호책임자를
인사발령 등의 절차를 통하여 공식적으로 지정하여야 한다.
□ 정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고
관련 법령에 따른 자격요건을 충족하여야 한다(※정보통신망법 시행령 제36조의7 참고)
※ 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여
대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하고
과학기술정보통신부장관에게 신고.
다만, 대통령령으로 정하는 기준에 해당하는 경우 신고 예외
▶ 정보보호 최고책임자 지정에 대한 법적 요건 준수 필요(※정보통신망법 제45조의3 참고)
□ 정보보호 최고책임자는 다음 업무 수행
▶ 개인정보 보호책임자 지정에 대한 법적 요건 준수 필요(※개인정보 보호법 시행령 제32조 참고)
□ 개인정보 보호책임자는 다음 업무 수행
▶ 개인정보 보호책임자 지정요건 (공공기관)
[두음] 국법헌중고 교3 자4 학행
국회, 법원, 헌법재판소, 중앙선거관리위원회, 고위공무원
교육청, 3급
자치구, 4급
학교, 행정사무
▶ 개인정보 보호책임자 지정요건 (민간기업)
[두음] 사대임부
사업주, 대표자, 임원, 부서의 장
결함사례
사례 1 :
정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고
정보 보호 최고책임자를 지정 및 신고하지 않은 경우
사례 2 :
개인정보 보호법을 적용받는 민간기업이 개인정보 처리업무 관련 임원이 존재함에도 불구하고
부서장을 개인정보 보호책임자로 지정한 경우
사례 3 :
조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고 있으나,
인사발령 등의 공식적인 지정절차를 거치지 않은 경우
사례 4 :
ISMS 인증 의무대상자이면서
전년도 말 기준 자산총액이 5천억 원을 초과한 정보통신서비스 제공자이지만
정보보호 최고책임자가 CIO를 겸직하고 있는 경우
출처
ISMS-P 인증기준 안내서(2022.4.22)
연계정보
1. 개인정보 보호법 시행령 [시행 2022. 10. 20.] [대통령령 제32813호, 2022. 7. 19., 일부개정]
www.law.go.kr
2023.02.20 - [정보통신망법 & 시행령] - 정보통신망법 - 제45조의3(정보보호 책임자의 지정 등)
정보통신망법 - 제45조의3(정보보호 책임자의 지정 등)
정보통신망 이용촉진 및 정보보호 등에 관한 법률 (law.go.kr) 정보통신망 이용촉진 및 정보보호 등에 관한 법률 www.law.go.kr 제45조의3(정보보호 최고책임자의 지정 등) ① 정보통신서비스 제공자는
taikun30.tistory.com
ISMS-P 인증기준: 1.1.2 최고책임자의 지정 (meganad.github.io)
1.1.2 최고책임자의 지정
ISMS인증 의무대상자 [정보통신망법 제47조 제2항] ISP : 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 IDC (vIDC: 100억) 매출액 또는 세입 1,500억원 이상 상급종합병원 매출액 또는
meganad.github.io
'도전! ISMS-P 인증 심사원 > 1. 관리체계 수립 및 운영' 카테고리의 다른 글
| 1.1.6 자원 할당 (0) | 2023.01.05 |
|---|---|
| 1.1.5 정책 수립 (0) | 2023.01.05 |
| 1.1.4 범위 설정 (0) | 2023.01.05 |
| 1.1.3 조직 구성 (0) | 2023.01.04 |
| 1.1.1 경영진의 참여 (0) | 2023.01.02 |
댓글