관리체계 인증기준 1번째 영역인 '1. 관리체계 수립 및 운영' 부터 살펴보자.
이번 영역에서는 총 16개의 세부 인증기준을 다루게 된다. 우리는 그 중에서 '1.1. 관리체계 기반 마련' 분야에서 '1.1.1 경영진의 참여' 항목을 확인해보자.
위와 같은 인증기준과 확인사항을 확인해보면 이번 항목에서는 경영진이 적극적으로 기업의 정보보호 및 개인정보보호 활동에 참여가 이루어지고 있는지 확인하고, 그에 맞는 절차가 수립 및 이행되고 있는지 확인하게 된다.
해당 '1.1.1 경영진의 참여'의 활동을 증빙하기 위한 증적자료 예시는 다음과 같다.
다음은 참고할 수 있는 증적자료 예시이다. 해당 자료들을 이용하여 인증심사 자료 준비에 도움이 됬으면 한다.
- 정보보호 및 개인정보보호 정책 및 지침
- 개인정보 내부관리계획 / 개인정보보호 교육계획 / 수탁사 관리 감독 및 위수탁 계약서
해당 파일을 참고하여 기업에 맞는 내부관리계획을 작성하고 정기적으로 개인정보교육을 실시하길 바란다.
또한 업무의 위수탁이 발생하는 경우 그게 수탁업체와의 위수탁 계약서 작성하고 연간 정기적으로 수탁업체를 관리 감독할 수 있는 방안을 마련하길 바란다.
위와 같은 활동들은 증적자료로 활용할 수 있도록 정책의 변경 이력과 교육실시 이력을 기록하면 된다.
- 개인정보처리방침 작성
개인정보처리방침 작성 가이드라인을 참고하여 작성 후 개인정보처리자의 인터넷 홈페이지에 지속적으로 게재해야 한다. 만약 인터넷 홈페이지에 게재할 수 없는 경우 아래 방법으로 공개해야 한다.
1. 개인정보처리자 사무소 등의 보기 쉬원 장소에 게시
2. 간행물, 소식지, 홍보지, 청구서 등에 지속적 게재
3. 개인정보처리자 사무소가 있는 지역을 주된 보급지역으로 하는 일반일간신문 등에 게재(개인정보처리자가 공공기관인 경우는 관보에 게재 가능)
4. 재화·용역 제공을 위해 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급
- 정보보호 및 개인정보보호 위원회
현재 항목에서는 ISMS-P의 정보보호 위원회를 다루게 되지만 전자금융감독규정 상의 정보보호 위원회와의 비교를 해보면 도움이 될 것이다.
정보보호 위원회에 관한 전자금융감독규정과 ISMS-P의 가장 큰 차이는 위원회의 구성에 있다. 전자금융감독규정에서 정보보호 위원회는 임원이 아닌 정보보호 관련 부서장으로 구성되어 있다. 회의 참석자들이 임원이 아니면 그 회의에서의 결정사항이 전사에 의미 있는 영향을 주긴 어렵다. 아예 그 회의에서 전사에 영향을 미칠 만한 의사결정을 하지 않으려고 할 수도 있다.
반면, ISMS-P에서는 경영진, 임원이 들어가 있고, 결함의 사례로 “정보보호 및 개인정보보호 위원회를 구성하였으나, 임원 등 경영진이 포함되어 있지 않고 실무부서의 장으로 구성되어 있어 조직의 중요 정보 및 개인정보보호에 관한 사항을 결정할 수 없는 경우”라고 명시하여 임원의 참여를 중시하였다.
회사에서 정보보호 위원회를 운영할 때 크게 2가지 점에 유의하여야 한다. 하나는 위원회의 구성이고 다른 하나는 의제이다. 일반적으로 기업에서 전사적으로 중요한 의사결정은 CEO까지 올라가는 결재 절차나 CEO가 참석하는 임원회의에서 결정한다. 위원회를 전사적인 의사결정 구조로 만들려면 CEO가 위원장을 맡는 것이 바람직하다. “정보보호 경영위원회”라고 위원회 이름에 굳이 ‘경영’을 넣은 이유다.
의제도 정보보호 법규나 사내 중요한 보안사고 또는 동종 업계의 보안사고, 전사에 영향을 미칠 주요 보안 정책 등 임원들이 참석하여 토론하고 의사결정에 참여할 수 있는 의제를 선택해야 한다. 기술적인 내용은 가능한 한 제외하는 것이 좋다. 위원회를 만들지 않고, 분기에 한 번씩 임원 회의를 위원회 회의로 갈음할 수도 있다. 중요한 건 CEO와 주요 임원들이 참석하여 정보보호 주요 사안에 관해 토론하고 결정하는 회의를 개최하는 것이다. 그리고 그 회의를 열기 전에 정보보호 실무협의체가 가동하여 의제를 협의하고, 이전 회의에서 결정한 사안의 후속 조치 진행사항을 점검하며, 회의 뒤에는 회의의 결정사항을 전사 관련 조직이 수행할 수 있도록 구체화하여 전달하고 후속 조치를 관리해야 회의체가 제대로 작동한다.
이렇게 정보보호 경영위원회에서 전사 업무에 영향을 미칠 수 있는 주요 의제들을 다룸으로써 전사 정보보호 업무 수행과정에서 필요한 협업 의제가 논의, 결정될 수 있고, 정보보호 업무 수행과정에서 발생할 수 있는 조직간 갈등 요인도 회의에서 정리될 수 있다. 그러면 정보보호 경영위원회가 전사 정보보호 협업의 근간으로 작동하게 된다.
정보보호 경영위원회와 정보보호 실무협의체의 구성과 역할은 다음과 같다.
다음은 결함사례를 살펴보자.
'정보보호 관리체계 > ISMS-P' 카테고리의 다른 글
| [ISMS/ISMS-P] 1.1.5 정책 수립 (0) | 2021.11.06 |
|---|---|
| [ISMS/ISMS-P] 1.1.4 범위 설정 (0) | 2021.11.05 |
| [ISMS/ISMS-P] 1.1.3 조직 구성 (0) | 2021.11.03 |
| [ISMS/ISMS-P] 1.1.2 최고책임자의 지정 (0) | 2021.11.02 |
| [ISMS/ISMS-P] 정보보호 및 개인정보보호 관리체계 인증 소개 (0) | 2021.11.01 |