|
항목
|
1.1.2. 최고책임자의 지정
|
|
키워드
|
CISO‧CPO 공식지정, 자격요건
|
|
인증기준
|
최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산·인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.
|
|
주요 확인사항
|
최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가?
정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며, 관련 법령에 따른 자격요건을 충족하고 있는가?
|
|
관련 법규
|
개인정보 보호법 제29조(안전조치의무), 제31조(개인정보 보호책임자의 지정)
정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)
개인정보의 안전성 확보조치 기준 제4조(내부관리계획의 수립·시행)
개인정보의 기술적·관리적 보호조치 기준 제3조(내부관리계획의 수립·시행)
|
|
증거자료
(예시)
|
정보보호 최고책임자 및 개인정보 보호책임자 임명관련 자료(인사명령, 인사카드 등)
정보보호 및 개인정보보호 조직도
정보보호 및 개인정보보호 정책·지침
직무기술서(정보보호 최고책임자 및 개인정보 보호책임자의 역할 및 책임에 관한 사항)
정보보호 최고책임자 지정 내역
내부관리계획(개인정보 보호책임자 지정에 관한 사항)
|
|
결함사례
|
사례 1 : 정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 정보보호 최고책임자를 지정 및 신고하지 않은 경우
사례 2 : 개인정보 보호법을 적용받는 민간기업이 개인정보 처리업무 관련 임원이 존재함에도 불구하고 부서장을 개인정보 보호책임자로 지정한 경우
사례 3 : 조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고 있으나, 인사발령 등의 공식적인 지정절차를 거치지 않은 경우
사례 4 : ISMS 인증 의무대상자이면서 전년도 말 기준 자산총액이 5천억 원을 초과한 정보통신서비스제공자이지만 정보보호 최고책임자가 CIO를 겸직하고 있는 경우
|
'▶ ISMS-P 인증심사원 (정보보호 및 개인정보보호 관리체계) > └ ISMS-P 인증기준' 카테고리의 다른 글
| 1.1.6. 자원 할당 (0) | 2023.04.02 |
|---|---|
| 1.1.5. 정책 수립 (0) | 2023.04.02 |
| 1.1.4. 범위 설정 (0) | 2023.04.02 |
| 1.1.3. 조직 구성 (0) | 2023.04.02 |
| 1.1.1. 경영진의 참여 (0) | 2023.04.02 |
댓글