관리체계 수립 및 운영
1.1 관리체계 기반 마련
| 항목 | 1.1.1 경영진의 참여 |
| 인증기준 | 최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다. |
| 주요 확인사항 |
|
세부 설명
정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 의사결정권이 있는 경영진의 참여가 이루어질 수 있도록 보고, 의사결정 등의 책임과 역할을 문서화하여야 한다.
▶ 정보보호 및 개인정보보호 정책의 제·개정, 위험관리, 내부감사 등 관리체계 운영의 중요 사안에 대하여 경영진이 참여할 수 있도록 활동의 근거를 정보보호 및 개인정보보호 정책 또는 시행문서에 명시
경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립·이행하여야 한다.
▶ 정보보호 및 개인정보보호 관리체계 내 경영진이 참여하는 중요한 활동을 정의하고, 그에 따른 보고체계 마련(정기·비정기 보고, 위원회 참여 등)
▶ 경영진이 효과적으로 관리체계 수립·운영에 참여할 수 있도록 조직의 규모 및 특성에 맞게 보고 및 의사결정 절차, 대상, 주기 등 결정
▶ 수립된 내부절차에 따라 정보보호 및 개인정보보호 관리체계 내 주요 사항에 대하여 경영진이 보고를 받고 의사결정에 참
증거자료 예시
정보보호 및 개인정보보호 보고 체계(의사소통계획 등)
정보보호 및 개인정보보호 위원회 회의록
정보보호 및 개인정보보호 정책·지침(경영진 승인내역 포함)
정보보호계획 및 내부 관리계획(경영진 승인내역 포함)
정보보호 및 개인정보보호 조직도
결함사례
사례 1 : 정보보호 및 개인정보보호 정책서에 분기별로 정보보호 및 개인정보보호 현황을 경영진에게 보고하도록 명시하였으나, 장기간 관련 보고를 수행하지 않은 경우
사례 2 : 중요 정보보호 활동(위험평가, 위험수용수준 결정, 정보보호대책 및 이행계획 검토, 정보보호대책 이행결과 검토, 보안감사 등)을 수행하면서 관련 활동관련 보고, 승인 등 의사결정에 경영진 또는 경영진의 권한을 위임받은 자가 참여하지 않았거나 관련 증거자료가 확인되지 않은 경우
나의 생각
정보보호 및 개인정보보호 관리체계 수립을 위해서는 경영진 참여를 매우 중요하게 여긴다.
경영진이란 반드시 CEO가 되는것이기 보다는 C레벨 (CEO, CFO,CISO) 등과 같은 최상위 임원진을 말한다.
경영진 참여 대상은 단순히 실무가 아니라 의사결정권을 가진 전체로 볼수 있음.
중요한것은 이 들이 개인정보보호 관리체계 즉 "개인정보 내부관리규칙" 이나 "정보보호 내부관리 규칙" 등의 문서에 최종 서명을 이 경영진들의 최종 승인이 있는 것 들이 모두 해당된다.
또한 정보보호 및 개인정보보호 조직도를 만들어 놓고 이 체계 구성원 들이 주기적인 위원회 활동을 해야한다.
물론 이런 주기적인 활동에 대한 증빙을 남겨야 하는데
가장 쉽게 증빙할수 있는게 문서화 밖에 없지 않겠는가 ? 즉 회의록을 남겨 놓아야 한다.
물론 그렇게 바쁜 고위 임원분들을 모시고, 매번 정기적 회의를 하는곳이 있을가 생각하지만,
어떻게 보면 감사팀이나 정보보호팀의 활동 및 정기회의들이 여기에도 포함될 수도 있다고 생각된다.
회사라면 내부관리계획이 체계적으로 갖춰져 있고, 이 안에서 모든것을 해결할 수도 있을것으로 보인다.
내부관리계획에 조직도부터 시작해서, 보고 체계 및 담당자 선정, 그들의 역할까지 명시되어 있을것이고
이 정책에 최종 경영진의 승인이 들어가 있을것이다.
또한 주기적인 정보보호 팀이나 개인정보보호 팀의 활동이력에 최종 의사결정권자 경영진의 보고 체계가 갖춰져 증빙을 남긴다면 문제없이 넘어가지 않을가 생각된다.
키 포인트
▶ 대부분 정기적 회의에서 의사결정 사항에 대해서 경영진들이 참석자에 누락되어 있거나, 최고경영자 보고 결재가 없는 경우
▶ 내부관리규칙에 최종 승인이 최고경영자 승인이 없는 경우