K-ISMS 인증기준 - 정보보호관리과정
2. 경영진 책임 및 조직구성
2.1 경영진 참여
정보보호 관리체계 수립 및 운영 등 조직이 수행하는 정보보호 활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여야 한다.
2.1.1 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는가?
ㅇ 정보보호 관리체계 수립 및 운영을 위한 정보보호정책의 제 ∙ 개정 승인 및 공표, 위험관리, 내부감사 등과 같은 중요한 사안에 대해 경영진이 참여하여 의사결정을 할 수 있도록 경영진의 책임과 역할을 정보보호정책에 명시하여야 한다. |
2.1.2 경영진 또는 경영진의 권한을 위임받은 자가 정보보호 관리체계 내 중요한 활동 내용을 보고 받고 의사결정에 참여하고 있는가?
ㅇ 정보보호 관리체계에서 경영진이 참여하는 중요한 활동을 정의하고 그에 따른 보고체계를 갖추어야 한다. ㅇ 정보보호 관리체계 내 중요한 활동에 대해 경영진은 직접 또는 권한 위임을 통해 보고를 받고 의사결정에 참여하여야 한다. |
2.2 정보보호 조직 구성 및 자원 할당
최고경영자는 조직의 규모, 업무 중요도 분석을 통해 정보보호 관리체계의 지속적인 운영이 가능하도록 정보보호 최고책임자, 실무조직 등 정보보호 조직을 구성하고 정보보호 관리체계 운영 활동을 수행하는데 필요한 자원(예산 및 인력)을 확보하여야 한다.
2.2.1 조직의 규모, 업무 중요도 등의 특성을 고려하여 정보보호 관리체계 구축 ∙ 운영 활동을 지속적으로 수행할 수 있는 정보보호 조직(CISO, 실무조직, 정보보호위원회 등)을 구성하고 있는가?
ㅇ 최고경영자는 정보보호 관리체계의 지속적인 운영이 가능하도록 조직의 규모, 업무 중요도 등에 따라 요구되는 정보보호 조직을 구성하여야 한다. |
2.2.2 최고경영자는 정보보호 관리체계 구축 ∙ 운영에 소요되는 자원을 평가하여 필요한 예산과 인력을 승인하고 있는가?
ㅇ 최고경영자는 정보보호 관리체계 구축 및 운영을 하는데 필요한 자원을 파악하여 예산 및 인력운영계획을 승인하여야 한다. ㅇ 예산 및 인력운영에 대해 다음의 사항을 권고할 수 있다. - 정보보호 예산은 정보화 예산대비 5%이상, 정보보호 인력은 정보화 투입인력 대비 5% 이상으로 운영 - IT투자 대비 정보보호 투자 비율, 정보보호 인력 및 조직 등에 관한 사항의 홈페이지 공개 |
'ISMS' 카테고리의 다른 글
[K-ISMS 인증기준] 정보보호관리과정 4. 정보보호대책 구현 (0) | 2017.06.13 |
---|---|
[K-ISMS 인증기준] 정보보호관리과정 3. 위험관리 (0) | 2017.06.13 |
[K-ISMS 인증기준] 정보보호관리과정 1. 정보보호정책수립 및 범위설정 (0) | 2017.06.13 |
[K-ISMS 인증기준] 정보보호관리과정 #ALL (0) | 2017.06.12 |
[정보통신망법] 개인정보의 기술적관리적 보호조치 기준 (0) | 2017.06.12 |