[K-ISMS 인증기준] 정보보호관리과정 2. 경영진 책임 및 조직구성

K-ISMS 인증기준 - 정보보호관리과정

---

2. 경영진 책임 및 조직구성

2.1 경영진 참여

정보보호 관리체계 수립 및 운영 등 조직이 수행하는 정보보호 활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여야 한다.

2.1.1 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는가?

ㅇ 정보보호 관리체계 수립 및 운영을 위한 정보보호정책의 제 ∙ 개정 승인 및 공표, 위험관리, 내부감사 등과 같은 중요한 사안에 대해 경영진이 참여하여 의사결정을 할 수 있도록 경영진의 책임과 역할을 정보보호정책에 명시하여야 한다.

2.1.2 경영진 또는 경영진의 권한을 위임받은 자가 정보보호 관리체계 내 중요한 활동 내용을 보고 받고 의사결정에 참여하고 있는가?

ㅇ 정보보호 관리체계에서 경영진이 참여하는 중요한 활동을 정의하고 그에 따른 보고체계를 갖추어야 한다. ㅇ 정보보호 관리체계 내 중요한 활동에 대해 경영진은 직접 또는 권한 위임을 통해 보고를 받고 의사결정에 참여하여야 한다.

2.2 정보보호 조직 구성 및 자원 할당

최고경영자는 조직의 규모, 업무 중요도 분석을 통해 정보보호 관리체계의 지속적인 운영이 가능하도록 정보보호 최고책임자, 실무조직 등 정보보호 조직을 구성하고 정보보호 관리체계 운영 활동을 수행하는데 필요한 자원(예산 및 인력)을 확보하여야 한다. 

2.2.1 조직의 규모, 업무 중요도 등의 특성을 고려하여 정보보호 관리체계 구축 ∙ 운영 활동을 지속적으로 수행할 수 있는 정보보호 조직(CISO, 실무조직, 정보보호위원회 등)을 구성하고 있는가?

ㅇ 최고경영자는 정보보호 관리체계의 지속적인 운영이 가능하도록 조직의 규모, 업무 중요도 등에 따라 요구되는 정보보호 조직을 구성하여야 한다.

2.2.2 최고경영자는 정보보호 관리체계 구축 ∙ 운영에 소요되는 자원을 평가하여 필요한 예산과 인력을 승인하고 있는가?

ㅇ 최고경영자는 정보보호 관리체계 구축 및 운영을 하는데 필요한 자원을 파악하여 예산 및 인력운영계획을 승인하여야 한다. ㅇ 예산 및 인력운영에 대해 다음의 사항을 권고할 수 있다.  - 정보보호 예산은 정보화 예산대비 5%이상, 정보보호 인력은 정보화 투입인력 대비 5% 이상으로 운영  - IT투자 대비 정보보호 투자 비율, 정보보호 인력 및 조직 등에 관한 사항의 홈페이지 공개