인증기준
- 최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 합니다.
주요 확인사항
- 관리체계 수립 및 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는지 확인합니다.
- 경영진이 정보보호 및 개인(신용)정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립하고 이행하는지 점검합니다.
세부 설명
- 의사결정권이 있는 경영진의 참여를 보장하기 위해 관련 책임과 역할을 정보보호 정책서 또는 시행문서에 명시해야 합니다.
- 정책의 제·개정, 위험관리, 내부감사 등 관리체계 운영의 중요 사안에 경영진이 참여할 수 있는 근거를 마련해야 합니다.
- 조직의 규모와 특성에 맞게 정기 또는 비정기 보고 체계(위원회 참여 등)를 수립하고 절차, 대상, 주기를 결정해야 합니다.
- 금융보안원 소관 지침에 따르면 정보기술부문에 대한 계획, 정보보안 관련 법규 준수여부 점검 결과, 정보보호위원회 심의 사항 등을 보고하거나 승인받아야 합니다.
결함 사례
- 사례 1 : 정책서에 분기별 현황 보고를 명시했으나 장기간 관련 보고를 수행하지 않은 경우
- 사례 2 : 위험평가, 위험수용수준 결정 등 중요 의사결정에 경영진 또는 권한을 위임받은 자가 참여하지 않았거나 증적이 없는 경우