인증기준
- 최고경영자는 정보보호 업무를 총괄하는 **정보보호 최고책임자(CISO)**와 개인정보보호 업무를 총괄하는 **개인정보 보호책임자(CPO)**를 예산·인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 합니다.
주요 확인사항
- 최고책임자를 공식적으로 지정하고 있는지 확인합니다.
- CISO, CPO 및 신용정보관리·보호인이 임원급인지, 관련 법령에 따른 자격요건을 충족하고 있는지 점검합니다.
세부 설명
- 최고책임자는 인사발령 등의 절차를 통해 공식 임명해야 하며, 당연직인 경우 정책서에 그 직위를 명시해야 합니다.
- 정보통신망법 및 전자금융거래법 등에 따른 겸직 제한 및 지정 요건을 준수해야 합니다.
- CISO는 정보보호 계획 수립, 실태 점검, 위험 식별 및 대책 마련 등의 업무를 총괄해야 합니다.
결함 사례
- 사례 1 : 법적 의무 대상자임에도 최고책임자를 지정 및 신고하지 않은 경우
- 사례 2 : 임원이 존재함에도 부서장을 최고책임자로 지정하거나, 인사발령 등 공식 절차가 누락된 경우
- 사례 3 : CISO가 CIO를 겸직하는 등 법적 겸직 제한 규정을 위반한 경우