인증기준
- 최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 주요 사항을 심의·의결하는 위원회, 부서별 담당자로 구성된 협의체를 구성하여 운영하여야 합니다.
주요 확인사항
- 전문성을 갖춘 실무조직을 구성하여 운영하고 있는지 확인합니다.
- 조직 전반의 중요 사항에 대해 의사결정을 할 수 있는 위원회를 구성하고, 금융회사의 경우 전자금융거래 안전성 확보 사항을 심의하는지 점검합니다.
- 전사적 활동을 위한 실무 협의체를 구성하고 있는지 확인합니다.
세부 설명
- 위원회는 경영진, 임원, CISO, CPO 등 실질적인 검토 및 의사결정이 가능한 인원으로 구성해야 합니다.
- 실무조직은 전문 지식과 실무 경험을 갖춘 인력으로 구성해야 하며, 금융회사의 경우 전체 인력 대비 일정 비율 이상의 보안 인력을 확보하도록 노력해야 합니다.
- 위원회에서는 정책 제·개정, 위험평가 결과, 예산 및 자원 할당 등을 심의·의결합니다.
결함 사례
- 사례 1 : 위원회에 경영진이 포함되지 않아 중요 사항을 결정할 수 없는 경우
- 사례 2 : 실무 협의체를 구성했으나 장기간 운영 실적이 없는 경우
- 사례 3 : 위원회에서 연간 계획이나 예산 등 주요 안건이 검토 및 의결되지 않은 경우