인증기준
- 정보보호와 개인정보보호 정책 및 시행 문서를 수립하고, 경영진의 승인을 받아 임직원에게 전달하여야 합니다.
주요 확인사항
- 모든 활동의 근거가 되는 최상위 정책을 수립하고 있는지 확인합니다.
- 세부 방법과 절차를 규정한 지침, 매뉴얼 등을 수립하고 있는지 점검합니다.
- 정책 제·개정 시 최고경영자 또는 위임받은 자의 승인을 받고, 최신본을 임직원이 쉽게 알 수 있도록 공유하는지 확인합니다.
세부 설명
- 최상위 정책에는 경영진의 의지 및 방향, 역할과 책임, 대상과 범위 등이 포함되어야 합니다.
- 하위 실행 문서는 서버 보안, 네트워크 보안, 개인정보 처리 등 각 분야별로 구체적으로 수립해야 합니다.
- 개인정보 처리를 위해 내부관리계획을 관련 법규 요건을 포함하여 수립해야 합니다.
결함 사례
- 사례 1 : 내부 규정상 위원회 의결을 거쳐야 함에도 최고책임자 승인만으로 정책을 개정한 경우
- 사례 2 : 정책 및 지침서가 개정되었으나 임직원에게 공유되지 않아 구버전을 기준으로 업무를 수행하는 경우