ISMS-P -1.1.1

1.1 관리체계 기반 마련

 

1.1.1 경영진의 참여

 

인증기준

 

최고 경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다.

-> 최고 경영자는 체계랑 운영활동에 경영진이 참여하게 좀 설계를 잘해라

 

주요 확인상황

 

정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는가?

->  경영진이 참여할 수 있도록하는 체계가 잘 운영되고 있고 그 관련된 것들이 문서화가 되어있냐?

 

경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고 검토 및 승인 절차를 수립 이행하고 있는가?

-> 경영진이 적극적으로 참여할 수 있게 체제를 짜고 보고 검토 승인절차등을 수립 이행하고 있냐?

 

 

 

의사결정권이 있는 경영진의 참여가 이루어 져야함.

보고, 의사결정 등의 책임과 역할이 문서화 되어야함.

정책의 관리체계 운영의 중요사안에 대해 경영진이 참여 할 수 있도록 활동 근거를 정책 또는 시행문서에 명시해야함.

보고 검토 및 승인 절차가 있어야함.

정보보호 및 개인정보보호 관리체계 관련 활동이 경영진이 참여하는 중요한 활동으로 정의해야함.

보고 체계도 마련해야함.

조직의 규모, 특성에 맞게 체계를 마련해야함. -> 획일화 x 

주요 사항에 대하여 경영진이 보고 받고 의사결정에 참여.

 

 

 

증적 자료 등 준비사항

 

- 정보보호 및 개인정보보호 보고 체계 (의사소통계획 등)

- 정보보호 및 개인정보보호 위원회 회의록

- 정보보호 및 개인정보보호 정책, 지침 (경영진 승인내역 포함)

- 정보보호계획 및 내부관리계획(경영진 승인내역 포함)

- 정보보호 및 개인정보보호 조직도

 

 

결함 사례

 

1. 분기별로 정보보호 및 개인정보보호 현황을 경영진에게 보고하도록 명시했으나, 장기간 관련 보고를 수행하지 않음

 

2. 정보보호활동을 수행하면서 활동 관련 보고, 승인등 의사결정에 경영진 또는 경영진의 권한을 위임받은자가 참여하지 않았거나 관련 증적이 확인되지 않음

 

 

 

 

한줄평 : 정책과 체계의 유무,경영진의 참여와 문서화 및 기록이 중요하구나~