ISMS-P (관리체계) 1.1.6 자원 할당

정보보호관리체계(ISMS)와 정보보호 및 개인정보보호관리체계(ISMS-P) 인증을 준비함에 있어서 공통적으로 해당이 되는 항목 중 관리체계를 구현하고 관리하기 위하여 실질적인 예산과 자원을 할당하여 관리하고 있는지를 확인하는 1.1.6 자원할당 항목입니다. 

by, 빙챗

 

※ 인증기준 

• 최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다.

※  주요 확인사항

• 정보보호 및 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고 있는가?
• 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위하여 필요한 자원을 평가하여 필요한 예산과 인력을 지원하고 있는가?
• 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립·시행하고, 그 추진결과에 대한 심사분석·평가를 실시하고 있는가

★ '자원 할당'의 핵심키워드 : 전문성

 

※ 인증기준  상세 설명

• 최고경영자는 정보보호 및 개인정보보호 활동을 원활하게 수행하기 위하여 분야별 전문성을 갖춘 인력을 확보하여야 합니다.
  ▶ 전문 지식 및 관련 자격 보유(정보보호 및 개인정보보호 관련 학위 또는 자격증 보유)
  ▶ 정보보호 및 개인정보보호 관련 실무 경력 보유
  ▶ 정보보호 및 개인정보보호 관련 직무교육 이수 등
   
• 최고경영자는 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위하여 필요한 자원을 평가하여 필요한 예산과 인력을 지원하여야 합니다.
  ▶ 매년 정보보호 및 개인정보보호 관리체계의 효과적 구축 및 지속적 운영을 위하여 필요한 예산과 자원을 평가하여 예산 및 인력운영 계획 수립 및 승인
  ▶ 예산 및 인력운영계획에 따라 필요한 자원(인력, 조직, 예산 등)을 지속적으로 지원
   
• 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립·시행하고 그 추진결과에 대한 심사분석· 평가를 실시하여야 합니다.
  ▶ 해당 연도의 정보보호 및 개인정보보호 업무를 효과적으로 수행하기 위한 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립하고 경영진 보고 및 시행
  ▶ 세부추진 계획에 따른 추진결과를 심사분석 및 평가하여 경영진에게 보고

 

※  증거자료 예시

• 정보보호 및 개인정보보호 활동 연간 추진계획서(예산 및 인력운영계획)
• 정보보호 및 개인정보보호 활동 결과 보고서
• 정보보호 및 개인정보보호 투자 내역
• 정보보호 및 개인정보보호 조직도

※  결함사례

• 사례 1
   : 정보보호 및 개인정보보호 조직을 구성하는데, 분야별 전문성을 갖춘 인력이 아닌 정보보호 관련 또는 IT 관련 전문성이 없는 인원으로만 보안인력을 구성한 경우
• 사례 2
   : 개인정보처리시스템의 기술적·관리적 보호조치의 요건을 갖추기 위한 최소한의 보안 솔루션(Security Solution) 도입, 안전조치 적용 등을 위한 비용을 최고경영자가 지원하지 않고 있는 경우
• 사례 3
   : 인증을 취득한 이후에 인력과 예산 지원을 대폭 줄이고 기존 인력을 다른 부서로 배치하거나 일부 예산을 다른 용도로 사용하는 경우