ISMS-P인증심사 2.1.2 조직의유지관리 (KPI, R&R 용어의미)

정보보호 및 개인정보보호 관리체계(ISMS-P) 인증기준의 두 번째 카테고리 (보호대책) 중 두 번째 항목인 조직의 유지관리에 대해 알아보기에 앞서 중요한 단어 표현과 의미를 짚어보겠습니다. 

 

KPI (Key Performance Indicator, 핵심 성과 지표) ?

비즈니스에서 주요 목표를 달성하기 위해 필요한 성과를 객관적으로 평가하는 척도로 사용

• 다양한 유형과 예시
  • 구체적인 목표 (Specific): 특정 작업과 연관된 목표 설정
  • 측정 가능한 목표 (Measurable): 성공과 실패를 분명히 판단할 수 있도록 정량적인 수단 설정
  • 달성 가능한 목표 (Achievable): 현실적인 범위 내에서 목표 설정
  • 현실적인 목표 (Realistic): 리소스 관리 등을 고려하여 현실적인 목표 설정
  • 기한이 정해진 목표 (Time-bound): 명확한 종료일 설정

 

R&R (Role and Responsibilities, 역할과 책임)?

조직 내에서 개인이 맡은 역할과 그에 따른 책임. 효율적으로 조직 내 업무를 분담하고, 역할과 책임을 명확히 정의할 경우 협업을 원활하게 진행하는 데 도움이 되며, 시행착오를 줄이고 비용과 시간을 절약할 수 있도록 합니다. 

• 역할 (Role) : 개인이 조직 내에서 수행하는 특정 작업, 기능 또는 업무
  • 예시)  IT 부서의 역할은 시스템 유지보수, 보안 감사, 네트워크 관리 등
    - 조직의 목표를 달성하는 데 필요한 활동을 포함
• 책임 (Responsibility) : 개인이 자신의 역할을 수행하는 동안 부여받은 의무나 책임
  • 예시) 시스템 관리자의 책임은 시스템 장애 대응, 보안 패치 적용, 사용자 지원 등
    - 업무를 성공적으로 수행하고 조직의 목표를 달성하는 데 필요한 사항

 

 

 

※ 인증기준(2.1.2 조직의 유지관리) 관련 법규 

• 「개인정보 보호법」 제29조(안전조치의무), 제31조(개인정보 보호책임자의 지정)
• 「정보통신망법」 제45조의 3(정보보호 최고책임자의 지정 등)
• 「개인정보의 안전성 확보조치 기준」 제4조(내부 관리계획의 수립·시행 및 점검)

인증항목		인증기준	주요 확인사항
2.1.2	조직의 유지관리	조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다.	정보보호 및 개인정보보호 관련 책임자와 담당자의 역할 및 책임을 명확히 정의하고 있는가?
			정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가?
			정보보호 및 개인정보보호 관련 조직 및 조직의 구성원간 상호 의사소통할 수 있는 체계 및 절차를 수립∙이행하고 있는가?

 

정보보호 및 개인정보보호 업무 수행과 관련된 조직의 특성을 고려하여 관련 책임자와 담당자의 역할 및 책임을 시행문서에 구체적으로 정의하여야 합니다. 아래의 책임자 및 담당자 등이 CISO 및 CPO의 업무를 실무적으로 지원·이행할 수 있도록 직무기술서 등을 통하여 책임 및 역할을 구체적으로 정의가 필요합니다. 

• 정보보호 최고책임자 및 개인정보 보호책임자
• 정보보호, 개인정보보호 관리자 및 담당자
• 부서별 정보보호, 개인정보보호 책임자 및 담당자

정보보호 최고책임자(CISO), 개인정보 보호책임자(CPO)는 법적 요구사항 등을 반영하여 아래와 같은 업무를 수행

정보보호 최고책임자	개인정보 보호책임자
「정보통신망법」 제45조의3(정보보호 최고책임자의 지정 등)	「 개인정보 보호법」 제31조(개인정보 보호책임자의 지정)
 정보보호 관리체계의 수립·시행 및 개선  정보보호 실태와 관행의 정기적인 감사 및 개선  정보보호 위험의 식별 평가 및 정보보호 대책 마련  정보보호 교육과 모의 훈련 계획의 수립 및 시행  그 밖에 정보통신망법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행	 개인정보 보호 계획의 수립 및 시행  개인정보 처리 실태 및 관행의 정기적인 조사 및 개선  개인정보 처리와 관련한 불만의 처리 및 피해 구제  개인정보 유출 및 오·남용 방지를 위한 내부통제 시스템의 구축  개인정보 보호 교육 계획의 수립 및 시행  개인정보파일의 보호 및 관리·감독  개인정보 처리방침의 수립·변경 및 시행  개인정보보호 관련 자료의 관리  처리목적이 달성되거나 보유기간이 경과한 개인정보의 파기

「정보통신망법」 제45조의3(정보보호 최고책임자의 지정 등)

 

① 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하고 과학기술정보통신부장관에게 신고하여야 한다. 다만, 자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우에는 정보보호 최고책임자를 신고하지 아니할 수 있다.

② 제1항에 따른 신고의 방법 및 절차 등에 대해서는 대통령령으로 정한다.

③ 제1항 본문에 따라 지정 및 신고된 정보보호 최고책임자(자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우로 한정한다)는 제4항의 업무 외의 다른 업무를 겸직할 수 없다. 

④ 정보보호 최고책임자의 업무는 다음 각 호와 같다.
1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.
가. 정보보호 계획의 수립ㆍ시행 및 개선
나. 정보보호 실태와 관행의 정기적인 감사 및 개선
다. 정보보호 위험의 식별 평가 및 정보보호 대책 마련
라. 정보보호 교육과 모의 훈련 계획의 수립 및 시행
2. 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.
가. 「정보보호산업의 진흥에 관한 법률」 제13조에 따른 정보보호 공시에 관한 업무
나. 「정보통신기반 보호법」 제5조 제5항에 따른 정보보호책임자의 업무
다. 「전자금융거래법」 제21조의 2 제4항에 따른 정보보호최고책임자의 업무
라. 「개인정보 보호법」 제31조 제2항에 따른 개인정보 보호책임자의 업무
마. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

⑤ 정보통신서비스 제공자는 침해사고에 대한 공동 예방 및 대응, 필요한 정보의 교류, 그 밖에 대통령령으로 정하는 공동의 사업을 수행하기 위하여 제1항에 따른 정보보호 최고책임자를 구성원으로 하는 정보보호 최고책임자 협의회를 구성ㆍ운영할 수 있다. 

⑥ 정부는 제5항에 따른 정보보호 최고책임자 협의회의 활동에 필요한 경비의 전부 또는 일부를 지원할 수 있다. 

⑦ 정보보호 최고책임자의 자격요건 등에 필요한 사항은 대통령령으로 정한다. 

「 개인정보 보호법」 제31조(개인정보 보호책임자의 지정)

 

① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다. 다만, 종업원 수, 매출액 등이 대통령령으로 정하는 기준에 해당하는 개인정보처리자의 경우에는 지정하지 아니할 수 있다. 

② 제1항 단서에 따라 개인정보 보호책임자를 지정하지 아니하는 경우에는 개인정보처리자의 사업주 또는 대표자가 개인정보 보호책임자가 된다. 

③ 개인정보 보호책임자는 다음 각 호의 업무를 수행한다. 
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리ㆍ감독
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무

④ 개인정보 보호책임자는 제3항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다. 

⑤ 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다. 

⑥ 개인정보처리자는 개인정보 보호책임자가 제3항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 되며, 개인정보 보호책임자가 업무를 독립적으로 수행할 수 있도록 보장하여야 한다. 

⑦ 개인정보처리자는 개인정보의 안전한 처리 및 보호, 정보의 교류, 그 밖에 대통령령으로 정하는 공동의 사업을 수행하기 위하여 제1항에 따른 개인정보 보호책임자를 구성원으로 하는 개인정보 보호책임자 협의회를 구성ㆍ운영할 수 있다. 

⑧ 보호위원회는 제7항에 따른 개인정보 보호책임자 협의회의 활동에 필요한 지원을 할 수 있다. 

⑨ 제1항에 따른 개인정보 보호책임자의 자격요건, 제3항에 따른 업무 및 제6항에 따른 독립성 보장 등에 필요한 사항은 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정한다.

 

정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하여야 합니다. 

• 조직 내 핵심성과지표(KPI), MBO(Management By Objectives), 인사평가 등 정보보호 및 개인정보보호 
  활동을 평가할 수 있는 방안을 마련하여 주기적으로 평가 수행

정보보호 및 개인정보보호 관련 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계 및 절차를 수립·이행하여야 합니다.

•  정보보호 및 개인정보보호 관련 의사소통 관리계획 예시사항
   · 의사소통 관리 계획 개요 : 목적 및 범위
   · 의사소통 체계 : 전사 협의체, 실무 협의체, 위원회 등 보고 및 협의체 운영방안, 참여 대상, 참여대상별 역할 및 책임, 주기 등
   · 의사소통 방법 : 보고 및 회의(월간보고, 주간보고 등), 공지, 이메일, 메신저, 정보보호포털 등
   · 의사소통 양식 : 유형별 보고서 양식, 회의록 양식 등

의사소통을 위한 자료공유 게시판 예시화면

 

 

 

※ 인증기준(2.1.2 조직의 유지관리) 관련 증적자료 예시 

• 정보보호 및 개인정보보호 조직도
• 정보보호 및 개인정보보호 조직 직무기술서
• 정보보호 및 개인정보보호 업무 분장표
• 정보보호 및 개인정보보호 정책·지침, 내부 관리계획
• 정보보호 및 개인정보보호 의사소통 관리계획
• 의사소통 수행 이력(월간보고, 주간보고, 내부공지 등)
• 의사소통 채널(정보보호포털, 게시판 등)

 

※ 인증기준(2.1.2 조직의 유지관리) 결함사례 

• 사례 1
   : 내부 지침 및 직무기술서에 정보보호 최고책임자, 개인정보 보호책임자 및 관련 담당자의 역할과 책임을 정의하고 있으나, 실제 운영현황과 일치하지 않는 경우
• 사례 2
  : 정보보호 최고책임자 및 관련 담당자의 활동을 주기적으로 평가할 수 있는 목표, 기준, 지표 등의 체계가 마련되어 있지 않은 경우
• 사례 3
  : 내부 지침에는 부서별 정보보호 담당자는 정보보호와 관련된 KPI를 설정하여 인사평가 시 반영하도록 되어 있으나, 부서별 정보보호 담당자의 KPI에 정보보호와 관련된 사항이 전혀 반영되어 있지 않은 경우
• 사례 4
  : 정보보호 최고책임자 및 개인정보 보호책임자가 지정되어 있으나, 관련 법령에서 요구하는 역할 및 책임이 내부 지침이나 직무기술서 등에 구체적으로 명시되어 있지 않은 경우