ISMS-P 인증심사 - (관리체계) 1.1.2 최고책임자의 지정

※ 내용 중 강조표시(붉은색 + 굵게) 되어있는 문구는 주요 키워드입니다. 

분야		항목		인증기준	주요 확인사항
1.1.	관리체계 기반 마련	1.1.2	최고책임자의 지정	최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산∙인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.	최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가?
					정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며 관련 법령에 따른 자격요건을 충족하고 있는가?

 

※ 관련법규

• 「개인정보 보호법」 제29조(안전조치의무), 제31조(개인정보 보호책임자의 지정)
• 「정보통신망법」 제45조의 3(정보보호 최고책임자의 지정 등)
• 「개인정보의 안전성 확보조치 기준」 제4조(내부 관리계획의 수립·시행 및 점검)

최고경영자는 조직 내에서 정보보호 및 개인정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄하여 책임질 수 있는 정보보호 최고책임자 및 개인정보 보호책임자를 인사발령 등의 절차를 통하여 공식적으로 지정하여야 합니다.

▶ 정보보호 최고책임자 및 개인정보 보호책임자는 인사발령 등을 통하여 공식으로 임명하여야 하며, 당연직의 경우 정보보호 및 개인정보보호 정책서에 그 직위를 명시하여야 함  정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 관련 법령에 따른 자격요건을 충족하여야 합니다. (※ 정보통신망법 시행령 제36조의 7 참고).

▶ 정보보호 최고책임자 및 개인정보 보호책임자는 조직의 정보보호 및 개인정보보호 업무를 실질적으로 총괄할 수 있도록 정보보호 및 개인정보보호 관련 지식 및 소양이 있는 자로서 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정

※ 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하고 과학기술정보통신부장관에게 신고. 다만, 대통령령으로 정하는 기준에 해당하는 경우 신고 예외 적용됩니다. 

▶ 정보보호 최고책임자 지정에 대한 법적 요건 준수 필요

정보보호 최고책임자 지정요건(※ 정보통신망법 시행령 제36조의 7 제1항)

정보보호 최고책임자는 다음 업무를 수행하여야 합니다. 

1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.

가. 정보보호 계획의 수립·시행 및 개선

나. 정보보호 실태와 관행의 정기적인 감사 및 개선

다. 정보보호 위험의 식별 평가 및 정보보호 대책 마련

라. 정보보호 교육과 모의 훈련 계획의 수립 및 시행

2. 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.

가. ｢정보보호산업의 진흥에 관한 법률｣ 제13조에 따른 정보보호 공시에 관한 업무

나. ｢정보통신기반 보호법｣ 제5조 제5항에 따른 정보보호 책임자의 업무

다. ｢전자금융거래법｣ 제21조의 2 제4항에 따른 정보보호 최고책임자의 업무

라. ｢개인정보 보호법｣ 제31조 제2항에 따른 개인정보 보호책임자의 업무

마. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

 

 

▶  개인정보 보호책임자 지정에 대한 법적 요건 준수 필요

개인정보보호 책임자 지정요건 (개인정보 보호법 시행령 제32조)

구분		지정요건
공공기관	국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관	고위공무원단에 속하는 공무원(이하 “고위공무원”이라 한다) 또는 그에 상당하는 공무원
	정무직공무원을 장(長)으로 하는 국가기관	3급 이상 공무원(고위공무원을 포함한다) 또는 그에 상당하는 공무원
	그 외 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관	4급 이상 공무원 또는 그에 상당하는 공무원
	그 외의 국가기관(소속 기관을 포함)	해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장
	시ㆍ도 및 시ㆍ도 교육청	3급 이상 공무원 또는 그에 상당하는 공무원
	시ㆍ군 및 자치구	4급 이상 공무원 또는 그에 상당하는 공무원
	「초ㆍ중등교육법」, 「고등교육법」, 그 밖의 다른 법률에 따라 설치된 각급 학교	해당 학교의 행정사무를 총괄하는 사람
	위  기관 외의 공공기관	개인정보 처리 관련 업무를 담당하는 부서의 장. 다만, 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당 공공기관의 장이 지명하는 부서의 장이 된다.
민간기업		사업주 또는 대표자
		임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장) ※ '임원이 없는 경우'에 대한 질의 응답 - 개인정보 보호법 및 2차 시행령 개정사항 안내(2024.3.12)

 

개인정보 보호책임자는 다음의 업무를 수행합니다.

1. 개인정보 보호 계획의 수립 및 시행

2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선

3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제

4. 개인정보 유출 및 오·남용 방지를 위한 내부통제시스템 구축

5. 개인정보 보호 교육 계획의 수립 및 시행

6. 개인정보파일의 보호 및 관리·감독

7. 개인정보 처리방침의 수립·변경 및 시행

8. 개인정보 보호 관련 자료의 관리

9. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

 

※ 개인정보 보호책임자 경력 인정 요건

-  개인정보 보호법 및 2차 시행령 개정사항 안내(2024.3.12)

증적 필요 사항 예시

• 정보보호 최고책임자 및 개인정보 보호책임자 임명 관련 자료(인사명령, 인사카드 등)
• 정보보호 및 개인정보보호 조직도
• 정보보호 및 개인정보보호 정책·지침
• 직무기술서(정보보호 최고책임자 및 개인정보 보호책임자의 역할 및 책임에 관한 사항)
• 정보보호 최고책임자 신고 내역
• 내부 관리계획(개인정보 보호책임자 지정에 관한 사항

 

결함사례

• 사례 1
   : 정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 정보보호 최고책임자를 지정 및 신고하지 않은 경우
• 사례 2
  : 개인정보 보호와 관련된 실질적인 권한 및 지위를 보유하고 있지 않은 인원을 개인정보 보호 책임자로 지정하고 있어, 개인정보 처리에 관한 업무를 총괄해서 책임질 수 있다고 보기 어려운 경우
• 사례 3
   : 조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고 있으나, 인사발령 등의 공식적인 지정절차를 거치지 않은 경우
• 사례 4
   : ISMS 인증 의무대상자이면서 전년도 말 기준 자산총액이 5천억 원을 초과한 정보통신서비스 제공자이지만 정보보호 최고책임자가 CIO를 겸직하고 있는 경우