정보보호 및 개인정보 보호를 위해서는 경영진의 적극적 참여를 기반으로 해야합니다.
5인 미만의 사업체의 경우 정보보호와 개인정보 보호 책임자를 따로 구성하기 힘들기 때문에 사업주 혼자서 보안을 맡기보다 팀장급 인원을 보호책임자로 겸직을 두어, 사업주와 함께 운영하세요.
5인 미만의 사업장의 경우 소상공인으로 분류됨에 따라 연매출 10억이상 120억 미만정도가 아닌이상 정보보호 책임자의 구성의 필요가 없어집니다.
조직의 규모에 따라 특성을 고려하여 후에 다룰 챕터들의 정보보호 및 개인정보보호 관리체계를 구축해 나아가세요.
추후, 사업의 성장에 따라 위원회의 구성을 세부적으로 나누는 노력이 필요하며 정보보호 및 개인
정보보호 전문성, 서비스 이해도, 경험이 풍부한 직원의 구성을 통해서 조직을 단단하게 발전해 나아가세요.
특히 실무조직의 경우 실질적인 보안활동을 수행하기 때문에 구성원을 정보보호 및 개인정
보보호 전문성과 다양한 서비스에 대한 이해도과 경험이 많은 직원으로 구성해야한다.
위원회는 정보보호 및 개인정보보호 관련사항에 대한 검토, 승인 및 의사결정을 하기에 조직
내 이해관계를 대변하고 의사결정을 할 수 있는 경영진과 임원, 정보보호 최고 책임자, 개인
정보 보호책임자 등 의사결정 권한이 있는 임직원으로 구성하는 것을 사업체의 달성과제 입니다.
조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정합니다.
관리체계 범위에는 사업과 관련된 임직원, 정보시스템, 정보, 시설 등 유· 무형의 핵심자 산 등 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 누락 없이 포함해야합니다.
사업체의 발전에 따라 isms-p의 의무대상자가 되었을 경우 법적 요구사항에 따른 정보 통신서비스 및 관련 정보자산을 포함하여야 합니다.
핵심 자산: 소규모 사업체의 경우에도 중요한 서비스와 핵심 정보자산을 명확히 식별하여 범위에 포함합니다.
정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용이 포함된 문서를 작성하여 관리하여야 합니다.
정보보호 및 개인정보보호 정책에 명시된 사항을 구체적으로 시행하기 위한 세부 방법, 절차, 주기, 수행주체 등을 규정하는 지침, 절차, 매뉴얼, 가이드 등을 조직의 특성에 맞게 수립해야 한다.
정책을 수립하는데 있어, 단순히 승인이 아닌 안건 상정을 통해 의결이 필요함. 개정된 내역에 대해서는 모든 인원이 확인할 수 있도록 최신화된 규정을 공유해야 하며, 공유 방식에 있어 임직원이 쉬운 형태로 조회할 수 있는 방법을 제공해야 함.
최고경영자는 정보보호 및 개인정보보호 분야에서 전문 지식과 관련 자격, 실무 경력 등을 보유한 인력을 확보해야한다. (정보보호 및 개인정보보호 관련 학위나 자격증 보유, 실무경력 보유, 직무교육 이수 등)
최고경영자는 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위하여 필요한 자원을 평가하여 필요한 예산과 인력을 지원하여야 한다. 매년 예산 및 인력운영 계획을 수립하고 승인. 예산 및 인력운영 계획에 따라 필요한 자원(인력, 조직, 예산 등)을 지속적으로 지원.
최고경영자는 해당 연도의 정보보호 및 개인정보보호 업무를 효과적으로 수행하기 위한 세부추진 계획을 수립하고 시행. 경영진에게 세부추진 계획을 보고하고, 추진 결과에 대한 심사분석 및 평가를 수행하여 경영진에게 보고. 사업체 분야와 관련된 전문 인력을 구성해야한다. 최고 경영자가 보안 솔루션의 비용을 지원하고, 인증을 취득한 이후에도 지속적인 지원을 하여야한다. (매년 정보보호 및 개인정보보호 업무 세부추진 계획을 수립·시행하고, 그 추진 결과에 대한 심사분석·평가를 실시)
5인 미만의 사업체로서 회사의 발전에 따라서 전문 지식과 자격, 실무 경력을 보유한 인력을 확보해야 한다, 최고 경영자는 매년 정보보호 및 개인정보보호 관리체계의 효과적 구축과 지속적인 운영을 위해 필요한 자원을 평가하고, 그에 따른 예산을 수립하며 필요한 자산을 적극적으로 지원해야함.