ISMS-P 인증 기준 1.1.6.자원 할당 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
| 최신판 | 당신의 편집 | ||
| 1번째 줄: | 1번째 줄: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]] | |||
*'''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]] | * '''분류''': [[ISMS-P 인증 기준 1.1.관리체계 기반 마련|1.1.관리체계 기반 마련]] | ||
*'''분류''': [[ISMS-P 인증 기준 1.1.관리체계 기반 마련|1.1.관리체계 기반 마련]] | == 개요 == | ||
==개요== | |||
{| class="wikitable" | {| class="wikitable" | ||
!항목 | !항목 | ||
!1.1.6.자원 할당 | !1.1.6.자원 할당 | ||
|- | |- | ||
| style="text-align:center" |'''인증기준''' | | style="text-align:center"|'''인증기준''' | ||
|최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다. | |최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
* 정보보호 및 개인정보보호 분야별 | * 정보보호 및 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고 있는가? | ||
* 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위해 필요한 자원을 평가하여 필요한 예산과 인력을 지원하고 있는가? | |||
*정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위해 | * 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립·시행하고 그 추진결과에 대한 심사분석·평가를 실시하고 있는가? | ||
*연도별 정보보호 및 개인정보보호 업무 | |||
|} | |} | ||
== 세부 설명 == | |||
* 최고경영자는 정보보호 및 개인정보보호 활동을 원활하게 수행하기 위하여 분야별 전문성을 갖춘인력을 확보하여야 한다. | |||
** 전문 지식 및 관련 자격 보유(정보보호 및 개인정보보호 관련 학위 또는 자격증 보유) | |||
** 정보보호 및 개인정보보호 관련 실무 경력 보유 | |||
최고경영자는 정보보호 및 개인정보보호 활동을 원활하게 수행하기 위하여 분야별 전문성을 갖춘인력을 확보하여야 한다. | ** 정보보호 및 개인정보보호 관련 직무교육 이수 등 | ||
* 최고경영자는 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위하여 필요한 자원을평가하여 필요한 예산과 인력을 지원하여야 한다. | |||
*전문 지식 및 관련 자격 보유(정보보호 및 개인정보보호 관련 학위 또는 자격증 보유) | ** 매년 정보보호 및 개인정보보호 관리체계의 효과적 구축 및 지속적 운영을 위하여 필요한 예산과 자원을 평가하여 예산 및 인력운영 계획 수립 및 승인 | ||
*정보보호 및 개인정보보호 관련 실무 경력 보유 | ** 예산 및 인력운영계획에 따라 필요한 자원(인력, 조직, 예산 등)을 지속적으로 지원 | ||
*정보보호 및 개인정보보호 관련 직무교육 이수 등 | * 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립·시행하고 그 추진결과에 대한 심사분석·평가를 실시하여야 한다. | ||
** 해당 연도의 정보보호 및 개인정보보호 업무를 효과적으로 수행하기 위한 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립하고 경영진 보고 및 시행 | |||
** 세부추진 계획에 따른 추진결과를 심사분석 및 평가하여 경영진에게 보고 | |||
최고경영자는 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위하여 필요한 | == 증거 자료 == | ||
* 정보보호 및 개인정보보호 활동 연간 추진계획서(예산 및 인력운영계획) | |||
*매년 정보보호 및 개인정보보호 관리체계의 효과적 구축 및 지속적 운영을 위하여 필요한 예산과 자원을 평가하여 예산 및 인력운영 계획 수립 및 승인 | * 정보보호 및 개인정보보호 활동 결과 보고서 | ||
*예산 및 인력운영계획에 따라 필요한 자원(인력, 조직, 예산 등)을 지속적으로 지원 | * 정보보호 및 개인정보보호 투자 내역 | ||
* 정보보호 및 개인정보보호 조직도 | |||
== 결함 사례 == | |||
연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립·시행하고 그 추진결과에 대한 심사분석·평가를 실시하여야 한다. | * 정보보호 및 개인정보보호 조직을 구성하는데, 분야별 전문성을 갖춘 인력이 아닌 정보보호 관련 또는 IT 관련 전문성이 없는 인원으로만 보안인력을 구성한 경우 | ||
* 개인정보처리시스템의 기술적·관리적 보호조치의 요건을 갖추기 위한 보안 솔루션 등의 비용을 최고경영자가 지원하지 않고 법적 위험을 수용하고 있는 경우 | |||
*해당 연도의 정보보호 및 개인정보보호 업무를 효과적으로 수행하기 위한 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립하고 경영진 보고 및 시행 | * 인증을 취득한 이후에 인력과 예산 지원을 대폭 줄이고 기존 인력을 다른 부서로 배치하거나 일부 예산을 다른 용도로 사용하는 경우 | ||
*세부추진 계획에 따른 추진결과를 심사분석 및 평가하여 경영진에게 보고 | == 같이 보기 == | ||
* [[정보보호 및 개인정보보호관리체계 인증]] | |||
==증거 자료== | * [[ISMS-P 인증 기준]] | ||
* [[ISMS-P 인증 기준 세부 점검 항목]] | |||
*정보보호 및 개인정보보호 활동 연간 추진계획서(예산 및 인력운영계획) | == 참고 문헌 == | ||
*정보보호 및 개인정보보호 활동 결과 보고서 | * 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | ||
*정보보호 및 개인정보보호 투자 내역 | |||
*정보보호 및 개인정보보호 조직도 | |||
==결함 사례== | |||
*정보보호 및 개인정보보호 조직을 구성하는데, 분야별 전문성을 갖춘 인력이 아닌 정보보호 관련 또는 IT 관련 전문성이 없는 인원으로만 보안인력을 구성한 경우 | |||
*개인정보처리시스템의 기술적·관리적 보호조치의 요건을 갖추기 위한 보안 솔루션 등의 비용을 최고경영자가 지원하지 않고 법적 위험을 수용하고 있는 경우 | |||
*인증을 취득한 이후에 인력과 예산 지원을 대폭 줄이고 기존 인력을 다른 부서로 배치하거나 일부 예산을 다른 용도로 사용하는 경우 | |||
==같이 보기== | |||
*[[정보보호 및 개인정보보호관리체계 인증]] | |||
*[[ISMS-P 인증 기준]] | |||
*[[ISMS-P 인증 기준 세부 점검 항목]] | |||
==참고 문헌== | |||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | |||
