ISMS-P 인증 기준 1.1.6.자원 할당: Difference between revisions

From IT Wiki
(Imported from text file)
 
No edit summary
 
(6 intermediate revisions by 3 users not shown)
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
 
* '''분류''': [[ISMS-P 인증기준 1.1.관리체계 기반 마련|1.1.관리체계 기반 마련]]
*'''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 1.1.관리체계 기반 마련|1.1.관리체계 기반 마련]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!1.1.6.자원 할당
!1.1.6.자원 할당
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다.
|최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 정보보호 및 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고 있는가?
* 정보보호 및 개인정보보호 분야별 '''전문성을 갖춘 인력을 확보'''하고 있는가?
* 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위해 필요한 자원을 평가하여 필요한 예산과 인력을 지원하고 있는가?
 
* 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립·시행하고 그 추진결과에 대한 심사분석·평가를 실시하고 있는가?
*정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위해 '''필요한 자원을 평가하여 필요한 예산과 인력을 지원'''하고 있는가?
**'''(가상자산사업자)''' 가상자산 거래 서비스의 안전성 확보 및 이용자 보호를 위해 정보기술(IT) 부문과 정보보호에 필요한 예산과 인력을 지원하고 있는가? <br/> *권고
***정보보호 예산을 정보기술(IT) 부문 예산의 100분의7 이상으로 편성
***정보기술(IT)부문 인력은 총 임직원 수의 100분의5이상, 정보보호인력은 정보기술(IT)부문 인력의 100분의5이상 확보
*연도별 정보보호 및 개인정보보호 업무 '''세부추진 계획을 수립·시행'''하고 그 추진결과에 대한 '''심사분석·평가를 실시'''하고 있는가?
|}
|}
== 세부 설명 ==


* 최고경영자는 정보보호 및 개인정보보호 활동을 원활하게 수행하기 위하여 분야별 전문성을 갖춘인력을 확보하여야 한다.
==세부 설명==
** 전문 지식 및 관련 자격 보유(정보보호 및 개인정보보호 관련 학위 또는 자격증 보유)
 
** 정보보호 및 개인정보보호 관련 실무 경력 보유
==== 분야별 전문 인력 확보 ====
** 정보보호 및 개인정보보호 관련 직무교육 이수 등
최고경영자는 정보보호 및 개인정보보호 활동을 원활하게 수행하기 위하여 분야별 전문성을 갖춘인력을 확보하여야 한다.
* 최고경영자는 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위하여 필요한 자원을평가하여 필요한 예산과 인력을 지원하여야 한다.
 
** 매년 정보보호 및 개인정보보호 관리체계의 효과적 구축 및 지속적 운영을 위하여 필요한 예산과 자원을 평가하여 예산 및 인력운영 계획 수립 및 승인
*전문 지식 및 관련 자격 보유(정보보호 및 개인정보보호 관련 학위 또는 자격증 보유)
** 예산 및 인력운영계획에 따라 필요한 자원(인력, 조직, 예산 등)을 지속적으로 지원
*정보보호 및 개인정보보호 관련 실무 경력 보유
* 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립·시행하고 그 추진결과에 대한 심사분석·평가를 실시하여야 한다.
*정보보호 및 개인정보보호 관련 직무교육 이수 등
** 해당 연도의 정보보호 및 개인정보보호 업무를 효과적으로 수행하기 위한 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립하고 경영진 보고 및 시행
 
** 세부추진 계획에 따른 추진결과를 심사분석 및 평가하여 경영진에게 보고
==== 필요 자원 평가 및 예산·인력 지원 ====
== 증거 자료 ==
최고경영자는 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위하여 필요한 자원을 평가하여 필요한 예산과 인력을 지원하여야 한다.
* 정보보호 및 개인정보보호 활동 연간 추진계획서(예산 및 인력운영계획)
 
* 정보보호 및 개인정보보호 활동 결과 보고서
*매년 정보보호 및 개인정보보호 관리체계의 효과적 구축 및 지속적 운영을 위하여 필요한 예산과 자원을 평가하여 예산 및 인력운영 계획 수립 및 승인
* 정보보호 및 개인정보보호 투자 내역
*예산 및 인력운영계획에 따라 필요한 자원(인력, 조직, 예산 등)을 지속적으로 지원
* 정보보호 및 개인정보보호 조직도
 
== 결함 사례 ==
==== 세부 추진계획 수립·시행 및 결과 평가 ====
* 정보보호 및 개인정보보호 조직을 구성하는데, 분야별 전문성을 갖춘 인력이 아닌 정보보호 관련 또는 IT 관련 전문성이 없는 인원으로만 보안인력을 구성한 경우
연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립·시행하고 그 추진결과에 대한 심사분석·평가를 실시하여야 한다.
* 개인정보처리시스템의 기술적·관리적 보호조치의 요건을 갖추기 위한 보안 솔루션 등의 비용을 최고경영자가 지원하지 않고 법적 위험을 수용하고 있는 경우
 
* 인증을 취득한 이후에 인력과 예산 지원을 대폭 줄이고 기존 인력을 다른 부서로 배치하거나 일부 예산을 다른 용도로 사용하는 경우
*해당 연도의 정보보호 및 개인정보보호 업무를 효과적으로 수행하기 위한 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립하고 경영진 보고 및 시행
== 같이 보기 ==
*세부추진 계획에 따른 추진결과를 심사분석 및 평가하여 경영진에게 보고
* [[정보보호 및 개인정보보호관리체계 인증]]
 
* [[ISMS-P 인증 기준]]
==증거 자료==
* [[ISMS-P 인증 기준 세부 점검 항목]]
 
== 참고 문헌 ==
*정보보호 및 개인정보보호 활동 연간 추진계획서(예산 및 인력운영계획)
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
*정보보호 및 개인정보보호 활동 결과 보고서
*정보보호 및 개인정보보호 투자 내역
*정보보호 및 개인정보보호 조직도
 
==결함 사례==
 
*정보보호 및 개인정보보호 조직을 구성하는데, 분야별 전문성을 갖춘 인력이 아닌 정보보호 관련 또는 IT 관련 전문성이 없는 인원으로만 보안인력을 구성한 경우
*개인정보처리시스템의 기술적·관리적 보호조치의 요건을 갖추기 위한 보안 솔루션 등의 비용을 최고경영자가 지원하지 않고 법적 위험을 수용하고 있는 경우
*인증을 취득한 이후에 인력과 예산 지원을 대폭 줄이고 기존 인력을 다른 부서로 배치하거나 일부 예산을 다른 용도로 사용하는 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==
 
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)

Latest revision as of 18:12, 21 January 2024


개요[edit | edit source]

항목 1.1.6.자원 할당
인증기준 최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다.
주요 확인사항
  • 정보보호 및 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고 있는가?
  • 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위해 필요한 자원을 평가하여 필요한 예산과 인력을 지원하고 있는가?
    • (가상자산사업자) 가상자산 거래 서비스의 안전성 확보 및 이용자 보호를 위해 정보기술(IT) 부문과 정보보호에 필요한 예산과 인력을 지원하고 있는가?
      *권고
      • 정보보호 예산을 정보기술(IT) 부문 예산의 100분의7 이상으로 편성
      • 정보기술(IT)부문 인력은 총 임직원 수의 100분의5이상, 정보보호인력은 정보기술(IT)부문 인력의 100분의5이상 확보
  • 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립·시행하고 그 추진결과에 대한 심사분석·평가를 실시하고 있는가?

세부 설명[edit | edit source]

분야별 전문 인력 확보[edit | edit source]

최고경영자는 정보보호 및 개인정보보호 활동을 원활하게 수행하기 위하여 분야별 전문성을 갖춘인력을 확보하여야 한다.

  • 전문 지식 및 관련 자격 보유(정보보호 및 개인정보보호 관련 학위 또는 자격증 보유)
  • 정보보호 및 개인정보보호 관련 실무 경력 보유
  • 정보보호 및 개인정보보호 관련 직무교육 이수 등

필요 자원 평가 및 예산·인력 지원[edit | edit source]

최고경영자는 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위하여 필요한 자원을 평가하여 필요한 예산과 인력을 지원하여야 한다.

  • 매년 정보보호 및 개인정보보호 관리체계의 효과적 구축 및 지속적 운영을 위하여 필요한 예산과 자원을 평가하여 예산 및 인력운영 계획 수립 및 승인
  • 예산 및 인력운영계획에 따라 필요한 자원(인력, 조직, 예산 등)을 지속적으로 지원

세부 추진계획 수립·시행 및 결과 평가[edit | edit source]

연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립·시행하고 그 추진결과에 대한 심사분석·평가를 실시하여야 한다.

  • 해당 연도의 정보보호 및 개인정보보호 업무를 효과적으로 수행하기 위한 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립하고 경영진 보고 및 시행
  • 세부추진 계획에 따른 추진결과를 심사분석 및 평가하여 경영진에게 보고

증거 자료[edit | edit source]

  • 정보보호 및 개인정보보호 활동 연간 추진계획서(예산 및 인력운영계획)
  • 정보보호 및 개인정보보호 활동 결과 보고서
  • 정보보호 및 개인정보보호 투자 내역
  • 정보보호 및 개인정보보호 조직도

결함 사례[edit | edit source]

  • 정보보호 및 개인정보보호 조직을 구성하는데, 분야별 전문성을 갖춘 인력이 아닌 정보보호 관련 또는 IT 관련 전문성이 없는 인원으로만 보안인력을 구성한 경우
  • 개인정보처리시스템의 기술적·관리적 보호조치의 요건을 갖추기 위한 보안 솔루션 등의 비용을 최고경영자가 지원하지 않고 법적 위험을 수용하고 있는 경우
  • 인증을 취득한 이후에 인력과 예산 지원을 대폭 줄이고 기존 인력을 다른 부서로 배치하거나 일부 예산을 다른 용도로 사용하는 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)