ISMS-P 인증 기준 1.1.2.최고책임자의 지정: Difference between revisions

From IT Wiki
(Imported from text file)
 
(6 intermediate revisions by 4 users not shown)
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
 
* '''분류''': [[ISMS-P 인증 기준 1.1.관리체계 기반 마련|1.1.관리체계 기반 마련]]
*'''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 1.1.관리체계 기반 마련|1.1.관리체계 기반 마련]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!1.1.2.최고책임자의 지정
!1.1.2.최고책임자의 지정
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산·인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.
|최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산·인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가?
*최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가?
* 정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며 관련 법령에 따른 자격요건을 충족하고 있는가?
*정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며 관련 법령에 따른 자격요건을 충족하고 있는가?
|}
|}
== 세부 설명 ==
==세부 설명==
 
==== 인사발령을 통한 공식 지정 ====
최고경영자는 조직 내에서 정보보호 및 개인정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄하여 책임질 수 있는 [[정보보호 최고책임자]] 및 [[개인정보 보호책임자]]를 인사발령 등의 절차를 통하여 공식적으로 지정하여야 한다.
 
*정보보호 최고책임자 및 개인정보 보호책임자는 인사발령 등을 통하여 공식으로 임명하여야 하며, 당연직의 경우 정보보호 및 개인정보보호 정책서에 그 직위를 명시하여야 함.
 
==== 자격요건을 충족하는 임원급으로 지정 ====
정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 관련 법령에 따른 자격요건을 충족하여야 한다([[정보통신망법 시행령 제36조의7]] 참고).
 
*정보보호 최고책임자 및 개인정보 보호책임자는 조직의 정보보호 및 개인정보보호 업무를 실질적으로 총괄할 수 있도록 정보보호 및 개인정보보호 관련 지식 및 소양이 있는 자로서 예산, 인력 등 자원을할당할 수 있는 임원급으로 지정
 
===정보통신서비스 제공자===
정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 대통령령으로 정하는 기준에 해당하는 임직원을 [[정보보호 최고책임자]]로 지정하고 과학기술정보통신부장관에게 신고. 다만, 대통령령으로 정하는 기준에 해당하는 경우 신고 예외
 
*정보보호 최고책임자 지정에 대한 법적 요건 준수 필요( ※정보통신망법 제45조의3 참고)
**정보보호 최고책임자는 다음 업무 수행
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.
 
*가. 정보보호 계획의 수립·시행 및 개선
*나. 정보보호 실태와 관행의 정기적인 감사 및 개선
*다. 정보보호 위험의 식별 평가 및 정보보호 대책 마련
*라. 정보보호 교육과 모의 훈련 계획의 수립 및 시행
2. 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.
*가. 「정보보호산업의 진흥에 관한 법률」 제13조에 따른 정보보호 공시에 관한 업무
*나. 「정보통신기반 보호법」 제5조제5항에 따른 정보보호 책임자의 업무
*다. 「전자금융거래법」 제21조의2제4항에 따른 정보보호 최고책임자의 업무
*라. 「개인정보 보호법」 제31조제2항에 따른 개인정보 보호책임자의 업무
*마. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행</div>
 
===개인정보 보호책임자===
개인정보 보호책임자 지정에 대한 법적 요건 준수 필요([[개인정보 보호법 시행령 제32조]] 참고)
 
'''개인정보 보호책임자는 다음 업무 수행'''<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
*1. 개인정보 보호 계획의 수립 및 시행
*2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
*3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
*4. 개인정보 유출 및 오·남용 방지를 위한 내부통제시스템 구축
*5. 개인정보 보호 교육 계획의 수립 및 시행
*6. 개인정보파일의 보호 및 관리·감독
*7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무</div>'''개인정보 보호책임자 지정요건(공공기관)'''<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
*가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관: 고위공무원단에 속하는 공무원(이하 ʻ고위공무원ʼ이라 함.) 또는 그에 상당하는공무원
*나. 가목 외에 정무직공무원을 장(長)으로 하는 국가기관: 3급 이상 공무원(고위공무원을 포함한다.)또는 그에 상당하는 공무원
*다. 가목 및 나목 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로하는 국가기관: 4급 이상 공무원 또는 그에 상당하는 공무원
*라. 가목부터 다목까지의 규정에 따른 국가기관 외의 국가기관(소속 기관을 포함한다.): 해당기관의 개인정보 처리 관련 업무를 담당하는 부서의 장
*마. 시·도 및 시·도 교육청: 3급 이상 공무원 또는 그에 상당하는 공무원
*바. 시·군 및 자치구: 4급 공무원 또는 그에 상당하는 공무원
*사. 제2조제5호에 따른 각급 학교: 해당 학교의 행정사무를 총괄하는 사람
*아. 가목부터 사목까지의 규정에 따른 기관 외의 공공기관: 개인정보 처리 관련 업무를 담당하는부서의 장. 다만 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당공공기관의 장이 지명하는 부서의 장이 된다</div>'''개인정보 보호책임자 지정요건(민간기업)'''<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">② 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우에는 다음각 호의 구분에 따라 지정한다.
 
*2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람
**가. 사업주 또는 대표자
**나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)
 
③ 제2항에도 불구하고 개인정보처리자가 「소상공인기본법」 제2조에 따른 소상공인에 해당하는경우에는 별도의 지정 없이 그 사업주 또는 대표자를 개인정보 보호책임자로 지정한 것으로본다. 다만 개인정보처리자가 별도로 개인정보 보호책임자를 지정한 경우에는 그렇지 않다.
</div>
==증거 자료==
 
*정보보호 최고책임자 및 개인정보 보호책임자 임명관련 자료(인사명령, 인사카드 등)
*정보보호 및 개인정보보호 조직도
*정보보호 및 개인정보보호 정책·지침
*직무기술서(정보보호 최고책임자 및 개인정보 보호책임자의 역할 및 책임에 관한 사항)
*정보보호 최고책임자 지정 내역
*[[내부 관리계획|내부관리계획]](개인정보 보호책임자 지정에 관한 사항)
 
==결함 사례==
 
*정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 정보보호 최고책임자를 지정 및 신고하지 않은 경우
*개인정보 보호법을 적용받는 민간기업이 개인정보 처리업무 관련 임원이 존재함에도 불구하고 부서장을 개인정보 보호책임자로 지정한 경우
*조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고 있으나, 인사발령 등의 공식적인 지정절차를 거치지 않은 경우
*ISMS 인증 의무대상자이면서 전년도 말 기준 자산총액이 5천억 원을 초과한 정보통신서비스 제공자이지만 '''정보보호 최고책임자가 CIO를 겸직'''하고 있는 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 최고경영자는 조직 내에서 정보보호 및 개인정보보호 관리 활동을 효과적으로 추진하기 위하여 이를총괄하여 책임질 수 있는 정보보호 최고책임자 및 개인정보 보호책임자를 인사발령 등의 절차를 통하여공식적으로 지정하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
** 정보보호 최고책임자 및 개인정보 보호책임자는 인사발령 등을 통하여 공식으로 임명하여야 하며,당연직의 경우 정보보호 및 개인정보보호 정책서에 그 직위를 명시하여야 함.
* 정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고관련 법령에 따른 자격요건을 충족하여야 한다( ※정보통신망법 시행령 제36조의7 참고).
** 정보보호 최고책임자 및 개인정보 보호책임자는 조직의 정보보호 및 개인정보보호 업무를 실질적으로총괄할 수 있도록 정보보호 및 개인정보보호 관련 지식 및 소양이 있는 자로서 예산, 인력 등 자원을할당할 수 있는 임원급으로 지정
* ※ 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하고 과학기술정보통신부장관에게 신고. 다만, 대통령령으로 정하는 기준에 해당하는 경우 신고 예외
** 정보보호 최고책임자 지정에 대한 법적 요건 준수 필요( ※정보통신망법 제45조의3 참고)
*** 정보보호 최고책임자는 다음 업무 수행
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* 1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.
* 가. 정보보호 계획의 수립·시행 및 개선
* 나. 정보보호 실태와 관행의 정기적인 감사 및 개선
* 다. 정보보호 위험의 식별 평가 및 정보보호 대책 마련
* 라. 정보보호 교육과 모의 훈련 계획의 수립 및 시행
* 2. 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.
* 가. 「정보보호산업의 진흥에 관한 법률」 제13조에 따른 정보보호 공시에 관한 업무
* 나. 「정보통신기반 보호법」 제5조제5항에 따른 정보보호 책임자의 업무
* 다. 「전자금융거래법」 제21조의2제4항에 따른 정보보호 최고책임자의 업무
* 라. 「개인정보 보호법」 제31조제2항에 따른 개인정보 보호책임자의 업무
* 마. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행</div>
** 개인정보 보호책임자 지정에 대한 법적 요건 준수 필요( ※개인정보 보호법 시행령 제32조 참고)
*** 개인정보 보호책임자는 다음 업무 수행
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* 1. 개인정보 보호 계획의 수립 및 시행
* 2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
* 3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
* 4. 개인정보 유출 및 오·남용 방지를 위한 내부통제시스템 구축
* 5. 개인정보 보호 교육 계획의 수립 및 시행
* 6. 개인정보파일의 보호 및 관리·감독
* 7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무</div>
** 개인정보 보호책임자 지정요건(공공기관)
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* 가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관: 고위공무원단에 속하는 공무원(이하 ʻ고위공무원ʼ이라 함.) 또는 그에 상당하는공무원
* 나. 가목 외에 정무직공무원을 장(長)으로 하는 국가기관: 3급 이상 공무원(고위공무원을 포함한다.)또는 그에 상당하는 공무원
* 다. 가목 및 나목 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로하는 국가기관: 4급 이상 공무원 또는 그에 상당하는 공무원
* 라. 가목부터 다목까지의 규정에 따른 국가기관 외의 국가기관(소속 기관을 포함한다.): 해당기관의 개인정보 처리 관련 업무를 담당하는 부서의 장
* 마. 시·도 및 시·도 교육청: 3급 이상 공무원 또는 그에 상당하는 공무원
* 바. 시·군 및 자치구: 4급 공무원 또는 그에 상당하는 공무원
* 사. 제2조제5호에 따른 각급 학교: 해당 학교의 행정사무를 총괄하는 사람
* 아. 가목부터 사목까지의 규정에 따른 기관 외의 공공기관: 개인정보 처리 관련 업무를 담당하는부서의 장. 다만 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당공공기관의 장이 지명하는 부서의 장이 된다</div>
** 개인정보 보호책임자 지정요건(민간기업)
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>② 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우에는 다음각 호의 구분에 따라 지정한다.
* 2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람
* 가. 사업주 또는 대표자
* 나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)③ 제2항에도 불구하고 개인정보처리자가 「소상공인기본법」 제2조에 따른 소상공인에 해당하는경우에는 별도의 지정 없이 그 사업주 또는 대표자를 개인정보 보호책임자로 지정한 것으로본* 다. 다만 개인정보처리자가 별도로 개인정보 보호책임자를 지정한 경우에는 그렇지 않다.</div>
== 증거 자료 ==
* 정보보호 최고책임자 및 개인정보 보호책임자 임명관련 자료(인사명령, 인사카드 등)
* 정보보호 및 개인정보보호 조직도
* 정보보호 및 개인정보보호 정책·지침
* 직무기술서(정보보호 최고책임자 및 개인정보 보호책임자의 역할 및 책임에 관한 사항)
* 정보보호 최고책임자 지정 내역
* 내부관리계획(개인정보 보호책임자 지정에 관한 사항)
== 결함 사례 ==
* 정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 정보보호 최고책임자를 지정 및 신고하지 않은 경우
* 개인정보 보호법을 적용받는 민간기업이 개인정보 처리업무 관련 임원이 존재함에도 불구하고 부서장을 개인정보 보호책임자로 지정한 경우
* 조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고 있으나, 인사발령 등의 공식적인 지정절차를 거치지 않은 경우
* ISMS 인증 의무대상자이면서 전년도 말 기준 자산총액이 5천억 원을 초과한 정보통신서비스 제공자이지만 정보보호 최고책임자가 CIO를 겸직하고 있는 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Latest revision as of 15:19, 9 June 2024


개요[edit | edit source]

항목 1.1.2.최고책임자의 지정
인증기준 최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산·인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.
주요 확인사항
  • 최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가?
  • 정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며 관련 법령에 따른 자격요건을 충족하고 있는가?

세부 설명[edit | edit source]

인사발령을 통한 공식 지정[edit | edit source]

최고경영자는 조직 내에서 정보보호 및 개인정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄하여 책임질 수 있는 정보보호 최고책임자개인정보 보호책임자를 인사발령 등의 절차를 통하여 공식적으로 지정하여야 한다.

  • 정보보호 최고책임자 및 개인정보 보호책임자는 인사발령 등을 통하여 공식으로 임명하여야 하며, 당연직의 경우 정보보호 및 개인정보보호 정책서에 그 직위를 명시하여야 함.

자격요건을 충족하는 임원급으로 지정[edit | edit source]

정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 관련 법령에 따른 자격요건을 충족하여야 한다(정보통신망법 시행령 제36조의7 참고).

  • 정보보호 최고책임자 및 개인정보 보호책임자는 조직의 정보보호 및 개인정보보호 업무를 실질적으로 총괄할 수 있도록 정보보호 및 개인정보보호 관련 지식 및 소양이 있는 자로서 예산, 인력 등 자원을할당할 수 있는 임원급으로 지정

정보통신서비스 제공자[edit | edit source]

정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하고 과학기술정보통신부장관에게 신고. 다만, 대통령령으로 정하는 기준에 해당하는 경우 신고 예외

  • 정보보호 최고책임자 지정에 대한 법적 요건 준수 필요( ※정보통신망법 제45조의3 참고)
    • 정보보호 최고책임자는 다음 업무 수행

1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.

  • 가. 정보보호 계획의 수립·시행 및 개선
  • 나. 정보보호 실태와 관행의 정기적인 감사 및 개선
  • 다. 정보보호 위험의 식별 평가 및 정보보호 대책 마련
  • 라. 정보보호 교육과 모의 훈련 계획의 수립 및 시행

2. 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.

  • 가. 「정보보호산업의 진흥에 관한 법률」 제13조에 따른 정보보호 공시에 관한 업무
  • 나. 「정보통신기반 보호법」 제5조제5항에 따른 정보보호 책임자의 업무
  • 다. 「전자금융거래법」 제21조의2제4항에 따른 정보보호 최고책임자의 업무
  • 라. 「개인정보 보호법」 제31조제2항에 따른 개인정보 보호책임자의 업무
  • 마. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

개인정보 보호책임자[edit | edit source]

개인정보 보호책임자 지정에 대한 법적 요건 준수 필요(개인정보 보호법 시행령 제32조 참고)

개인정보 보호책임자는 다음 업무 수행

  • 1. 개인정보 보호 계획의 수립 및 시행
  • 2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
  • 3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
  • 4. 개인정보 유출 및 오·남용 방지를 위한 내부통제시스템 구축
  • 5. 개인정보 보호 교육 계획의 수립 및 시행
  • 6. 개인정보파일의 보호 및 관리·감독
  • 7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무

개인정보 보호책임자 지정요건(공공기관)

  • 가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관: 고위공무원단에 속하는 공무원(이하 ʻ고위공무원ʼ이라 함.) 또는 그에 상당하는공무원
  • 나. 가목 외에 정무직공무원을 장(長)으로 하는 국가기관: 3급 이상 공무원(고위공무원을 포함한다.)또는 그에 상당하는 공무원
  • 다. 가목 및 나목 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로하는 국가기관: 4급 이상 공무원 또는 그에 상당하는 공무원
  • 라. 가목부터 다목까지의 규정에 따른 국가기관 외의 국가기관(소속 기관을 포함한다.): 해당기관의 개인정보 처리 관련 업무를 담당하는 부서의 장
  • 마. 시·도 및 시·도 교육청: 3급 이상 공무원 또는 그에 상당하는 공무원
  • 바. 시·군 및 자치구: 4급 공무원 또는 그에 상당하는 공무원
  • 사. 제2조제5호에 따른 각급 학교: 해당 학교의 행정사무를 총괄하는 사람
  • 아. 가목부터 사목까지의 규정에 따른 기관 외의 공공기관: 개인정보 처리 관련 업무를 담당하는부서의 장. 다만 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당공공기관의 장이 지명하는 부서의 장이 된다
  • 개인정보 보호책임자 지정요건(민간기업)

    ② 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우에는 다음각 호의 구분에 따라 지정한다.
    • 2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람
      • 가. 사업주 또는 대표자
      • 나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)

    ③ 제2항에도 불구하고 개인정보처리자가 「소상공인기본법」 제2조에 따른 소상공인에 해당하는경우에는 별도의 지정 없이 그 사업주 또는 대표자를 개인정보 보호책임자로 지정한 것으로본다. 다만 개인정보처리자가 별도로 개인정보 보호책임자를 지정한 경우에는 그렇지 않다.

    증거 자료[edit | edit source]

    • 정보보호 최고책임자 및 개인정보 보호책임자 임명관련 자료(인사명령, 인사카드 등)
    • 정보보호 및 개인정보보호 조직도
    • 정보보호 및 개인정보보호 정책·지침
    • 직무기술서(정보보호 최고책임자 및 개인정보 보호책임자의 역할 및 책임에 관한 사항)
    • 정보보호 최고책임자 지정 내역
    • 내부관리계획(개인정보 보호책임자 지정에 관한 사항)

    결함 사례[edit | edit source]

    • 정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 정보보호 최고책임자를 지정 및 신고하지 않은 경우
    • 개인정보 보호법을 적용받는 민간기업이 개인정보 처리업무 관련 임원이 존재함에도 불구하고 부서장을 개인정보 보호책임자로 지정한 경우
    • 조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고 있으나, 인사발령 등의 공식적인 지정절차를 거치지 않은 경우
    • ISMS 인증 의무대상자이면서 전년도 말 기준 자산총액이 5천억 원을 초과한 정보통신서비스 제공자이지만 정보보호 최고책임자가 CIO를 겸직하고 있는 경우

    같이 보기[edit | edit source]

    참고 문헌[edit | edit source]

    • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)