search

정보보호위원회 구성 - jeongbobohowiwonhoe guseong

1 년도s ~ 전에
코멘트: 0
견해: 100

  • 정보보호
  • 2019. 11. 23.

1.1.3 조직 구성

최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다.

● 주요 확인 사항

  • 정보보호 최고책임자 및 개인정보 보호책임자의 업무를 지원하고 조직의 정보보호 및 개인정보보호 활동을 체계적으로 이행하기 위해 전문성을 갖춘 실무조직을 구성하여 운영하고 있는가?
  • 조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하고 있는가?
  • 전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하고 있는가?

● 관련 법규

  • 개인정보 보호법 제29조(안전조치의무)
  • 정보통신망법 제28조(개인정보의 보호조치)
  • 개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립ㆍ시행)
  • 개인정보의 기술적ㆍ관리적 보호조치 기준 제3조(내부관리계획의 수립ㆍ시행)

● 세부 설명

  • 조직의 규모 업무 중요도  등의 특성을 고려하여 정보보호 및 개인정보보호 관리체계를 구축하고 지속적으로 운영하기 위해 필요한 조직 구성의 근거를 정보보호 및 개인정보보호 정책서 등에 명시하고 전문성을 갖춘 실무조직을 구성하여 운영하여야 한다.
    • 정보보호 최고책임자, 개인정보 보호책임자, 개인정보보호 실무조직, 정보보호 위원회 등 정보보호 및 개인정보보호 조직의 구성·운영에 대한 사항을 정책서, 내부관리계획 등에 명시
    • 실무조직의 구성형태 및 규모는 전사 조직의 규모, 업무, 서비스의 특성, 처리하는 정보 및 개인정보의 중요도, 민감도, 법 규제 등을 고려하여야 함
    • 실무조직은 전담조직 또는 겸임조직으로 구성할 수 있으나, 겸임조직으로 구성하더라도 실질적인 역할 수행이 가능하도록 역할 및 책임이 공식적으로 부여되어야 함
    • 실무조직의 구성원은 정보보호 및 개인정보보호 전문성과 다양한 서비스에 대한 이해도와 경험이 많은 직원으로 구성해야 함(관련 학위 및 자격증 보유, 실무 경험 보유, 관련 전문 교육 이수 등)
  • 조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하여야 한다.
    • 정보보호 위원회는 정보보호 및 개인정보보호 관련하여 조직 내 이해관계를 대변하고 의사결정을 할 수 있도록 경영진, 임원, 정보보호 최고책임자, 개인정보 보호책임자 등 실질적인 검토 및 의사결정 권한이 있는 임직원으로 구성
    • 정기 또는 사안에 따라 수시로 위원회를 개최
    • 위원회는 조직전반에 걸친 주요 사안에 대한 검토, 승인 및 의사결정을 수행

    •    ※ 위원회에서 검토 및 의사결정이 필요한 주요 사안(예시)

         - 정보보호 및 개인정보보호 정책ㆍ지침의 제ㆍ개정

         - 위험평가 결과

         - 정보보호 및 개인정보보호 예산 및 자원 할당

         - 내부 보안사고 및 주요 위반사항에 대한 조치

         - 내부감사 결과 등

  • 전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하여야 한다.
    • 조직의 규모 및 관리체계 범위 내 서비스의 중요도에 따라 실무 협의체 구성원, 조직체계 등을 결정
    • 실무협의체에서는 정보보호 및 개인정보보호 관련 사항에 대해 실무 차원에서 공유ㆍ조정ㆍ검토ㆍ개선하고, 의사 결정 및 경영진 지원이 필요한 경우에는 위원회에 상정하여 논의

● 결함사례

  • 정보보호 및 개인정보보호 위원회를 구성하였으나, 임원 등 경영진이 포함되어 있지 않고 실무부서의 장으로 구성되어 있어 조직의 중요 정보 및 개인정보 보호에 관한 사항을 결정할 수 없는 경우
  • 경우내부 지침에 따라 중요 정보처리부서 및 개인정보처리부서의 장(팀장급)으로 구성된 정보보호 및 개인정보보호 실무협의체를 구성하였으나 장기간 운영 실적이 없는 경우
  • 정보보호 및 개인정보보호위원회를 개최하였으나 연간 정보보호 및 개인정보보호 계획 및 교육계획, 예산 및 인력 등 정보보호 및 개인정보보호에 관한 주요 사항이 검토 및 의사결정 되지 않은 경우

● taeho's notes

  • 정보보호조직의 구성은 각 구성원 및 주변 임직원이 인지할 수 있도록 공식적으로 공표되고 공식적인 인사발령을 통해 이루어져야 하며 그 증적이 남아 있어야 한다.
  • 정보보호활동을 위한 실무조직 구성원의 전담 혹은 겸직 허용 여부는 전사 조직의 규모와 매출 그리고 겸직하는 업무의 종류 등에 따라 합리적으로 판단하여야 한다.
  • 정보보호위원회에는 전사적으로 반영될 정보보호 활동에 대한 의사결정을 하는 조직이므로 각 사업부문(본부, 부서 등)의 장(경영진에 해당하는)을 포함하는 것이 바람직하다.
  • 정보보호위원회는 정기적으로 개최되어야 하며 위의 주요 사안에 대한 의사결정에 따른 회의록(참석자 표시)이 작성되어 있어야 한다.
  • 조직의 규모에 따라 정보보호 위원회의 의사결정 사항의 시행방안을 협의하거나 정보보호 위원회에 의사결정을 요구할 수 있는 실무협의회 또한 필요할 수 있다. (조직이 작다면 없을 수도 있음)
  • 정보보호 위원회 및 실무 협의회의 활동은 모두 기록되어야 한다.

댓글

안녕하세요보안맨 입니다.

이번에 소개해 드릴 주제는 정보보호위원회’ 인데요이미 여러 금융회사제조기업 등에서 정보보호위원회가 설치/운영되고 있습니다.

이때정보보호위원회는 역할 및 책임 등이 명확해야 하고어떤 안건을 가지고 심의/의결해야 하는지 규정되어야 하는데요.

이번 시간에는 크게 

1) ‘정보보호위원회 설립/운영에 관한 규정 마련’, 

2) ‘정보호위원회가 심의/의결 사례를 살펴 보도록 하겠습니다

다만필자의 경험상 금융회사 사례를 중심으로 작성되며모든 세부적인 내용에 대해서 작성될 수 없는 점 미리 양해 부탁 드립니다.

  • 1.정보보호위원회 설립/운영 관련 규정

정보보호위원회의 주기적인 운영/관리가 가능하도록 위원회의 구성역할책임주기 등을 정의한 규정이 마련되어야 하는데요필자의 경우상위 정책/지침서에 위원회의 당위성을 짧게 거론하고세부적인 설치/운영에 관한 사항을 절차서 수준으로 내규화 했었습니다.

절차서 마련 시 아래와 같은 사항이 고려되시면 좋을 것 같습니다.

Figure 1. 정보보호위원회 설치 및 운영에 관한 절차서 – 목차표

  • 정보보호위원회의 구성 및 운영 목적본사 상위 규정 또는 관련 법령 (e.g. 전자금융감독규정참고

  • 위원회 구성관련 법령 참고 (e.g. 준법감시부서(), 정보보호책임자, IT 개발/인프라팀()

  • 위원회의 임무관련 법령에서 정한 사항 등 (e.g. 취약점 분석 평가 결과보안성 심의정보기술부문계획서 등 다수)

  • 역할 및 책임:

  • -위원장은 로 정함

  • -정보보안 간사는 회의록 작성 및 보고 등

  • -위원회에서 의결한 사항은 위원장이 경영진에게 직접 보고 등

  • 회의록

  • -위원들이 이해할 수 있는 수준의 심의/의결 관련 자료 마련

  • -회의 시각 위원간 질의/응답에 따른 보완점재 심의 사항 등 기록

  • 관련 내부 규정 등 다수

  • 1.정보보호위원회 심의/의결 사례

  • 가.정기적

Figure 2. 취약점 분석/평가 결과 관련 정보보호위원회 회의록

위 내용은 전자금융기반시설 취약점 분석/평가에 대한 최종 결과 자료인데요위원들이 한눈에 쉽게 파악할 수 있도록 표로 정리 되었습니다전체 평가 자산 수량취약점 개수조치 계획 등을 확인하실 수 있는데요 

심의 시보통 준법 부서 담당자는 고위험 취약점 (risk=high)에 대한 빠른 조치를 원합니다

취약점이 존재하는 것 자체가 조직 측면에서 위험이기 때문이죠하지만, IT 인프라팀이나개발팀에서는 내부 공수예산 등의 사유로 모든 중요한 취약점을 단기간에 조치할 수 없는 한계가 존재하죠따라서모든 위원이 납득할 수 있는 자료를 만들고 설득력 있게 발표될 수 있도록담당자의 치밀한 준비가 굉장히 중요합니다.

예를 들어단기간에 조치할 수 없는 high 취약점인 경우대체 보안 통제 방안을 제시할 수 있다면 금상첨화겠지요.

최종적으로 위원의 과반수가 결과에 대해 동의하면 (=의결), 의결 사항은 최고 경영자에게 보고됩니다이때경영진의 선호하는 보고 방식예상 질문 등을 미리 준비하시면 좋을 것 같습니다.

(e.g. 작년 대비 올해 네트워크 자산 관련 취약점이 증가한 사유 등)

  • 가.비 정기적

Figure 3. 망분리 적용 예외 보안성 검토 관련 회의록

필자의 이전 회사에서내부망에 위치한 개인정보처리시스템을 외부에 있는 A회사에서 접근해야해서 내부적으로 이슈화 된 케이스가 있었습니다

이 때첫번째로 진행했던 사항은 관련 근거가 무엇인지 파악하는 것 이었습니다

망분리 예외 관련 전자금융감독규정 시행세칙을 확인하고법적으로 저촉되는 부분이 없는지 확인해야 했습니다

이후 관련 업무 현황을 분석하기 위해 각 부서 담당자들과의 인터뷰를 진행하고기술적으로 각 솔루션들의 설정값 등을 확인 했었습니다 

현황 Gap 분석을 통해단기간 조치 사항장기간 조치 사항위험 수용이 따르는 항목 등을 일목요연하게 표로 정리하고정보보호위원회로부터 심의/의결을 득 하였습니다.

읽어 주셔서 감사합니다기고글이 조금이나마 도움이 되셨나요?

궁금하신 사항 또는 기타 좋은 의견 등은 댓글을 남겨 주세요.

감사합니다오늘도 행복하세요J

정보보호위원회 운영지침 개인정보보호위원회 조직도 개인정보보호위원회 정보공개위원회 개인정보보호위원회 소속 개인정보보호위원회 하는일 개인정보보호위원회 사례집

관련 게시물

광고하는

최근 소식

미밴드 6 APP 에 연결 후 다시 업데이트 - mibaendeu 6 APP e yeongyeol hu dasi eobdeiteu
1 년도s ~ 전에 . ~에 의해 UnbelievableSeating
맥용 워드 무료 다운로드 - maeg-yong wodeu mulyo daunlodeu
1 년도s ~ 전에 . ~에 의해 DisputedSchism
UFC 여자 순위 - UFC yeoja sun-wi
1 년도s ~ 전에 . ~에 의해 JaggedJuggernaut
원피스 과학 기술 - wonpiseu gwahag gisul
1 년도s ~ 전에 . ~에 의해 SlyAnemia
과일 쥬스 궁합 - gwail jyuseu gunghab
1 년도s ~ 전에 . ~에 의해 InconceivableConversation
죽음 암시 노래 - jug-eum amsi nolae
1 년도s ~ 전에 . ~에 의해 FirsthandQuantity
이산화탄소 배출량 - isanhwatanso baechullyang
1 년도s ~ 전에 . ~에 의해 MachoDawning
지박소년 하나코 군 리디 북스 - jibagsonyeon hanako gun lidi bugseu
1 년도s ~ 전에 . ~에 의해 RepetitiousDucking
헤드 라인 R 폰트 - hedeu lain R ponteu
1 년도s ~ 전에 . ~에 의해 SparklingOutdoors
인스타 스토리 좋아요 안뜸 - inseuta seutoli joh-ayo antteum
1 년도s ~ 전에 . ~에 의해 SpookyError

광고하는

포퓰러

광고하는

에 대한

합법적인

돕다

사회의

homeendefrjakoptzhhiittr
저작권 © 2024 ko.paraquee Inc.