주요사항

예산·인력·전문성 확보, 연도별 세부추진계획 수립·시행·평가

인증기준

최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다.

확인사항

  • 정보보호 및 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고 있는가?
  • 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위해 필요한 자원을 평가하여 필요한 예산과 인력을 지원하고 있는가?
  • 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립·시행하고 그 추진결과에 대한 심사분석·평가를 실시하고 있는가?

가상자산 사업자 확인사항

  • 가상자산 거래 서비스의 안전성 확보 및 이용자 보호를 위해 정보기술(IT)부문과 정보보호에 필요한 예산과 인력을 지원하고 있는가?
    * 권고
    - 정보보호 예산을 정보기술(IT)부문 예산의 100분의 7이상으로 편성
    - 정보기술(IT)부문 인력은 총 임직원 수의 100분의 5이상, 정보보호 인력은 정보기술(IT)부문 인력의 100분의 5이상 확보

결함사례

  • 정보보호 및 개인정보보호 조직을 구성하는데, 분야별 전문성을 갖춘 인력이 아닌 정보보호 관련 또는 IT 관련 전문성이 없는 인원으로만 보안인력을 구성한 경우
  • 개인정보처리시스템의 기술적, 관리적 보호조치의 요건을 갖추기 위한 보안 솔루션 등의 비용을 최고경영자가 지원하지 않고 법적 위험을 수용하고 있는 경우
  • 인증을 취득한 이후에 인력과 예산 지원을 대폭 줄이고 기존 인력을 타부서로 배치하거나 일부 예산을 다른 용도로 사용하는 경우
  • 확인사항
    • (개인)정보보호 업무 연간추진계획 여부
    • (개인)정보보호 활동 결과 보고
    • 조직도