ISMS-P 인증 준비, 자원 할당

 

안녕하세요. 저는 중소기업에서 2023년 ISMS 인증(최초심사)을 받고 2024년 ISMS 인증(사후1차)를 받은 경험을 바탕으로 이글을 쓰게 되었습니다. 아래에 말씀드리는 것처럼 저희 회사가 ISMS 인증 특례시행에 따라 7의2 대상기업이 되어 2025년은 ISMS 간편인증(사후2차) 을 준비하고 있습니다. 

 

ISMS 간편인증시에는 1.1.6 자원할당 항목이 삭제되어 별도의 증적자료를 준비하지 않아도 되지만 2년간 ISMS 인증을 준비하고 정보보호활동을 진행하면서 정보보호활동 연간 추진 계획서 및 정보보호활동 결과 보고서는 연도별 정보보호 및 개인정보보호 업무 세부추진계획을 수립/시행하고 추진결과에 대한 심사분석/평가를 실시하는 것으로 인증심사 기준에 상관없이 ISMS(정보보호 관리체계)를 유지하는 기업으로서 꾸준히 매년 12월이 되면 그해의 정보보활동을 평가하고 내년도 정보보호활동 연간계획서를 준비하는 것은 필수적인 요소라 할수 있을 것 같습니다. 

 

ISMS-P 인증 대상 기업에서는 1.1.6 항목이 유지되었고요.

ISMS-P 간편인증 대상(7의2,7의3) 기업에서는 1.1.6 항목이 삭제되었습니다. 

(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업 (7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업

 

1.1. 관리체계 기반 마련
1.1.1. 경영진의 참여
1.1.2. 최고책임자의 지정
1.1.3. 조직구성
1.1.4. 범위설정
1.1.5. 정책수립
1.1.6. 자원할당

 

1. 개요

 

인증기준

최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다.

 

주요확인사항

1. 정보보호 및 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고 있는가?

2. 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위해 필요한 자원을 평가하여 필요한 예산과 인력을 지원하고 있는가?

3. 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립∙시행하고 그 추진결과에 대한 심사분석∙평가를 실시하고 있는가?

2. 세부설명 

분야별 전문 인력 확보

최고경영자는 정보보호 및 개인정보보호 활동을 원활하게 수행하기 위하여 분야별 전문성을 갖춘인력을 확보하여야 한다. 전문 지식 및 관련 자격 보유(정보보호 및 개인정보보호 관련 학위 또는 자격증 보유) 정보보호 및 개인정보보호 관련 실무 경력 보유 정보보호 및 개인정보보호 관련 직무교육 이수 등

 

필자의 경우에는 ISMS 인증심사를 준비하면서 회사 내부적으로 정보보호 및 개인정보보호 관련 학위 또는 자격증 보유자가 없었습니다.  그렇다고 짧은 시기에 관련 경력자를 구인하는 것도 쉽지 않았습니다. 그래서 내린 결론은 내부적으로 IT 관련 경력자(20년이상) 가 있으니 그중에서 담당자를 선임하고 외부 직무교육 이수등을 통해 관련 지식을 점차적으로 습득할수 있도록 하였습니다. 

 

필요 자원 평가 및 예산/인력 지원

최고경영자는 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위하여 필요한 자원을 평가하여 필요한 예산과 인력을 지원하여야 한다. 매년 정보보호 및 개인정보보호 관리체계의 효과적 구축 및 지속적 운영을 위하여 필요한 예산과 자원을 평가하여 예산 및 인력운영 계획 수립 및 승인 예산 및 인력운영계획에 따라 필요한 자원(인력, 조직, 예산 등)을 지속적으로 지원

 

필자의 경우에는 매년 12월에 해당년도에 지출된 정보보호활동 관련 지출된 결과를 경영지원실을 통해 받아 정보보호활동 평가 및 연간 계획서에 포함시켜서  정보보호 위원회 승인과 CISO 및 CEO의 사인을 받도록 하고 있습니다. 

 

아래 파일은 KISA (한국인터넷진흥원)에서 제공하는 '정보보호 수행계획서 작성방법' 샘플문서 입니다. 2008년도 문서이기는 하지만 기업환경에 맞게 가감하면 되겠습니다. 

(샘플)정보보호활동 연간계획서.hwp

0.02MB

 

세부 추진계획 수립/시행 및 결과 평가

연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립·시행하고 그 추진결과에 대한 심사분석·평가를 실시하여야 한다. 해당 연도의 정보보호 및 개인정보보호 업무를 효과적으로 수행하기 위한 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립하고 경영진 보고 및 시행 세부추진 계획에 따른 추진결과를 심사분석 및 평가하여 경영진에게 보고

3. 증거 자료

정보보호 및 개인정보보호 활동 연간 추진계획서(예산 및 인력운영계획) 정보보호 및 개인정보보호 활동 결과 보고서 정보보호 및 개인정보보호 투자 내역 정보보호 및 개인정보보호 조직도

4. 결함 사례

정보보호 및 개인정보보호 조직을 구성하는데, 분야별 전문성을 갖춘 인력이 아닌 정보보호 관련 또는 IT 관련 전문성이 없는 인원으로만 보안인력을 구성한 경우 개인정보처리시스템의 기술적·관리적 보호조치의 요건을 갖추기 위한 보안 솔루션 등의 비용을 최고경영자가 지원하지 않고 법적 위험을 수용하고 있는 경우 인증을 취득한 이후에 인력과 예산 지원을 대폭 줄이고 기존 인력을 다른 부서로 배치하거나 일부 예산을 다른 용도로 사용하는 경우

5. 참고 문헌

정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23)

 

ISMS-P 인증기준 안내서(2023.11.23).pdf

8.11MB