[isms-p 정리] 1.1.1 경영진의 참여

※인증기준

최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다.

※ 내용정리

- 경영진 / 권한위임자 참여
 > 정보보호 및 개인정보 보호 결정에 대해 경영진 / 권한위임자가 결정에 참여하지 않거나, 관련 증적이 확인되지 않을 경우
- 장기간 관련 보고 안함.
 > 정보보호 및 개인정보 보호 현황에 대해 분기별로 보고하도록 명시되어 있지만, 장기간 보고가 이뤄지지 않을 경우
- 참여할 수 있는 절차 수립
 > 경영진 / 권한위임자가 참여할 수 있는 보고 절차가 없을 경우 
- 업무에 참여를 명시한 정책 or 문서화된 증적
 > 경영진 / 권한위임자의 정보보호 및 개인정보보호 업무에 참여를 명시한 정책 또는 문서화된 증적이 없을 경우
 
결함 사례
 - D사는 정보보호 및 개인정보 보호와 관련된 주요 결정을 내릴 때 경영진 또는 권한을 위임받은 담당자의 참여가 필요하지만, 실제로는 실무진만 결정하는 구조로 운영되었다.
정보보호 정책 변경, 보안 예산 승인, 개인정보 보호 대책 등의 주요 사항이 실무팀 내부에서만 논의되고, 경영진은 형식적인 결재만 진행하였다.
실제 심사 과정에서 경영진이 직접 정보보호 관련 결정을 내렸다는 증적이 존재하지 않았으며, 내부 보고서에도 경영진의 피드백이나 검토 이력이 없었다.
이로 인해 보안 정책이 사업 전략과 일관되지 않거나, 보안 투자 우선순위가 적절하게 결정되지 않는 문제가 발생하였다.

 - 영향:
보안 의사결정의 신뢰성이 낮아지고, 전사적인 보안 전략이 약화됨.
보안 예산 및 리소스 배분이 적절히 이뤄지지 않아, 보안 강화가 지연됨.
인증 심사 시 "경영진의 참여 증적 부족"으로 주요 지적사항이 됨.

 - D사는 정보보호 및 개인정보 보호 현황을 분기별로 경영진에게 보고하도록 규정하고 있었지만, 실제로는 1년 이상 공식적인 보고가 이루어지지 않았다.
보고서 작성을 담당하는 정보보호 부서에서는 "경영진의 관심이 낮고, 실질적으로 보안 관련 예산이나 정책이 변하지 않는다"는 이유로 보고를 생략함.
내부 감사 과정에서 "지난 1년간 정보보호 관련 정기 보고 자료가 없다"는 사실이 밝혀짐.
일부 보안 이슈(시스템 취약점, 데이터 유출 가능성 등)가 발생했으나, 이를 적시에 경영진에게 보고하지 않아 보안 조치가 지연됨.
 
 - 영향:
경영진이 조직의 보안 상태를 제대로 인지하지 못해, 보안 정책 및 투자 결정을 제대로 내릴 수 없음.
보안 사고 발생 시, 경영진이 사전에 필요한 조치를 취하지 못하고 대응이 지연됨.
ISMS-P 심사에서 "경영진 대상 정기 보고가 이루어지지 않았다"는 지적을 받아 인증 유지에 어려움을 겪음.

 - D사는 정보보호 및 개인정보 보호와 관련하여 경영진이 참여할 수 있는 공식적인 보고 절차를 수립하지 않았다.
정보보호팀은 경영진과 직접 소통할 방법이 없어, 필요할 때마다 비공식적인 보고 또는 이메일로 개별적으로 요청함.
경영진이 바쁜 일정으로 인해 정보보호 관련 이슈를 제대로 검토하지 못하는 경우가 많았으며, 회의가 자주 연기되거나 취소됨.
결국 보안 정책 검토가 지연되고, 보안 예산 승인 과정에서 주요 사항이 누락되는 문제가 발생함.
 
 - 영향:
보안 이슈가 발생했을 때 경영진이 신속하게 의사결정을 내릴 수 없음.
공식적인 보고 절차가 없어, 실무진이 임의로 경영진과 소통하는 방식이 일관되지 않음.
경영진의 참여가 형식적이라는 평가를 받으며, 심사 시 지적 사항으로 이어짐.

 - D사는 경영진 및 권한위임자의 정보보호 및 개인정보 보호 업무 참여를 명시한 정책 또는 문서화된 증적이 부족하였다.
정보보호 관리체계 문서에는 경영진의 역할과 책임이 포함되어 있지 않으며, 정보보호 정책에도 "경영진의 의무 사항"이 명확하게 정의되지 않음.
경영진이 정보보호 회의에 참석한 적이 있었지만, 회의록이나 승인 내역이 공식적으로 기록되지 않아 증적이 남지 않음.
심사 과정에서 "경영진이 정보보호 관리체계 운영에 참여했다는 공식적인 기록이 없음"이 지적되었고, 개선 권고 사항을 받음.

 - 영향:
경영진의 정보보호 관련 의무와 역할이 명확하지 않아, 실질적인 참여가 어려움.
심사 과정에서 참여 증적이 부족하여 ISMS-P 요구사항을 충족하지 못함.
정보보호 활동이 경영진 차원에서 지속적으로 추진되지 않고, 단기적인 대응에 그침.

개선 방안
1. 경영진 및 권한위임자의 실질적인 참여 보장
경영진이 반드시 참석해야 하는 정보보호 위원회 운영을 의무화하고, 주요 보안 결정 시 경영진의 승인을 필수 요건으로 지정.
정보보호 이슈에 대한 경영진의 피드백 및 승인 내역을 공식 문서로 기록.

2. 정기적인 정보보호 보고 체계 강화
분기별 경영진 보고를 필수화하고, 보고 내용을 표준화하여 지속적으로 운영.
경영진의 보고 미참여 시, 보고서를 통해 피드백을 받고 조치 내역을 문서화.

3. 보고 절차 수립 및 운영
정보보호 및 개인정보 보호 관련 이슈가 발생할 경우, 신속하게 경영진이 검토할 수 있도록 공식적인 보고 절차를 수립.
보고 방식(회의, 문서, 이메일 등)을 표준화하고, 일정에 맞춰 운영.

4. 경영진의 역할 및 참여 사항을 문서화
정보보호 정책에 경영진 및 권한위임자의 역할과 책임을 명확히 정의.
경영진이 정보보호 위원회에 참석한 회의록, 결정 사항, 승인 내역 등을 증적 자료로 유지.
 

증거자료

정보보호 및 개인정보보호 보고 체계

정보보호 및 개인정보보호 회의록

정보보호 및 개인정보보호 정책/지침서

정보보호계획 및 내부관리계획(경영진 승인내역 포함)

정보보호 및 개인정보보호 조직도
+
정리
해당 항목은 경영진 / 권한위임자의 참여에 대한 항목.
정보보호 및 개인정보 결정에 대해 보고하고 경영진 / 권한위임자는 승인하는 보고절차가 있어야 하며, 참여를 명시한 정책 또는 문서화 된 증적이 보유되있어야함.
경영진의 최종 결정의 부재, 정보보호 및 개인정보보호 활동에 대한 보고 절차가 없을 경우, 업무에 참여를 명시한 정책, 증적자료가 없을 경우 결함