SharedIT | 묻고 답하기(AMP)

계열사간 정보보안부서 공동 대응

jms0036
2021.04.22 () | 0 추천 | 6개의 답변

안녕하세요 선배님들, 규모가 조금 있는 업체에서

정보보안부서를 한팀으로 운영하는 것에 대한 법적 위반 요건이 있는지 궁금해서 문의 드립니다.


  • 현황 : 동일 건물에 여러개의 계열사가 존재함 (A사, B사, C사,D사, E사)

  • 계열사별로 정보보안부서를 둘수 없어 하나의 정보보안부서에서 계열사에 대한 정보보안 업무를 수행

  • CISO, CPO 등 C그룹 담당자 들은 계열사 별로 별도로 선임되어 있음


문의내용

1) 위와 같은 구조에 대한 법적 위배사항

2) 위와 같은 구조에서 ISMS 등 인증심사를 수검 시 이슈사항


위와 같은 구조에서 업무를 진행해보신 선배님들의 고견을 기다립니다.


감사합니다!



Tags : 태그가 없습니다.

6개의 답변이 있습니다.

Administrator
  0 추천 | 3년 이하 전

  • 1.상관없습니다. 내부 정보보안 거버넌스에 대한 조직구성/역할/책임에 대한 사항을 정책서로 명시하세요.

  • 2.ISMS 는 회사가 가지고 있는 서비스에 대한 정보보호 체계 인증을 받는것입니다.ISMS는 아시다시피 정보통신망법에 대한 법률에 의한 정보보호 관리체계이므로 서로 다른 법인을 묶어서 인증할수는 없습니다.

wansoo
  0 추천 | 3년 이하 전

법적으로 개인정보 보호 책임자를 지정해야한다는 내용은 있어도, 근무 위치 등에 대한 내용은 명시되어 있지 않는 걸로 봐선... 문제 되지는 않을거 같아 보이네요.

계열사간의 정보 공유되는 문제는 국가에서 통제할 내용이 아니라 회사 내부에서 정책을 마련해야할 회사 내부 문제가 아닐까 싶어 보이고요.


참고로 개인정보 보호법 제 31조 (개인정보 보호 책임자의 지정) 에 대한 내용 첨부 드려 봅니다.

제31조(개인정보 보호책임자의 지정)  ① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다.

② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.

1. 개인정보 보호 계획의 수립 및 시행

2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선

3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제

4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축

5. 개인정보 보호 교육 계획의 수립 및 시행

6. 개인정보파일의 보호 및 관리ㆍ감독

7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무

③ 개인정보 보호책임자는 제2항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.

④ 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다.

⑤ 개인정보처리자는 개인정보 보호책임자가 제2항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 된다.

⑥ 개인정보 보호책임자의 지정요건, 업무, 자격요건, 그 밖에 필요한 사항은 대통령령으로 정한다.


jms0036 | 3년 이하 전

네 개인정보 보호 책임자는 계열사별로 선임하고 있습니다.


답변 감사합니다.

명동쓰레빠
  0 추천 | 3년 이하 전

맞는지는 모르겠지만 일단 회사별로 동일 건물에 근무 하더라도 접속 IP을 분리 하시기 바람니다.


jms0036 | 3년 이하 전

네 IP는 대역대로 분리하여 운영하고 있습니다

의견 감사 드립니다

werther.chan
  0 추천 | 3년 이하 전

현재 저희가 jms0036님 회사처럼  보안부서에서 계열사 보안업무를 수행하고 있습니다.

법적으로 문제되는 사항은 전혀 없습니다.

다만 ISo27001 인증이나 ISMS 인증시 대응이 되려면 각 계열사별로 해야하는데..

이때 만약 한다면 모기업에 정보보호관련 업무를 진행하고 있다라는 계약이 있으면 문제되지 않을것으로 보여집니다.

jms0036 | 3년 이하 전

IT인프라와 정보보안업무는 별도의 계약이 필요하겠군요

답변 감사 드립니다!

차바라기
  0 추천 | 3년 이하 전

크게 무리가 없는듯합니다~계열사별로 IT유지계약서가 있고 하면 한군데서 관리가 가능합니다

jms0036 | 3년 이하 전

별도의 계약을 체결해야겠군요 


답변 감사드립니다!

Genghis Khan
  0 추천 | 3년 이하 전

각 법인이고 각 계열사 끼리 계약도 하니

Isms인증을 받기엔 무리가 있지 않나 보이네요

서버/보안시스템/보안솔루션이 분리되어 있듯

각 계열사별 isms인증 충분조건이 된다면

별도 담당자가 받으셔야겠네요

꼭 보안담당자가 아닌 담당자로서 말이죠





jms0036 | 3년 이하 전

예 담당자로써 준비해야할것 같습니다.


답변 감사드립니다.

원본 페이지 보기