00. 정보보호 정책서 편집하기 (부분)

== 제2장 정보보호 정책 및 조직 ==
=== 제4조 (정보보호 정책) ===

① 클라우드 정보보호정책을 수립하고, 정책 시행을 위한 관련 지침, 절차, 메뉴얼 등을 문서화하여야 한다.

② 클라우드 정보보호정책은 정보보호 최고책임자로부터 제 ∙ 개정 시 승인을 받아야 한다.

③ 클라우드 정보보호정책에 영향을 받는 모든 임직원 및 외부 업무 관련자에게 정책의 내용을 이해하기 쉬운 형태로 전달하여야 한다.

④ 클라우드 정보보호정책 및 정책시행 문서에 대한 타당성 검토를 최소 연 1회 이상 수행하여야 한다. 또한, 관련 법규 변경 및 내·외부 보안사고 발생 등의 중대한 사유가 발생한 경우에는 추가로 검토하고 변경하여야 한다.

⑤ 정보보호 정책 및 정책 시행문서의 이력관리 절차를 수립하고 시행하며, 최신본으로 유지하여야 한다.

=== 제5조 (정보보호 조직) ===

① 조직 내에서 정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄 관리할 수 있는 정보보호 최고책임자(CISO)를 인사발령 등의 공식적인 지정절차를 거쳐 지정하여야 한다.

② 최고경영자는 조직의 규모 및 클라우드서비스의 중요도에 따라 필요인력, 예산 등을 분석하여 정보보호 실무조직을 구성하여야 한다.

③ 실무조직은 전담 또는 겸임조직으로 구성할 수 있으며 겸임조직으로 구성하더라도 정보보호 조직에 대한 공식적인 선언 또는 지정하여야 한다.

④ 정보보호 실무조직은 정보보호 관리자, 정보보호 담당자, 개인정보보호 책임자(CPO), 개인정보보호 관리자 및 개인정보보호 담당자로 구성할 수 있다.

⑤ 정보보호 조직 구성원의 주요 직무에 대하여 직무기술서 등을 통해 책임과 역할을 구체적으로 정의하여야 한다.

⑥ 회사가 제공하는 클라우드컴퓨팅서비스를 이용하는 이용자의 정보보호 관련 책임 및 역할은 이용자와의 계약서 또는 서비스 수준 협약(SLA)에 해당 내용을 반영하여야 한다.