97. 다음은 정보보호 정책 및 조직과 관련한 설명이다. 옳지 않 은 것은?
- 1조직이 수행하는 모든 정보보호 활동의 근거를 포함할 수 있도록 정보보호정책을 수립해야 하며, 이러한 정책은 조 직과 관련한 것이므로 국가나 관련 산업에서 정하는 정보 보호 관련 법, 규제를 고려할 필요는 없다.
- 2조직에 미치는 영향을 고려하여 중요한 업무, 서비스, 조직, 자산 등을 포함할 수 있도록 정보보호 관리체계 범위를 설정하고 범위 내 모든 자산을 식별하여 문서화하여야 한다.
- 3정보보호 관리체계 수립 및 운영 등 조직이 수행하는 정보보호 활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립해야 한다.
- 4최고경영자는 조직의 규모, 업무 중요도 분석을 통해 정 보보호 관리체계의 지속적인 운영이 가능하도록 정보보 호 조직을 구성하고 정보보호 관리체계 운영 활동을 수행 하는데 필요한 자원을 확보하여야 한다.