1. 정보통신망법에서 '정보보호 최고책임자(CISO)' 지정과 관련한 개정 사항 요약
| 구분 | AS-IS | TO-BE |
| CISO 겸직 제한 완화 | -직전 사업연도 말 자산총액 5조원 이상이거나, 정보보호 관리체계(ISMS) 의무대상 중 자산총액 5천억 원 이상인 정보통신서비스제공자(이하 겸직제한 대상 기업)의 CISO는 법이 정하는 일정한 업무 이외의 업무를 겸직 불가능 | -겸직제한 대상 기업에서도 CISO가 CPO의 업무를 겸직 가능 -개인정보 보호법상 개인정보보호책임자의 업무, 전자금융거래법상 정보보호최고책임자의 업무 등 일정한 업무를 겸직 가능 |
| CISO 자격 요건 | -현행 정보통신망법상 CISO 지정 의무가 있는 정보통신서비스 제공자는 임원급 인사만을 CISO로 지정 가능 | -대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정할 수 있도록 규정 -대통령령으로써 임원급 인사 뿐 아니라 일정한 자격을 갖춘 임원급 이외의 자를 지정할 수 있도록 보완 |
| CISO 신고 의무 | -CISO 지정 의무가 있는 정보통신서비스 제공자는 반드시 CISO 지정 사실을 과학기술정보통신부 장관에게 신고 | -자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우에는 정보보호 최고책임자를 신고하지 않을 수 있음 |
2. 정보통신망법에서 '정보보호 최고책임자(CISO)' 지정과 관련한 개정 사항 정리 (2021년 6월 8일)
가. 정보보호 최고책임자(CISO) 지정 기준
| 임직원 대상 | 기준 |
| 사업주 또는 대표자 | 가. 자본금이 1억원 이하인 자 나. 「중소기업기본법」 제2조제2항에 따른 소기업 다. 「중소기업기본법」 제2조제2항에 따른 중기업으로서 다음의 어느 하나에 해당하지 않는 자 1) 「전기통신사업법」에 따른 전기통신사업자 2) 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 3) 「개인정보 보호법」 제30조제2항에 따라 개인정보 처리방침을 공개해야 하는 개인정보처리자 4) 「전자상거래 등에서의 소비자보호에 관한 법률」 제12조에 따라 신고를 해야 하는 통신판매업자 |
| 이사 (「상법」 제401조의2제1항제3호에 따른 자와 같은 법 제408조의2에 따른 집행임원을 포함) |
가. 직전 사업연도 말 기준 자산총액이 5조원 이상인 자 나. 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액이 5천억원 이상인 자 |
| 사업주 또는 대표자 이사 (「상법」 제401조의2제1항제3호에 따른 자와 같은 법 제408조의2에 따른 집행임원을 포함) 다. 정보보호 관련 업무를 총괄하는 부서의 장 |
위의 사항에 해당하지 않는 기업 |
-정보보호 최고책임자를 신고하지 않은 경우 사업주나 대표자를 정보보호 최고책임자로 봄
나. 정보보호 최고책임자(CISO) 신고 예외
| 가. 자본금이 1억원 이하인 자 나. 「중소기업기본법」 제2조제2항에 따른 소기업 다. 「중소기업기본법」 제2조제2항에 따른 중기업으로서 다음의 어느 하나에 해당하지 않는 자 1) 「전기통신사업법」에 따른 전기통신사업자 2) 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 3) 「개인정보 보호법」 제30조제2항에 따라 개인정보 처리방침을 공개해야 하는 개인정보처리자 4) 「전자상거래 등에서의 소비자보호에 관한 법률」 제12조에 따라 신고를 해야 하는 통신판매업자 |
다. 정보보호 최고책임자(CISO) 자격
| 자격 | 1. 정보보호 또는 정보기술 분야의 국내 또는 외국의 석사학위 이상 학위를 취득한 사람 2. 정보보호 또는 정보기술 분야의 국내 또는 외국의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람 3. 정보보호 또는 정보기술 분야의 국내 또는 외국의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람 4. 정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람 5. 법 제47조제6항제5호에 따른 정보보호 관리체계 인증심사원의 자격을 취득한 사람 6. 해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람 |
| 정보보호 또는 정보기술(IT) 분야 학력 | 1. 전자 관련 학과: 전기전자, 전기전자정보, 전기전자제어, 전자, 전자계산, 전자전기정보, 전자정보, 전자제어, 전자재료, 전자컴퓨터, 전자컴퓨터전기제어, 정보전자, 반도체, 메카트로닉스, 제어계측, 컴퓨터과학 2. 정보통신 관련 학과: 통신, 국제정보통신, 무선통신, 방송통신, 이동통신, 전기전자통신, 전기전자정보통신, 정보통신, 전자통신, 전자정보통신, 전자제어통신, 전파통신, 컴퓨터통신, 항공통신정보, 전기통신설비, 전자정보통신반도체, 전파, 전기전자전파, 방송설비, 통신컴퓨터, 컴퓨터네트워크, 컴퓨터정보기술 3. 정보보호 또는 정보처리기술 관련 학과: 전산, 전산통계, 정보전산, 정보처리, 시스템, 정보시스템, 구조시스템, 컴퓨터응용, 컴퓨터응용설계, 컴퓨터제어, 컴퓨터응용제어, 컴퓨터정보, 멀티미디어 4. 그 밖에 교육부장관이나 해당 교육기관의 장으로부터 전자, 정보통신, 정보보호 또는 정보처리기술 관련 학과로 인정받은 학과 |
| 정보보호 또는 정보기술(IT) 분야 기술자격 | 1. 전자계산기 종목 -전기ㆍ전자 직무분야의 전자계산기 기사/산업기사 2. 정보통신 기술ㆍ기능 분야 -정보관리/컴퓨터시스템응용/정보통신 기술사 -통신설비 기능장 -빅데이터분석/전자계산기조직응용/정보처리/정보보안/방송통신/무선설비/전파전자통신/정보통신 기사 -사무자동화/정보처리/정보보안/방송통신/무선설비/전파전자통신/정보통신/통신선로 산업기사 -정보기기운용/정보처리/방송통신/무선설비/전파전자통신/통신기기/통신선로 기능사 |
| 정보보호 분야 업무 | 1. 정보보호를 위한 공통기반기술 분야: 암호 기술, 인증 기술 등 2. 시스템ㆍ네트워크 보호 분야: 시스템 보호, 해킹ㆍ바이러스 대응, 네트워크 보호 등 3. 응용서비스 보호 분야: 전자거래 보호, 응용서비스 보호, 정보보호 표준화 등 해당하는 분야의 계획ㆍ분석ㆍ설계ㆍ개발ㆍ운영ㆍ유지보수ㆍ컨설팅ㆍ감리 또는 연구개발 업무 등 |
| 정보기술 분야 업무 | 1. 정보통신서비스 분야: 기간통신, 별정통신, 부가통신, 방송서비스 등 2. 정보통신기기 분야: 정보기기, 방송기기, 부품 등 3. 소프트웨어 및 컴퓨터 관련 서비스 분야: 범용 패키지 소프트웨어, 특정 업무용 프로그램, 디지털콘텐츠, 데이터베이스의 개발ㆍ구축ㆍ운영ㆍ활용 및 컴퓨터 관련 서비스 해당하는 분야의 계획ㆍ분석ㆍ설계ㆍ개발ㆍ운영ㆍ유지보수ㆍ컨설팅ㆍ감리 또는 연구개발 업무 등
|
| 기타 | -정보보호업무를 수행한 기간과 정보기술(IT)업무를 수행한 기간은 서로 중복하여 인정되지 않음 다만, 정보기술(IT)업무를 수행한 기간이 인정요건에 미달하는 경우, 정보보호업무를 수행한 기간을 다음 산식의 비율로 환산하여 정보기술(IT)업무를 수행한 기간으로 합산 가능 정보보호업무 수행기간 : 정보기술업무 수행기간 = 2 : 3 -외국에서 취득한 기술자격, 학력 또는 경력은 위의 산정 기준에 따라 적용
|
-학력인정은 고등교육법에 따른 해당 학교에서 다음에 해당하는 학과 과정 이수/졸업하거나 그 밖의 관계법령에 따라 국내 또는 외국에서 이와 같은 수준 이상으로 인정되는 학력
-「국가기술자격법」및 같은 법 시행규칙 별표 2의 전기ㆍ전자 직무분야 중 전자계산기 종목의 자격과 정보통신 직무분야 중 기술ㆍ기능 분야의 자격
라. 정보보호 최고책임자(CISO) 겸직 금지 대상
| 직전 사업연도 말 기준 자산총액이 5조원 이상인 자 |
| 정보통신망법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액이 5천억원 이상인 자 |
마. 정보보호 최고책임자(CISO) 겸업 허용 업무
| 「정보보호산업의 진흥에 관한 법률」 제13조에 따른 정보보호 공시에 관한 업무 | - 정보통신서비스를 이용하는 자의 안전한 인터넷이용을 위하여 정보보호 투자 및 인력 현황, 정보보호 관련 인증 등 정보보호 현황을 공개 |
| 「정보통신기반 보호법」 제5조제5항에 따른 정보보호책임자의 업무 | - 주요정보통신기반시설보호대책의 수립ㆍ시행 - 기술적 지원의 요청 - 취약점 분석ㆍ평가 및 전담반 구성 - 주요정보통신기반시설의 보호에 필요한 조치 명령 또는 권고의 이행 - 침해사고의 통지 - 주요정보통신기반시설의 복구 및 보호에 필요한 조치 - 주요정보통신기반시설의 보호업무에 관한 사항 |
| 「전자금융거래법」 제21조의2제4항에 따른 정보보호최고책임자의 업무 | - 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립 - 정보기술부문의 보호 - 정보기술부문의 보안에 필요한 인력관리 및 예산편성 - 전자금융거래의 사고 예방 및 조치 - 그 밖에 전자금융거래의 안정성 확보를 위하여 대통령령으로 정하는 사항 |
| 「개인정보 보호법」 제31조제2항에 따른 개인정보 보호책임자의 업무 | - 개인정보 보호 계획의 수립 및 시행 - 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 - 개인정보 처리와 관련한 불만의 처리 및 피해 구제 - 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축 - 개인정보 보호 교육 계획의 수립 및 시행 - 개인정보파일의 보호 및 관리ㆍ감독 - 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무 |
| 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 |
'(부제) 나는 CISO 이다 > ISMS-P 인증심사' 카테고리의 다른 글
| (ISMS-P) 간편인증 사용 시 개인정보처리방침 내 고지 미흡 (0) | 2022.03.18 |
|---|---|
| (ISMS-P) 정보보호 최고책임자 지정 및 신고 대상 기관 (0) | 2022.03.04 |
| (ISMS-P) 3.5.3 이용내역 통지 (0) | 2021.12.10 |
| (ISMS-P) 3.5.2 정보주체 권리보장 (0) | 2021.12.10 |
| (ISMS-P) 3.5.1 개인정보처리방침 공개 (0) | 2021.12.10 |
댓글