분류:컴플라이언스분류:보안분류:정보보안기사

Chief Information Security Officer, CISO; 정보보호최고임원

기업에서 정보 보안을 위한 기술적 대책과 법률 대응까지 총괄 책임을 지는 최고 임원

국내 법률에서의 CISO

정보통신망법

정보통신망법

• 지정 및 신고 의무 대상: 정보통신서비스 제공자
  • 자본금 1억원 이하의 부가통신사업자, 소상공인, 소기업(전기통신사업자, 집적정보통신시설사업자 제외) 제외

역할

아래의 역할을 수행^[1]

1. 정보보호관리체계의 수립 및 관리ㆍ운영
2. 정보보호 취약점 분석ㆍ평가 및 개선
3. 침해사고의 예방 및 대응
4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등
5. 정보보호 사전 보안성 검토
6. 중요 정보의 암호화 및 보안서버 적합성 검토
7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

직위

• 임원급^[2]

자격요건

1. 정보보호 또는 정보기술 분야의 석사학위 이상 학위를 취득한 사람
2. 정보보호 또는 정보기술 분야의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람
3. 정보보호 또는 정보기술 분야의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람
4. 정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람
5. 정보보호 관리체계 인증심사원의 자격을 취득한 사람
6. 해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람

• 겸직 금지 요건: 자산총액 5조원 이상인 정보통신서비스 제공자와 정보보호 관리체계 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5천억 원 이상인 기업의 정보보호 최고책임자는 다른 직무의 겸직을 금지^[3]

전자금융거래법

역할

직위

자격요건

관련 통계

• 금융권 CISO의 62%가 CIO에게 보고하는 것으로 조사(Modern Bank Heists: The Bank Robbery Shifts to Cyberspace, 2019.3, Optiv)