정보보호 최고책임자: Difference between revisions

From IT위키
(새 문서: ;Chief Information Security Officer, CISO; 정보보호최고임원 ;기업에서 정보 보안을 위한 기술적 대책과 법률 대응까지 총괄 책임을 지는 최고 임원...)
 
 
(18 intermediate revisions by 8 users not shown)
Line 1: Line 1:
[[분류:컴플라이언스]]
[[분류:보안]]
[[분류:정보보안기사]]
;Chief Information Security Officer, CISO; 정보보호최고임원
;Chief Information Security Officer, CISO; 정보보호최고임원
;기업에서 정보 보안을 위한 기술적 대책과 법률 대응까지 총괄 책임을 지는 최고 임원
;정보보호 최고책임자는 기업의 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리 등 정보보호 업무를 총괄하는 최고책임자
 
=국내 법률에서의 CISO=
 
=== [[정보보호 최고책임자(정보통신망법)|정보통신망법]] ===
[https://www.law.go.kr/법령/정보통신망이용촉진및정보보호등에관한법률/(20221211,18871,20220610)/제45조의3 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)] 같은 법 [https://www.law.go.kr/법령/정보통신망이용촉진및정보보호등에관한법률시행령/(20221211,33039,20221209)/제36조의7 시행령 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등)]
 
*지정 및 신고 의무 대상: [[정보통신서비스 제공자]]
**자본금 1억원 이하의 [[부가통신사업자]], [[소상공인]], [[소기업]](전기통신사업자, 집적정보통신시설사업자 제외) 제외
 
==== 역할<ref>『정보통신망 이용촉진 및 정보보호 등에 관한 법률』 제45조의3제4항</ref> ====
# 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.
## 정보보호 계획의 수립ㆍ시행 및 개선
## 정보보호 실태와 관행의 정기적인 감사 및 개선
## 정보보호 위험의 식별 평가 및 정보보호 대책 마련
## 정보보호 교육과 모의 훈련 계획의 수립 및 시행
# 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.
## [https://www.law.go.kr/법령/정보보호산업의진흥에관한법률/(20211209,18200,20210608)/제13조 「정보보호산업의 진흥에 관한 법률」 제13조]에 따른 정보보호 공시에 관한 업무
## [https://www.law.go.kr/법령/정보통신기반보호법/(20220911,18870,20220610)/제5조 「정보통신기반 보호법」 제5조제5항]에 따른 정보보호책임자의 업무
## [https://www.law.go.kr/법령/전자금융거래법/(20201210,17354,20200609)/제21조의2 「전자금융거래법」 제21조의2제4항]에 따른 정보보호최고책임자의 업무
## [https://www.law.go.kr/법령/개인정보보호법/(20200805,16930,20200204)/제31조 「개인정보 보호법」 제31조제2항]에 따른 개인정보 보호책임자의 업무
## 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
 
==== 직위<ref>『정보통신망 이용촉진 및 정보보호 등에 관한 법률』 시행령 제36조의7제1항</ref> ====
# 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 사업주 또는 대표자
## 자본금이 1억원 이하인 자
## [https://www.law.go.kr/법령/중소기업기본법/(20221115,19044,20221115)/제2조 「중소기업기본법」 제2조]제2항에 따른 소기업
## [https://www.law.go.kr/법령/중소기업기본법/(20221115,19044,20221115)/제2조 「중소기업기본법」 제2조]제2항에 따른 중기업으로서 다음의 어느 하나에 해당하지 않는 자
### [https://www.law.go.kr/법령/전기통신사업법/(20221211,18869,20220610)/제2조 「전기통신사업법」]에 따른 전기통신사업자
### [https://www.law.go.kr/법령/정보통신망이용촉진및정보보호등에관한법률/(20221211,18871,20220610)/제47조 법 제47조]제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자
### [https://www.law.go.kr/법령/개인정보보호법/(20200805,16930,20200204)/제30조 「개인정보 보호법」 제30조]제2항에 따라 개인정보 처리방침을 공개해야 하는 개인정보처리자
### [https://www.law.go.kr/법령/전자상거래등에서의소비자보호에관한법률/(20211230,17799,20201229)/제12조 「전자상거래 등에서의 소비자보호에 관한 법률」 제12조]에 따라 신고를 해야 하는 통신판매업자
# 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 이사([https://www.law.go.kr/법령/상법/(20201229,17764,20201229)/제401조의2 「상법」 제401조의2]제1항제3호에 따른 자와 [https://www.law.go.kr/법령/상법/(20201229,17764,20201229)/제408조의2 같은 법 제408조의2]에 따른 집행임원을 포함한다)
## 직전 사업연도 말 기준 자산총액이 5조원 이상인 자
## [https://www.law.go.kr/법령/정보통신망이용촉진및정보보호등에관한법률/(20221211,18871,20220610)/제47조 법 제47조]제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액이 5천억원 이상인 자
# 제1호 및 제2호에 해당하지 않는 정보통신서비스 제공자: 다음 각 목의 어느 하나에 해당하는 사람
## 사업주 또는 대표자
## 이사([https://www.law.go.kr/법령/상법/(20201229,17764,20201229)/제401조의2 「상법」 제401조의2]제1항제3호에 따른 자와 [https://www.law.go.kr/법령/상법/(20201229,17764,20201229)/제408조의2 같은 법 제408조의2]에 따른 집행임원을 포함한다)
## 정보보호 관련 업무를 총괄하는 부서의 장
 
==== 자격요건<ref>『정보통신망 이용촉진 및 정보보호 등에 관한 법률』 시행령 제36조의7제4항</ref> ====
#정보보호 또는 정보기술 분야의 석사학위 이상 학위를 취득한 사람
#정보보호 또는 정보기술 분야의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람
#정보보호 또는 정보기술 분야의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람
#정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람
#정보보호 관리체계 인증심사원의 자격을 취득한 사람
#해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람
 
=== 전자금융거래법 ===
 
==== 역할<ref>『전자금융거래법』 제21조의2제4항 및 같은법 시행령 제11조의3제3항</ref> ====
# [https://www.law.go.kr/법령/전자금융거래법/(20201210,17354,20200609)/제21조 제21조]제2항에 따른 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립
# 정보기술부문의 보호
# 정보기술부문의 보안에 필요한 인력관리 및 예산편성
# 전자금융거래의 사고 예방 및 조치
# 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 위한 자체심의에 관한 사항
# 정보기술부문 보안에 관한 임직원 교육에 관한 사항
 
==== 직위<ref>『전자금융거래법』 제21조의2제2항</ref> ====
# 임원([https://www.law.go.kr/법령/상법/(20201229,17764,20201229)/제401조의2 「상법」 제401조의2]제1항제3호에 따른 자를 포함한다)
 
==== 자격요건<ref>『전자금융거래법』 시행령 제21조의2제4항 및 별표 1</ref> ====
# 정보보호 또는 정보기술(IT) 분야의 학력 또는 기술자격을 가진 사람으로서 다 음 각 목의 어느 하나에 해당하는 사람은 정보보호최고책임자의 자격을 가진다.
## 정보보호 또는 정보기술(IT) 분야의 전문학사학위를 취득한 후 4년 이상 정 보보호 분야 업무 또는 5년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있 는 사람
## 정보보호 또는 정보기술(IT) 분야의 학사학위 또는 다음 전문자격을 취득한 후 2년 이상 정보보호 분야 또는 3년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있는 사람
### 「전자정부법」 제2조제15호에 따른 감리원
### 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조제5항에 따른 정보보호 관리체계 인증기관의 인증 심사원
### 「자격기본법」에 따라 공인을 받은 정보보호전문가(Specialist for Information Security)
### 국제정보시스템감사통제협회(Information Systems Audit and Control Association)의 정보시스템감사사(Certified Information Systems Auditor)
### 국제정보시스템보안자격협회(International Information System Security Certification Consortium)의 정보시스템보호전문가(Certified Information System Security Professional)
## 정보보호 또는 정보기술(IT) 분야의 석사학위를 취득한 후 1년 이상 정보보호 분야 업무 또는 2년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있는 사람
# 다음 각 목의 어느 하나에 해당하는 사람은 정보보호최고책임자의 자격을 가진다.
## 8년 이상 정보보호 분야 업무 또는 10년 이상 정보기술(IT) 분야 업무를 수 행한 경력이 있는 사람
## 전문학사학위를 취득한 후 6년 이상 정보보호 분야 업무 또는 7년 이상 정보 기술(IT) 분야 업무를 수행한 경력이 있는 사람
## 학사학위를 취득한 후 4년 이상 정보보호 분야 업무 또는 5년 이상 정보기술 (IT) 분야 업무를 수행한 경력이 있는 사람
## 석사학위를 취득한 후 2년 이상 정보보호 분야 업무 또는 3년 이상 정보기술 (IT) 분야 업무를 수행한 경력이 있는 사람
# 「농업협동조합법」에 따른 조합, 「수산업협동조합법」에 따른 조합, 「산림조합 법」에 따른 조합, 「신용협동조합법」에 따른 신용협동조합 및 「새마을금고 법」에 따른 지역금고의 경우에는 제1호 및 제2호에도 불구하고 다음 각 목의 어느 하나에 해당하는 사람도 정보보호최고책임자의 자격을 가진다.
## 정보보호 또는 정보기술(IT) 분야의 학력 또는 기술자격을 가진 사람으로서 6년 이상 금융업에 종사한 사람
## 금융위원회가 정하여 고시하는 교육을 이수한 사람으로서 조합ᆞ신용협동조합 ᆞ지역금고의 장이나 그 장이 지정한 사람. 다만, 상시 종업원 수(금융위원회가 정하여 고시하는 산정방식에 따라 계산된 상시 종업원 수를 말한다)가 20명 이하인 조합ᆞ신용협동조합ᆞ지역금고의 경우로 한정한다.
 
==정보보호 관련 책임자 직책 비교<ref>정보보호 최고책임자(CISO) 지정·신고 제도 안내서(과기정통부, KISA, 19.12.)를 기반으로 편집</ref>==
{| class="wikitable"
!직책
!근거
!대상
!역할
!직위
!비고
|-
|정보보호최고책임자
(CISO)
|[[정보통신망법]]
제45조의3
|[[정보통신서비스 제공자]]
|정보통신시스템 등에 대한 보안 및
정보의 안전한 관리
|임원급
|신고
|-
|정보보호최고책임자
(CISO)
|[[전자금융거래법]]
제21조의2
|금융회사, [[전자금융업자]]
|전자금융업무 및 기반 정보 기술부문
보안 총괄
|임원
(차등)
| -
|-
|정보보호책임자
(CISO)
|[[정보통신기반 보호법]]
제5조
|[[주요정보통신기반시설]]
관리기관
|시설 보호에 관한 업무 총괄
|임원급,
영관급 장교 등
|통지
|-
|[[개인정보 보호책임자]]
(CPO)
|[[개인정보 보호법]]
제5조
|[[개인정보처리자]]
|개인정보의 처리에 관한
업무 총괄 책임
|대표자, 임원,
부서장 등
|공개
|-
|[[신용정보 관리보호인]]
|[[신용정보법]]
제20조
|신용정보회사,
금융회사 등
|신용정보의 관리 및 보호에 관한 업무
|임원
(차등)
|공시
|-
|고객정보 관리인
|금융지주회사법
제48조의2
|금융지주회사 등
|고객정보의 엄격한 관리
|임원
| -
|-
|정보화 책임관([[CIO]])
|[[국가정보화 기본법]]
제11조
|국가기관, 지방자치단체
|국가정보화 시책 수립· 시행과 국가
정보화사업 조정 등의 업무 총괄
|
|통보
|}


= 국내 법률에서의 CISO =
==각주==
== 정보통신망법 ==
<references />
=== 역할 ===
=== 직위 ===
=== 자격요건 ===
== 전자금융거래법 ==
=== 역할 ===
=== 직위 ===
=== 자격요건 ===

Latest revision as of 17:00, 23 March 2023

분류:컴플라이언스 분류:보안 분류:정보보안기사

Chief Information Security Officer, CISO; 정보보호최고임원
정보보호 최고책임자는 기업의 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리 등 정보보호 업무를 총괄하는 최고책임자

국내 법률에서의 CISO[edit | edit source]

정보통신망법[edit | edit source]

정보통신망법 제45조의3(정보보호 최고책임자의 지정 등) 같은 법 시행령 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등)

역할[1][edit | edit source]

  1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.
    1. 정보보호 계획의 수립ㆍ시행 및 개선
    2. 정보보호 실태와 관행의 정기적인 감사 및 개선
    3. 정보보호 위험의 식별 평가 및 정보보호 대책 마련
    4. 정보보호 교육과 모의 훈련 계획의 수립 및 시행
  2. 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.
    1. 「정보보호산업의 진흥에 관한 법률」 제13조에 따른 정보보호 공시에 관한 업무
    2. 「정보통신기반 보호법」 제5조제5항에 따른 정보보호책임자의 업무
    3. 「전자금융거래법」 제21조의2제4항에 따른 정보보호최고책임자의 업무
    4. 「개인정보 보호법」 제31조제2항에 따른 개인정보 보호책임자의 업무
    5. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

직위[2][edit | edit source]

  1. 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 사업주 또는 대표자
    1. 자본금이 1억원 이하인 자
    2. 「중소기업기본법」 제2조제2항에 따른 소기업
    3. 「중소기업기본법」 제2조제2항에 따른 중기업으로서 다음의 어느 하나에 해당하지 않는 자
      1. 「전기통신사업법」에 따른 전기통신사업자
      2. 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자
      3. 「개인정보 보호법」 제30조제2항에 따라 개인정보 처리방침을 공개해야 하는 개인정보처리자
      4. 「전자상거래 등에서의 소비자보호에 관한 법률」 제12조에 따라 신고를 해야 하는 통신판매업자
  2. 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 이사(「상법」 제401조의2제1항제3호에 따른 자와 같은 법 제408조의2에 따른 집행임원을 포함한다)
    1. 직전 사업연도 말 기준 자산총액이 5조원 이상인 자
    2. 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액이 5천억원 이상인 자
  3. 제1호 및 제2호에 해당하지 않는 정보통신서비스 제공자: 다음 각 목의 어느 하나에 해당하는 사람
    1. 사업주 또는 대표자
    2. 이사(「상법」 제401조의2제1항제3호에 따른 자와 같은 법 제408조의2에 따른 집행임원을 포함한다)
    3. 정보보호 관련 업무를 총괄하는 부서의 장

자격요건[3][edit | edit source]

  1. 정보보호 또는 정보기술 분야의 석사학위 이상 학위를 취득한 사람
  2. 정보보호 또는 정보기술 분야의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람
  3. 정보보호 또는 정보기술 분야의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람
  4. 정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람
  5. 정보보호 관리체계 인증심사원의 자격을 취득한 사람
  6. 해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람

전자금융거래법[edit | edit source]

역할[4][edit | edit source]

  1. 제21조제2항에 따른 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립
  2. 정보기술부문의 보호
  3. 정보기술부문의 보안에 필요한 인력관리 및 예산편성
  4. 전자금융거래의 사고 예방 및 조치
  5. 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 위한 자체심의에 관한 사항
  6. 정보기술부문 보안에 관한 임직원 교육에 관한 사항

직위[5][edit | edit source]

  1. 임원(「상법」 제401조의2제1항제3호에 따른 자를 포함한다)

자격요건[6][edit | edit source]

  1. 정보보호 또는 정보기술(IT) 분야의 학력 또는 기술자격을 가진 사람으로서 다 음 각 목의 어느 하나에 해당하는 사람은 정보보호최고책임자의 자격을 가진다.
    1. 정보보호 또는 정보기술(IT) 분야의 전문학사학위를 취득한 후 4년 이상 정 보보호 분야 업무 또는 5년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있 는 사람
    2. 정보보호 또는 정보기술(IT) 분야의 학사학위 또는 다음 전문자격을 취득한 후 2년 이상 정보보호 분야 또는 3년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있는 사람
      1. 「전자정부법」 제2조제15호에 따른 감리원
      2. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조제5항에 따른 정보보호 관리체계 인증기관의 인증 심사원
      3. 「자격기본법」에 따라 공인을 받은 정보보호전문가(Specialist for Information Security)
      4. 국제정보시스템감사통제협회(Information Systems Audit and Control Association)의 정보시스템감사사(Certified Information Systems Auditor)
      5. 국제정보시스템보안자격협회(International Information System Security Certification Consortium)의 정보시스템보호전문가(Certified Information System Security Professional)
    3. 정보보호 또는 정보기술(IT) 분야의 석사학위를 취득한 후 1년 이상 정보보호 분야 업무 또는 2년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있는 사람
  2. 다음 각 목의 어느 하나에 해당하는 사람은 정보보호최고책임자의 자격을 가진다.
    1. 8년 이상 정보보호 분야 업무 또는 10년 이상 정보기술(IT) 분야 업무를 수 행한 경력이 있는 사람
    2. 전문학사학위를 취득한 후 6년 이상 정보보호 분야 업무 또는 7년 이상 정보 기술(IT) 분야 업무를 수행한 경력이 있는 사람
    3. 학사학위를 취득한 후 4년 이상 정보보호 분야 업무 또는 5년 이상 정보기술 (IT) 분야 업무를 수행한 경력이 있는 사람
    4. 석사학위를 취득한 후 2년 이상 정보보호 분야 업무 또는 3년 이상 정보기술 (IT) 분야 업무를 수행한 경력이 있는 사람
  3. 「농업협동조합법」에 따른 조합, 「수산업협동조합법」에 따른 조합, 「산림조합 법」에 따른 조합, 「신용협동조합법」에 따른 신용협동조합 및 「새마을금고 법」에 따른 지역금고의 경우에는 제1호 및 제2호에도 불구하고 다음 각 목의 어느 하나에 해당하는 사람도 정보보호최고책임자의 자격을 가진다.
    1. 정보보호 또는 정보기술(IT) 분야의 학력 또는 기술자격을 가진 사람으로서 6년 이상 금융업에 종사한 사람
    2. 금융위원회가 정하여 고시하는 교육을 이수한 사람으로서 조합ᆞ신용협동조합 ᆞ지역금고의 장이나 그 장이 지정한 사람. 다만, 상시 종업원 수(금융위원회가 정하여 고시하는 산정방식에 따라 계산된 상시 종업원 수를 말한다)가 20명 이하인 조합ᆞ신용협동조합ᆞ지역금고의 경우로 한정한다.

정보보호 관련 책임자 직책 비교[7][edit | edit source]

직책 근거 대상 역할 직위 비고
정보보호최고책임자

(CISO)

정보통신망법

제45조의3

정보통신서비스 제공자 정보통신시스템 등에 대한 보안 및

정보의 안전한 관리

임원급 신고
정보보호최고책임자

(CISO)

전자금융거래법

제21조의2

금융회사, 전자금융업자 전자금융업무 및 기반 정보 기술부문

보안 총괄

임원

(차등)

-
정보보호책임자

(CISO)

정보통신기반 보호법

제5조

주요정보통신기반시설

관리기관

시설 보호에 관한 업무 총괄 임원급,

영관급 장교 등

통지
개인정보 보호책임자

(CPO)

개인정보 보호법

제5조

개인정보처리자 개인정보의 처리에 관한

업무 총괄 책임

대표자, 임원,

부서장 등

공개
신용정보 관리보호인 신용정보법

제20조

신용정보회사,

금융회사 등

신용정보의 관리 및 보호에 관한 업무 임원

(차등)

공시
고객정보 관리인 금융지주회사법

제48조의2

금융지주회사 등 고객정보의 엄격한 관리 임원 -
정보화 책임관(CIO) 국가정보화 기본법

제11조

국가기관, 지방자치단체 국가정보화 시책 수립· 시행과 국가

정보화사업 조정 등의 업무 총괄

통보

각주[edit | edit source]

  1. 『정보통신망 이용촉진 및 정보보호 등에 관한 법률』 제45조의3제4항
  2. 『정보통신망 이용촉진 및 정보보호 등에 관한 법률』 시행령 제36조의7제1항
  3. 『정보통신망 이용촉진 및 정보보호 등에 관한 법률』 시행령 제36조의7제4항
  4. 『전자금융거래법』 제21조의2제4항 및 같은법 시행령 제11조의3제3항
  5. 『전자금융거래법』 제21조의2제2항
  6. 『전자금융거래법』 시행령 제21조의2제4항 및 별표 1
  7. 정보보호 최고책임자(CISO) 지정·신고 제도 안내서(과기정통부, KISA, 19.12.)를 기반으로 편집