분류:컴플라이언스 분류:보안 분류:정보보안기사

Chief Information Security Officer, CISO; 정보보호최고임원

정보보호 최고책임자는 기업의 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리 등 정보보호 업무를 총괄하는 최고책임자

국내 법률에서의 CISO

정보통신망법

정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)

• 지정 및 신고 의무 대상: 정보통신서비스 제공자
  • 자본금 1억원 이하의 부가통신사업자, 소상공인, 소기업(전기통신사업자, 집적정보통신시설사업자 제외) 제외

역할^[1]

1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.
   1. 정보보호 계획의 수립ㆍ시행 및 개선
   2. 정보보호 실태와 관행의 정기적인 감사 및 개선
   3. 정보보호 위험의 식별 평가 및 정보보호 대책 마련
   4. 정보보호 교육과 모의 훈련 계획의 수립 및 시행
2. 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.
   1. 「정보보호산업의 진흥에 관한 법률」 제13조에 따른 정보보호 공시에 관한 업무
   2. 「정보통신기반 보호법」 제5조제5항에 따른 정보보호책임자의 업무
   3. 「전자금융거래법」 제21조의2제4항에 따른 정보보호최고책임자의 업무
   4. 「개인정보 보호법」 제31조제2항에 따른 개인정보 보호책임자의 업무
   5. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

직위^[2]

1. 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 사업주 또는 대표자
   1. 자본금이 1억원 이하인 자
   2. 「중소기업기본법」 제2조제2항에 따른 소기업
   3. 「중소기업기본법」 제2조제2항에 따른 중기업으로서 다음의 어느 하나에 해당하지 않는 자
      1. 「전기통신사업법」에 따른 전기통신사업자 2) 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자
      2. 「개인정보 보호법」 제30조제2항에 따라 개인정보 처리방침을 공개해야 하는 개인정보처리자
      3. 「전자상거래 등에서의 소비자보호에 관한 법률」 제12조에 따라 신고를 해야 하는 통신판매업자
2. 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 이사(「상법」 제401조의2제1항제3호에 따른 자와 같은 법 제408조의2에 따른 집행임원을 포함한다)
   1. 직전 사업연도 말 기준 자산총액이 5조원 이상인 자
   2. 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액이 5천억원 이상인 자
3. 제1호 및 제2호에 해당하지 않는 정보통신서비스 제공자: 다음 각 목의 어느 하나에 해당하는 사람
   1. 사업주 또는 대표자
   2. 이사(「상법」 제401조의2제1항제3호에 따른 자와 같은 법 제408조의2에 따른 집행임원을 포함한다)
   3. 정보보호 관련 업무를 총괄하는 부서의 장

자격요건^[3]

1. 정보보호 또는 정보기술 분야의 석사학위 이상 학위를 취득한 사람
2. 정보보호 또는 정보기술 분야의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람
3. 정보보호 또는 정보기술 분야의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람
4. 정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람
5. 정보보호 관리체계 인증심사원의 자격을 취득한 사람
6. 해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람

전자금융거래법

역할^[4]

1. 제21조제2항에 따른 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립
2. 정보기술부문의 보호
3. 정보기술부문의 보안에 필요한 인력관리 및 예산편성
4. 전자금융거래의 사고 예방 및 조치
5. 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 위한 자체심의에 관한 사항
6. 정보기술부문 보안에 관한 임직원 교육에 관한 사항

직위^[5]

1. 임원(「상법」 제401조의2제1항제3호에 따른 자를 포함한다)

자격요건^[6]

1. 정보보호 또는 정보기술(IT) 분야의 학력 또는 기술자격을 가진 사람으로서 다 음 각 목의 어느 하나에 해당하는 사람은 정보보호최고책임자의 자격을 가진다.
   1. 정보보호 또는 정보기술(IT) 분야의 전문학사학위를 취득한 후 4년 이상 정 보보호 분야 업무 또는 5년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있 는 사람
   2. 정보보호 또는 정보기술(IT) 분야의 학사학위 또는 다음 전문자격을 취득한 후 2년 이상 정보보호 분야 또는 3년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있는 사람
      1. 「전자정부법」 제2조제15호에 따른 감리원
      2. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조제5항에 따른 정보보호 관리체계 인증기관의 인증 심사원
      3. 「자격기본법」에 따라 공인을 받은 정보보호전문가(Specialist for Information Security)
      4. 국제정보시스템감사통제협회(Information Systems Audit and Control Association)의 정보시스템감사사(Certified Information Systems Auditor)
      5. 국제정보시스템보안자격협회(International Information System Security Certification Consortium)의 정보시스템보호전문가(Certified Information System Security Professional)
   3. 정보보호 또는 정보기술(IT) 분야의 석사학위를 취득한 후 1년 이상 정보보호 분야 업무 또는 2년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있는 사람
2. 다음 각 목의 어느 하나에 해당하는 사람은 정보보호최고책임자의 자격을 가진다.
   1. 8년 이상 정보보호 분야 업무 또는 10년 이상 정보기술(IT) 분야 업무를 수 행한 경력이 있는 사람
   2. 전문학사학위를 취득한 후 6년 이상 정보보호 분야 업무 또는 7년 이상 정보 기술(IT) 분야 업무를 수행한 경력이 있는 사람
   3. 학사학위를 취득한 후 4년 이상 정보보호 분야 업무 또는 5년 이상 정보기술 (IT) 분야 업무를 수행한 경력이 있는 사람
   4. 석사학위를 취득한 후 2년 이상 정보보호 분야 업무 또는 3년 이상 정보기술 (IT) 분야 업무를 수행한 경력이 있는 사람
3. 「농업협동조합법」에 따른 조합, 「수산업협동조합법」에 따른 조합, 「산림조합 법」에 따른 조합, 「신용협동조합법」에 따른 신용협동조합 및 「새마을금고 법」에 따른 지역금고의 경우에는 제1호 및 제2호에도 불구하고 다음 각 목의 어느 하나에 해당하는 사람도 정보보호최고책임자의 자격을 가진다.
   1. 정보보호 또는 정보기술(IT) 분야의 학력 또는 기술자격을 가진 사람으로서 6년 이상 금융업에 종사한 사람
   2. 금융위원회가 정하여 고시하는 교육을 이수한 사람으로서 조합ᆞ신용협동조합 ᆞ지역금고의 장이나 그 장이 지정한 사람. 다만, 상시 종업원 수(금융위원회가 정하여 고시하는 산정방식에 따라 계산된 상시 종업원 수를 말한다)가 20명 이하인 조합ᆞ신용협동조합ᆞ지역금고의 경우로 한정한다.

정보보호 관련 책임자 직책 비교^[7]

각주