정보보호 최고책임자(CISO) 제도개선으로 정보보호 역량 강화
-신고의무 대상기업 합리화 및 자격요건 마련 -
※ 2018년 정보통신망법 개정에 따른 후속조치 (’19.6.13. 시행 예정)
□ 과학기술정보통신부(이하 ‘과기정통부’)는 기업의 사이버 침해사고 예방 및 대응 역량을 강화하기 위한 정보보호 최고책임자(CISO, Chief Information Security Officer) 제도 개선사항을 담은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」개정안을 마련하여 입법예고한다.
□ 개정안은 첫째, 업종 특성*과 종업원수** 등을 기준으로 정하던 정보보호 최고책임자 지정·신고 의무 대상자를 기업 규모와 전기통신사업의 성격을 기준으로 개선하여 신고대상을 합리화한다.
* 내용 선별 소프트웨어 개발 사업자, 음란물 및 사행성 게임물 차단 프로그램 제공자 등
** 상시 종업원 수 1천 명 이상 정보통신서비스 제공자 등
ㅇ이에 따라, 중기업* 이상의 정보통신서비스 제공자, 자본금 1억 원 이하의 부가통신사업자를 제외한 모든 전기통신사업자와 정보보호 관리체계(ISMS)** 인증을 받아야 하는 모든 정보통신서비스 제공자 등 41,000여 개 기업은 정보보호 최고책임자를 의무 지정하고 이를 과기정통부장관(중앙전파관리소장에게 위임)에게 신고하여야 한다.
* (중기업 기준)「중소기업 기본법」 제2조제2항에 따라 중소기업 중 소기업을 제외한 기업으로, 자산총액이 5천억 원 미만이고 업종별 기준 매출액 이하인 기업
**(Information Security Management System, ISMS)정보통신망의 안전성·신뢰성 확보를 위한 관리적·기술적·물리적 보호조치가 포함된 종합적 관리체계 (정보통신망법 제47조)
□ 둘째, 자산총액 5조원 이상인 정보통신서비스 제공자와 정보보호 관리체계 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5천억 원 이상인 기업의 정보보호 최고책임자는 정보보호 관리체계 수립, 취약점 분석·평가, 침해사고 예방·대응 등의 정보보호 업무에 전념할 수 있도록 다른 직무의 겸직을 제한하였다.
□ 셋째, 정보보호 최고책임자는 정보보호 또는 정보기술 관련 전문 지식이나 실무 경험이 풍부한 자 중에서 지정하도록 하고,
ㅇ 특히, 다른 직무의 겸직이 제한된 정보보호 최고책임자는 상근하는 자로서 다른 회사의 임직원으로 재직 중이지 아니한 자이어야 하며, 4년 이상의 정보보호 분야 경력자이거나 2년 이상의 정보보호 분야 경력자로서 정보기술 분야 경력과 합하여 5년 이상인 자로 지정하도록 자격요건을 정하였다.
□ 과기정통부는 이번 개정안이 주요 기업의 정보보호 업무를 전담할 수 있는 전문가를 정보보호 최고책임자로 지정하도록 하는 등 사회 전반의 정보보호 역량을 강화함으로써 사이버 침해사고의 예방과 사고 발생 시 피해의 최소화 및 신속한 복구 등에 기여할 수 있을 것으로 보고 있다.
□ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 일부개정령안 입법예고는 2월 20일(수)부터 4월 2일(화)까지이며, 과기정통부 홈페이지(www.msit.go.kr,업무안내/법령정보/입법·행정예고)와 통합입법예고센터(opinion.lawmaking.go.kr)에서 확인할 수 있다.
컨설팅 : ISMS, ISO27001 GDPR,PCI-DSS
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com
070-7867-3721, ismsbok@gmail.com
댓글 없음:
댓글 쓰기