(2019.06.13 시행) 정보통신망법 시행령 개정안

정보통신서비스 제공자에 대한 CISO 지정


2019년 6월 13일 시행예정인 정보통신망법 시행령 개정안이 입법 예고되어 있다. 여기서 크게 변경되는 부분이 정보통신서비스 제공자에 대한 CISO 지정에 관한 부분이다.

* CISO: chief information security officer로 한국말로 하면 '정보보안 최고 책임자' 이다.


먼저, 2019년 6월 13일에 개선되는 법령은 아래와 같다.

정보통신망법 45조의3(정보보호 최고책임자의 지정 등) ① 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 임원급의 정보보호 최고책임자를 지정하고 과학기술정보통신부장관에게 신고하여야 한다. 다만, 자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우에는 정보보호 최고책임자를 지정하지 아니할 수 있다.  <개정 2014. 5. 28., 2017. 7. 26., 2018. 6. 12.>

② 제1항에 따른 신고의 방법 및 절차 등에 대해서는 대통령령으로 정한다.  <신설 2014. 5. 28.>

③ 제1항 본문에 따라 지정 및 신고된 정보보호 최고책임자(자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우로 한정한다)는 제4항의 업무 외의 다른 업무를 겸직할 수 없다.  <신설 2018. 6. 12.>

④ 정보보호 최고책임자는 다음 각 호의 업무를 총괄한다.  <개정 2014. 5. 28., 2018. 6. 12.>

1. 정보보호관리체계의 수립 및 관리ㆍ운영

2. 정보보호 취약점 분석ㆍ평가 및 개선

3. 침해사고의 예방 및 대응

4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등

5. 정보보호 사전 보안성 검토

6. 중요 정보의 암호화 및 보안서버 적합성 검토

7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

⑤ 정보통신서비스 제공자는 침해사고에 대한 공동 예방 및 대응, 필요한 정보의 교류, 그 밖에 대통령령으로 정하는 공동의 사업을 수행하기 위하여 제1항에 따른 정보보호 최고책임자를 구성원으로 하는 정보보호 최고책임자 협의회를 구성ㆍ운영할 수 있다.  <개정 2014. 5. 28., 2018. 6. 12.>

⑥ 정부는 제5항에 따른 정보보호 최고책임자 협의회의 활동에 필요한 경비의 전부 또는 일부를 지원할 수 있다.  <개정 2014. 5. 28., 2015. 6. 22., 2018. 6. 12.>

⑦ 정보보호 최고책임자의 자격요건 등에 필요한 사항은 대통령령으로 정한다.  <신설 2018. 6. 12.>

[본조신설 2012. 2. 17.]

[시행일 : 2019. 6. 13.] 제45조의3

기존까지는 CISO에 대한 지정 및 신고 의무 대상자는 소프트웨어 개발 사업자 등이 상시 종업원 수가 1천명 이상인 정보통신망법서비스 제공자 등이었으나 개선된 법령에서는 위와 같이 좀 더 구체적으로 변경이 되면서 CISO를 지정 및 신고를 해야 하는 대상이 확대되었다.

법령에 나오는 용어를 좀 더 자세하게 보면 아래를 참고하면 된다.

3. "정보통신서비스 제공자"란 「전기통신사업법」 제2조제8호에 따른 전기통신사업자*와 영리를 목적으로 전기통신사업자의 전기통신역무**를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다.

* "전기통신사업자"란 이 법에 따른 허가를 받거나 등록 또는 신고(신고가 면제된 경우를 포함한다)를 하고 전기통신역무를 제공하는 자를 말한다.

** "전기통신역무"란 전기통신설비를 이용하여 타인의 통신을 매개하거나 전기통신설비를 타인의 통신용으로 제공하는 것을 말한다.

대략적으로 정리를 하자면, 홈페이지를 운영하고 있는 회사는 거의 대상이 될 것 같으며, 회사의 자산총액에 따라 CISO 겸직 가능 여부가 결정된다. (자산총액 5조원 이상의 정보통신서비스 제공자는 겸직 불가능)

추가로, 다른 직무와 겸직이 불가능한 CISO는 아래의 자격요건을 충족해야 한다. 

- (필수) 상근하는 자

- (필수) 다른회사 임직원으로 재직 중이지 아니한 자

- (필수) 임원급

그리고 아래 둘 중 하나의 자격 요건을 만족해야 한다.

- 4년 이상의 정보보호 분야 경력자

- 2년 이상의 정보보호 분야 경력자로 정보기술 분야 경력과 합하여 5년 이상인 자


CISO를 지정하고 과기정통부 (과학기술정보통신부) 장관에게 신고를 해야 한다고 되어있다. 지정이 안되어 있다면 감사 시 CISO 지정에 대하여 확인을 할지는 모르겠지만, 당장 하지는 않을 것 같고 추후 1-2년 정도 후에는 감사를 진행한다면 CISO 지정 관련하여 확인을 하지 않을까.








+ Recent posts