정보보호 최고책임자: Difference between revisions
From CS Wiki
(새 문서: ;Chief Information Security Officer, CISO; 정보보호최고임원 ;기업에서 정보 보안을 위한 기술적 대책과 법률 대응까지 총괄 책임을 지는 최고 임원...) |
No edit summary |
||
Line 4: | Line 4: | ||
= 국내 법률에서의 CISO = | = 국내 법률에서의 CISO = | ||
== 정보통신망법 == | == 정보통신망법 == | ||
[http://www.law.go.kr/법령/정보통신망이용촉진및정보보호등에관한법률 정보통신망법] | |||
* 지정 및 신고 의무 대상: [[정보통신서비스 제공자]] | |||
** 자본금 1억원 이하의 [[부가통신사업자]], [[소상공인]], [[소기업]](전기통신사업자, 집적정보통신시설사업자 제외) 제외 | |||
=== 역할 === | === 역할 === | ||
;아래의 역할을 수행<ref>정보통신망법 제45조의3 제4항</ref> | |||
# 정보보호관리체계의 수립 및 관리ㆍ운영 | |||
# 정보보호 취약점 분석ㆍ평가 및 개선 | |||
# 침해사고의 예방 및 대응 | |||
# 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등 | |||
# 정보보호 사전 보안성 검토 | |||
# 중요 정보의 암호화 및 보안서버 적합성 검토 | |||
# 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 | |||
=== 직위 === | === 직위 === | ||
* 임원급<ref>정보통신망법 제45조의3 제1항</ref> | |||
=== 자격요건 === | === 자격요건 === | ||
# 정보보호 또는 정보기술 분야의 석사학위 이상 학위를 취득한 사람 | |||
# 정보보호 또는 정보기술 분야의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람 | |||
# 정보보호 또는 정보기술 분야의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람 | |||
# 정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람 | |||
# 정보보호 관리체계 인증심사원의 자격을 취득한 사람 | |||
# 해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람 | |||
* '''겸직 금지 요건''': 자산총액 5조원 이상인 정보통신서비스 제공자와 정보보호 관리체계 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5천억 원 이상인 기업의 정보보호 최고책임자는 다른 직무의 겸직을 금지<ref>정보통신망법 제45조의3 제3항</ref> | |||
== 전자금융거래법 == | == 전자금융거래법 == | ||
=== 역할 === | === 역할 === | ||
=== 직위 === | === 직위 === | ||
=== 자격요건 === | === 자격요건 === |
Revision as of 01:26, 8 June 2019
- Chief Information Security Officer, CISO; 정보보호최고임원
- 기업에서 정보 보안을 위한 기술적 대책과 법률 대응까지 총괄 책임을 지는 최고 임원
국내 법률에서의 CISO
정보통신망법
- 지정 및 신고 의무 대상: 정보통신서비스 제공자
역할
- 아래의 역할을 수행[1]
- 정보보호관리체계의 수립 및 관리ㆍ운영
- 정보보호 취약점 분석ㆍ평가 및 개선
- 침해사고의 예방 및 대응
- 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등
- 정보보호 사전 보안성 검토
- 중요 정보의 암호화 및 보안서버 적합성 검토
- 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
직위
- 임원급[2]
자격요건
- 정보보호 또는 정보기술 분야의 석사학위 이상 학위를 취득한 사람
- 정보보호 또는 정보기술 분야의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람
- 정보보호 또는 정보기술 분야의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람
- 정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람
- 정보보호 관리체계 인증심사원의 자격을 취득한 사람
- 해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람
- 겸직 금지 요건: 자산총액 5조원 이상인 정보통신서비스 제공자와 정보보호 관리체계 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5천억 원 이상인 기업의 정보보호 최고책임자는 다른 직무의 겸직을 금지[3]