정보보호 최고책임자: Difference between revisions
From CS Wiki
No edit summary |
(2022년 01월 01일 기준 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 전자금융거래법 개정사항 반영) |
||
Line 1: | Line 1: | ||
[[분류:컴플라이언스]][[분류:보안]][[분류:정보보안기사]] | [[분류:컴플라이언스]] | ||
[[분류:보안]] | |||
[[분류:정보보안기사]] | |||
;Chief Information Security Officer, CISO; 정보보호최고임원 | ;Chief Information Security Officer, CISO; 정보보호최고임원 | ||
;정보보호 최고책임자는 기업의 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리 등 정보보호 업무를 총괄하는 최고책임자 | ;정보보호 최고책임자는 기업의 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리 등 정보보호 업무를 총괄하는 최고책임자 | ||
= 국내 법률에서의 CISO = | =국내 법률에서의 CISO= | ||
== | ==정보통신망 이용촉진 및 정보보호 등에 관한 법률== | ||
[http://www.law.go.kr/법령/정보통신망이용촉진및정보보호등에관한법률 정보통신망법] | [http://www.law.go.kr/법령/정보통신망이용촉진및정보보호등에관한법률 정보통신망법] | ||
=== | *지정 및 신고 의무 대상: [[정보통신서비스 제공자]] | ||
**자본금 1억원 이하의 [[부가통신사업자]], [[소상공인]], [[소기업]](전기통신사업자, 집적정보통신시설사업자 제외) 제외 | |||
=== 자격요건 === | |||
# 정보보호 또는 정보기술 분야의 석사학위 이상 학위를 취득한 사람 | ===역할<ref>『정보통신망 이용촉진 및 정보보호 등에 관한 법률』 제45조의3제4항</ref>=== | ||
# 정보보호 또는 정보기술 분야의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람 | |||
# 정보보호 또는 정보기술 분야의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람 | # 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다. | ||
# 정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람 | ## 정보보호 계획의 수립ㆍ시행 및 개선 | ||
# 정보보호 관리체계 인증심사원의 자격을 취득한 사람 | ## 정보보호 실태와 관행의 정기적인 감사 및 개선 | ||
# 해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람 | ## 정보보호 위험의 식별 평가 및 정보보호 대책 마련 | ||
## 정보보호 교육과 모의 훈련 계획의 수립 및 시행 | |||
# 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다. | |||
## 「정보보호산업의 진흥에 관한 법률」 제13조에 따른 정보보호 공시에 관한 업무 | |||
## 「정보통신기반 보호법」 제5조제5항에 따른 정보보호책임자의 업무 | |||
## 「전자금융거래법」 제21조의2제4항에 따른 정보보호최고책임자의 업무 | |||
## 「개인정보 보호법」 제31조제2항에 따른 개인정보 보호책임자의 업무 | |||
## 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 | |||
===직위<ref>『정보통신망 이용촉진 및 정보보호 등에 관한 법률』 시행령 제36조의7제1항</ref>=== | |||
# 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 사업주 또는 대표자 | |||
## 자본금이 1억원 이하인 자 | |||
## 「중소기업기본법」 제2조제2항에 따른 소기업 | |||
## 「중소기업기본법」 제2조제2항에 따른 중기업으로서 다음의 어느 하나에 해당하지 않는 자 | |||
### 「전기통신사업법」에 따른 전기통신사업자 2) 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 | |||
### 「개인정보 보호법」 제30조제2항에 따라 개인정보 처리방침을 공개해야 하는 개인정보처리자 | |||
### 「전자상거래 등에서의 소비자보호에 관한 법률」 제12조에 따라 신고를 해야 하는 통신판매업자 | |||
# 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 이사(「상법」 제401조의2제1항제3호에 따른 자와 같은 법 제408조의2에 따른 집행임원을 포함한다) | |||
## 직전 사업연도 말 기준 자산총액이 5조원 이상인 자 | |||
## 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액이 5천억원 이상인 자 | |||
# 제1호 및 제2호에 해당하지 않는 정보통신서비스 제공자: 다음 각 목의 어느 하나에 해당하는 사람 | |||
## 사업주 또는 대표자 | |||
## 이사(「상법」 제401조의2제1항제3호에 따른 자와 같은 법 제408조의2에 따른 집행임원을 포함한다) | |||
## 정보보호 관련 업무를 총괄하는 부서의 장 | |||
===자격요건<ref>『정보통신망 이용촉진 및 정보보호 등에 관한 법률』 시행령 제36조의7제4항</ref>=== | |||
#정보보호 또는 정보기술 분야의 석사학위 이상 학위를 취득한 사람 | |||
#정보보호 또는 정보기술 분야의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람 | |||
#정보보호 또는 정보기술 분야의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람 | |||
#정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람 | |||
#정보보호 관리체계 인증심사원의 자격을 취득한 사람 | |||
#해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람 | |||
==전자금융거래법== | |||
===역할<ref>『전자금융거래법』 제21조의2제4항 및 같은법 시행령 제11조의3제3항</ref>=== | |||
# 제21조제2항에 따른 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립 | |||
# 정보기술부문의 보호 | |||
# 정보기술부문의 보안에 필요한 인력관리 및 예산편성 | |||
# 전자금융거래의 사고 예방 및 조치 | |||
# 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 위한 자체심의에 관한 사항 | |||
# 정보기술부문 보안에 관한 임직원 교육에 관한 사항 | |||
===직위<ref>『전자금융거래법』 제21조의2제2항</ref>=== | |||
# 임원(「상법」 제401조의2제1항제3호에 따른 자를 포함한다) | |||
===자격요건<ref>『전자금융거래법』 시행령 제21조의2제4항 및 별표 1</ref>=== | |||
# 정보보호 또는 정보기술(IT) 분야의 학력 또는 기술자격을 가진 사람으로서 다 음 각 목의 어느 하나에 해당하는 사람은 정보보호최고책임자의 자격을 가진다. | |||
## 정보보호 또는 정보기술(IT) 분야의 전문학사학위를 취득한 후 4년 이상 정 보보호 분야 업무 또는 5년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있 는 사람 | |||
## 정보보호 또는 정보기술(IT) 분야의 학사학위 또는 다음 전문자격을 취득한 후 2년 이상 정보보호 분야 또는 3년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있는 사람 | |||
### 「전자정부법」 제2조제15호에 따른 감리원 | |||
### 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조제5항에 따른 정보보호 관리체계 인증기관의 인증 심사원 | |||
### 「자격기본법」에 따라 공인을 받은 정보보호전문가(Specialist for Information Security) | |||
### 국제정보시스템감사통제협회(Information Systems Audit and Control Association)의 정보시스템감사사(Certified Information Systems Auditor) | |||
### 국제정보시스템보안자격협회(International Information System Security Certification Consortium)의 정보시스템보호전문가(Certified Information System Security Professional) | |||
## 정보보호 또는 정보기술(IT) 분야의 석사학위를 취득한 후 1년 이상 정보보호 분야 업무 또는 2년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있는 사람 | |||
# 다음 각 목의 어느 하나에 해당하는 사람은 정보보호최고책임자의 자격을 가진다. | |||
## 8년 이상 정보보호 분야 업무 또는 10년 이상 정보기술(IT) 분야 업무를 수 행한 경력이 있는 사람 | |||
## 전문학사학위를 취득한 후 6년 이상 정보보호 분야 업무 또는 7년 이상 정보 기술(IT) 분야 업무를 수행한 경력이 있는 사람 | |||
## 학사학위를 취득한 후 4년 이상 정보보호 분야 업무 또는 5년 이상 정보기술 (IT) 분야 업무를 수행한 경력이 있는 사람 | |||
## 석사학위를 취득한 후 2년 이상 정보보호 분야 업무 또는 3년 이상 정보기술 (IT) 분야 업무를 수행한 경력이 있는 사람 | |||
# 「농업협동조합법」에 따른 조합, 「수산업협동조합법」에 따른 조합, 「산림조합 법」에 따른 조합, 「신용협동조합법」에 따른 신용협동조합 및 「새마을금고 법」에 따른 지역금고의 경우에는 제1호 및 제2호에도 불구하고 다음 각 목의 어느 하나에 해당하는 사람도 정보보호최고책임자의 자격을 가진다. | |||
## 정보보호 또는 정보기술(IT) 분야의 학력 또는 기술자격을 가진 사람으로서 6년 이상 금융업에 종사한 사람 | |||
## 금융위원회가 정하여 고시하는 교육을 이수한 사람으로서 조합ᆞ신용협동조합 ᆞ지역금고의 장이나 그 장이 지정한 사람. 다만, 상시 종업원 수(금융위원회가 정하여 고시하는 산정방식에 따라 계산된 상시 종업원 수를 말한다)가 20명 이하인 조합ᆞ신용협동조합ᆞ지역금고의 경우로 한정한다. | |||
== 정보보호 관련 책임자 직책 비교<ref>정보보호 최고책임자(CISO) 지정·신고 제도 안내서(과기정통부, KISA, 19.12.)를 기반으로 편집</ref> == | ==정보보호 관련 책임자 직책 비교<ref>정보보호 최고책임자(CISO) 지정·신고 제도 안내서(과기정통부, KISA, 19.12.)를 기반으로 편집</ref>== | ||
{| class="wikitable" | {| class="wikitable" | ||
! 직책 | !직책 | ||
! 근거 | !근거 | ||
! 대상 | !대상 | ||
! 역할 | !역할 | ||
! 직위 | !직위 | ||
! 비고 | !비고 | ||
|- | |- | ||
| 정보보호최고책임자 | |정보보호최고책임자 | ||
(CISO) | (CISO) | ||
| [[정보통신망법]] | |[[정보통신망법]] | ||
제45조의3 | 제45조의3 | ||
| [[정보통신서비스 제공자]] | |[[정보통신서비스 제공자]] | ||
| 정보통신시스템 등에 대한 보안 및 | |정보통신시스템 등에 대한 보안 및 | ||
정보의 안전한 관리 | 정보의 안전한 관리 | ||
| 임원급 | |임원급 | ||
| 신고 | |신고 | ||
|- | |- | ||
| 정보보호최고책임자 | |정보보호최고책임자 | ||
(CISO) | (CISO) | ||
| [[전자금융거래법]] | |[[전자금융거래법]] | ||
제21조의2 | 제21조의2 | ||
| 금융회사, [[전자금융업자]] | |금융회사, [[전자금융업자]] | ||
| 전자금융업무 및 기반 정보 기술부문 | |전자금융업무 및 기반 정보 기술부문 | ||
보안 총괄 | 보안 총괄 | ||
| 임원 | |임원 | ||
(차등) | (차등) | ||
| - | | - | ||
|- | |- | ||
| 정보보호책임자 | |정보보호책임자 | ||
(CISO) | (CISO) | ||
| [[정보통신기반 보호법]] | |[[정보통신기반 보호법]] | ||
제5조 | 제5조 | ||
| [[주요정보통신기반시설]] | |[[주요정보통신기반시설]] | ||
관리기관 | 관리기관 | ||
| 시설 보호에 관한 업무 총괄 | |시설 보호에 관한 업무 총괄 | ||
| 임원급, | |임원급, | ||
영관급 장교 등 | 영관급 장교 등 | ||
| 통지 | |통지 | ||
|- | |- | ||
| [[개인정보 보호책임자]] | |[[개인정보 보호책임자]] | ||
(CPO) | (CPO) | ||
| [[개인정보 보호법]] | |[[개인정보 보호법]] | ||
제5조 | 제5조 | ||
| [[개인정보처리자]] | |[[개인정보처리자]] | ||
| 개인정보의 처리에 관한 | |개인정보의 처리에 관한 | ||
업무 총괄 책임 | 업무 총괄 책임 | ||
| 대표자, 임원, | |대표자, 임원, | ||
부서장 등 | 부서장 등 | ||
| 공개 | |공개 | ||
|- | |- | ||
| [[신용정보 관리보호인]] | |[[신용정보 관리보호인]] | ||
| [[신용정보법]] | |[[신용정보법]] | ||
제20조 | 제20조 | ||
| 신용정보회사, | |신용정보회사, | ||
금융회사 등 | 금융회사 등 | ||
| 신용정보의 관리 및 보호에 관한 업무 | |신용정보의 관리 및 보호에 관한 업무 | ||
| 임원 | |임원 | ||
(차등) | (차등) | ||
| 공시 | |공시 | ||
|- | |- | ||
| 고객정보 관리인 | |고객정보 관리인 | ||
| 금융지주회사법 | |금융지주회사법 | ||
제48조의2 | 제48조의2 | ||
| 금융지주회사 등 | |금융지주회사 등 | ||
| 고객정보의 엄격한 관리 | |고객정보의 엄격한 관리 | ||
| 임원 | |임원 | ||
| - | | - | ||
|- | |- | ||
| 정보화 책임관([[CIO]]) | |정보화 책임관([[CIO]]) | ||
| [[국가정보화 기본법]] | |[[국가정보화 기본법]] | ||
제11조 | 제11조 | ||
| 국가기관, 지방자치단체 | |국가기관, 지방자치단체 | ||
| 국가정보화 시책 수립· 시행과 국가 | |국가정보화 시책 수립· 시행과 국가 | ||
정보화사업 조정 등의 업무 총괄 | 정보화사업 조정 등의 업무 총괄 | ||
| | | | ||
| 통보 | |통보 | ||
|} | |} | ||
== 각주 == | ==각주== | ||
<references /> |
Revision as of 11:38, 31 December 2021
- Chief Information Security Officer, CISO; 정보보호최고임원
- 정보보호 최고책임자는 기업의 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리 등 정보보호 업무를 총괄하는 최고책임자
국내 법률에서의 CISO
정보통신망 이용촉진 및 정보보호 등에 관한 법률
- 지정 및 신고 의무 대상: 정보통신서비스 제공자
역할[1]
- 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.
- 정보보호 계획의 수립ㆍ시행 및 개선
- 정보보호 실태와 관행의 정기적인 감사 및 개선
- 정보보호 위험의 식별 평가 및 정보보호 대책 마련
- 정보보호 교육과 모의 훈련 계획의 수립 및 시행
- 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.
- 「정보보호산업의 진흥에 관한 법률」 제13조에 따른 정보보호 공시에 관한 업무
- 「정보통신기반 보호법」 제5조제5항에 따른 정보보호책임자의 업무
- 「전자금융거래법」 제21조의2제4항에 따른 정보보호최고책임자의 업무
- 「개인정보 보호법」 제31조제2항에 따른 개인정보 보호책임자의 업무
- 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
직위[2]
- 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 사업주 또는 대표자
- 자본금이 1억원 이하인 자
- 「중소기업기본법」 제2조제2항에 따른 소기업
- 「중소기업기본법」 제2조제2항에 따른 중기업으로서 다음의 어느 하나에 해당하지 않는 자
- 「전기통신사업법」에 따른 전기통신사업자 2) 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자
- 「개인정보 보호법」 제30조제2항에 따라 개인정보 처리방침을 공개해야 하는 개인정보처리자
- 「전자상거래 등에서의 소비자보호에 관한 법률」 제12조에 따라 신고를 해야 하는 통신판매업자
- 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 이사(「상법」 제401조의2제1항제3호에 따른 자와 같은 법 제408조의2에 따른 집행임원을 포함한다)
- 직전 사업연도 말 기준 자산총액이 5조원 이상인 자
- 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액이 5천억원 이상인 자
- 제1호 및 제2호에 해당하지 않는 정보통신서비스 제공자: 다음 각 목의 어느 하나에 해당하는 사람
- 사업주 또는 대표자
- 이사(「상법」 제401조의2제1항제3호에 따른 자와 같은 법 제408조의2에 따른 집행임원을 포함한다)
- 정보보호 관련 업무를 총괄하는 부서의 장
자격요건[3]
- 정보보호 또는 정보기술 분야의 석사학위 이상 학위를 취득한 사람
- 정보보호 또는 정보기술 분야의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람
- 정보보호 또는 정보기술 분야의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람
- 정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람
- 정보보호 관리체계 인증심사원의 자격을 취득한 사람
- 해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람
전자금융거래법
역할[4]
- 제21조제2항에 따른 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립
- 정보기술부문의 보호
- 정보기술부문의 보안에 필요한 인력관리 및 예산편성
- 전자금융거래의 사고 예방 및 조치
- 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 위한 자체심의에 관한 사항
- 정보기술부문 보안에 관한 임직원 교육에 관한 사항
직위[5]
- 임원(「상법」 제401조의2제1항제3호에 따른 자를 포함한다)
자격요건[6]
- 정보보호 또는 정보기술(IT) 분야의 학력 또는 기술자격을 가진 사람으로서 다 음 각 목의 어느 하나에 해당하는 사람은 정보보호최고책임자의 자격을 가진다.
- 정보보호 또는 정보기술(IT) 분야의 전문학사학위를 취득한 후 4년 이상 정 보보호 분야 업무 또는 5년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있 는 사람
- 정보보호 또는 정보기술(IT) 분야의 학사학위 또는 다음 전문자격을 취득한 후 2년 이상 정보보호 분야 또는 3년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있는 사람
- 「전자정부법」 제2조제15호에 따른 감리원
- 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조제5항에 따른 정보보호 관리체계 인증기관의 인증 심사원
- 「자격기본법」에 따라 공인을 받은 정보보호전문가(Specialist for Information Security)
- 국제정보시스템감사통제협회(Information Systems Audit and Control Association)의 정보시스템감사사(Certified Information Systems Auditor)
- 국제정보시스템보안자격협회(International Information System Security Certification Consortium)의 정보시스템보호전문가(Certified Information System Security Professional)
- 정보보호 또는 정보기술(IT) 분야의 석사학위를 취득한 후 1년 이상 정보보호 분야 업무 또는 2년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있는 사람
- 다음 각 목의 어느 하나에 해당하는 사람은 정보보호최고책임자의 자격을 가진다.
- 8년 이상 정보보호 분야 업무 또는 10년 이상 정보기술(IT) 분야 업무를 수 행한 경력이 있는 사람
- 전문학사학위를 취득한 후 6년 이상 정보보호 분야 업무 또는 7년 이상 정보 기술(IT) 분야 업무를 수행한 경력이 있는 사람
- 학사학위를 취득한 후 4년 이상 정보보호 분야 업무 또는 5년 이상 정보기술 (IT) 분야 업무를 수행한 경력이 있는 사람
- 석사학위를 취득한 후 2년 이상 정보보호 분야 업무 또는 3년 이상 정보기술 (IT) 분야 업무를 수행한 경력이 있는 사람
- 「농업협동조합법」에 따른 조합, 「수산업협동조합법」에 따른 조합, 「산림조합 법」에 따른 조합, 「신용협동조합법」에 따른 신용협동조합 및 「새마을금고 법」에 따른 지역금고의 경우에는 제1호 및 제2호에도 불구하고 다음 각 목의 어느 하나에 해당하는 사람도 정보보호최고책임자의 자격을 가진다.
- 정보보호 또는 정보기술(IT) 분야의 학력 또는 기술자격을 가진 사람으로서 6년 이상 금융업에 종사한 사람
- 금융위원회가 정하여 고시하는 교육을 이수한 사람으로서 조합ᆞ신용협동조합 ᆞ지역금고의 장이나 그 장이 지정한 사람. 다만, 상시 종업원 수(금융위원회가 정하여 고시하는 산정방식에 따라 계산된 상시 종업원 수를 말한다)가 20명 이하인 조합ᆞ신용협동조합ᆞ지역금고의 경우로 한정한다.
정보보호 관련 책임자 직책 비교[7]
직책 | 근거 | 대상 | 역할 | 직위 | 비고 |
---|---|---|---|---|---|
정보보호최고책임자
(CISO) |
정보통신망법
제45조의3 |
정보통신서비스 제공자 | 정보통신시스템 등에 대한 보안 및
정보의 안전한 관리 |
임원급 | 신고 |
정보보호최고책임자
(CISO) |
전자금융거래법
제21조의2 |
금융회사, 전자금융업자 | 전자금융업무 및 기반 정보 기술부문
보안 총괄 |
임원
(차등) |
- |
정보보호책임자
(CISO) |
정보통신기반 보호법
제5조 |
주요정보통신기반시설
관리기관 |
시설 보호에 관한 업무 총괄 | 임원급,
영관급 장교 등 |
통지 |
개인정보 보호책임자
(CPO) |
개인정보 보호법
제5조 |
개인정보처리자 | 개인정보의 처리에 관한
업무 총괄 책임 |
대표자, 임원,
부서장 등 |
공개 |
신용정보 관리보호인 | 신용정보법
제20조 |
신용정보회사,
금융회사 등 |
신용정보의 관리 및 보호에 관한 업무 | 임원
(차등) |
공시 |
고객정보 관리인 | 금융지주회사법
제48조의2 |
금융지주회사 등 | 고객정보의 엄격한 관리 | 임원 | - |
정보화 책임관(CIO) | 국가정보화 기본법
제11조 |
국가기관, 지방자치단체 | 국가정보화 시책 수립· 시행과 국가
정보화사업 조정 등의 업무 총괄 |
통보 |