반응형
정보보호_최고책임자_지정신고_제도_안내서.pdf
5.17MB
정보보호최고책임자(CISO) 지정·신고제도 안내서
1. 목적
- 정보통신서비스 제공자가 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위한 정보보호 업무를 수행할 수 있도록 정보보호 최고책임자 지정·신고제 운영
2. 지정·신고 의무대상자 및 CISO 지정기준
- 신고 의무 제외 대상자를 제외하고 '중기업'이상의 정보통신 서비스 제공자는 의무 신고 대상
- 신규 신고의무 대상 및 겸직제한에 해당하는 경우 인력수요 등을 고려하여 신고 기한을 90일에서 180일로 연장
- 신고 의무 제외 대상자
- (자본금 1억원 이하) 자본금이 1억원 이하인 정보통신서비스 제공자
- (소기업) 중소기업기본법 제2조제2항에 따른 소기업
- (중기업 일부) 전기통신사업자, 정보보호 관리체계 인증을 받아야 하는 자, 개인정보처리자, 통신판매업자 중 어느 하나에 해당하지 않는 자
- 전기통신사업자 중 소기업과 단순 안내·홍보 위주의 홈페이지만 운영하고 있던 중기업 규모의 제조기업 등은 신고의무에서 제외
- CISO 지정기준
3. CISO 수행 업무 및 겸직
- 정보보호최고책임자(CISO) 수행 업무
- 수감평훈법
- 정보보호 관리체계의 수립·시행 및 개선
- 정보보호 실태와 관행의 정기적인 감사 및 개선
- 정보보호 위험의 식별 평가 및 정보보호 대책 마련
- 정보보호 교육과 모의 훈련 계획의 수립 및 시행
- 그 밖에 정보통신망법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
- 수감평훈법
- 겸직 가능
- 정보보호산업의 진흥에 관한 법률 제13조에 따른 정보보호 공시에 관한 업무
- 정보통신기반 보호법 제5조제5항에 따른 정보보호책임자의 업무
- 전자금융거래법 제21조의2제4항에 따른 정보보호최고책임자의 업무
- 개인정보 보호법 제31조제2항에 따른 개인정보 보호책임자의 업무
- 그 밖에 이 법 또는 관계법령에 따라 정보보호를 위하여 필요한 조치의 이행
4. CISO 겸직 제한 대상 (겸직 제한은 직위에 대한 겸직 제한이 아니라, 업무에 대한 겸직 제한에 해당)
- 기준
- 직전 사업연도 말 기준 자산총액이 5조원 이상이거나 정보보호 관리체계 인증 의무대상자 중 직전 사업연도 말 기준 자산총액이 5천억원 이상인 정보통신서비스 제공자
- 정보보호 관리체계 인증 의무대상자 중 자산총액이 5천억원 이상인 자인 경우에도 정보통신서비스 제공자에 해당하지 않는 경우에는 정보보호 최고책임자 지정·신고 및 겸직제한 대상이 아님
5. 과태료
- 지정·신고 의무 위반
- 정보보호 최고책임자 지정·신고 의무 위반에 대해서는 3천만원 이하의 과태료 부과
- 정보통신망법 시행령은 과태료 부과 기준금액 위반횟수별로 1회 7백50만원, 2회 1천5백만원, 3회 이상 3천만원
- 겸직제한 위반
- 정보보호 최고책임자로 하여금 겸직제한 위반에 대해서는 3천만원 이하의 과태료 부과
- 정보통신망법 시행령은 과태료 부과 기준금액을 위반횟수별로 1회 1천만원, 2회 2천만원, 3회 이상 3천만원
6. CISO 자격요건
- 정보통신서비스 제공자가 정보보호의 전문성을 갖춘 정보보호 최고책임자를 임명할 수 있도록 자격요건 규정
- 지정·신고 의무대상 정보보호 최고책임자는 일반 자격요건을 갖추어야 하고, 겸직 제한 대상 정보보호 최고책임자는 일반 자격요건과 특별 자격요건을 함께 갖추어야함
- 일반 자격요건
- 지정·신고 의무대상 정보보호 최고책임자는 임직원급으로서 다음 중 어느 하나의 자격요건을 갖추어야 함
- 정보보호 또는 정보기술 분야의 국내 또는 외국의 석사학위 이상 학위를 취득한 사람
- 정보보호 또는 정보기술 분야의 국내 또는 외국의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람
- 정보보호 또는 정보기술 분야의 국내 또는 외국의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람
- 정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람
- 정보보호 관리체계 인증심사원의 자격을 취득한 사람
- - 해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람
- 지정·신고 의무대상 정보보호 최고책임자는 임직원급으로서 다음 중 어느 하나의 자격요건을 갖추어야 함
- 특별 자격요건
- 겸직이 제한되는 정보보호 최고책임자는 일반 자격요건을 충족하고 상근하는 자로서 다음 중 어느 하나에 해당하는 특별 자격요건을 추가로 갖추어야 함
- 정보보호 분야 업무 경력이 4년 이상
- 정보보호 분야 업무경력과 정보기술 업무경력을 합산한 기간이 5년
- 2년 이상은 정보보호 분야 업무경력 필요
- 겸직이 제한되는 정보보호 최고책임자는 일반 자격요건을 충족하고 상근하는 자로서 다음 중 어느 하나에 해당하는 특별 자격요건을 추가로 갖추어야 함
- 일반 자격요건
7. 신고 방법
- (신고인) 회사 대표자, 정보보호 최고책임자, 회사 소속 대리인
- (접수처) 과학기술정보통신부 전자민원센터(https://www.emsit.go.kr) 온라인 민원신청, 지역별 관할 전파관리소 방문·우편 또는 팩스 접수
- ※ 전자민원센터를 통한 온라인 민원신청 시 공동인증서 필요
- (제출서류) 정보보호 최고책임자 지정 신고서, 법인등기사항 증명서(또는 사업등록증 사본)
- ※ 행정정보 공동이용 동의 시 법인등기사항증명서(사업자등록증 사본) 제출 불필요
- (처리기간) 원칙적으로 접수 즉시 처리
반응형
'ISMS-P 인증심사원(필기) > ISMS-P 관련 가이드' 카테고리의 다른 글
| 2021 OWASP TOP 10 (0) | 2023.06.23 |
|---|---|
| [요약정리암기] 불법스팸 방지를 위한 정보통신망법 안내서 (0) | 2023.02.08 |
| [요약정리암기] 영상정보처리기기 설치운영 가이드라인 공공·민간 (0) | 2023.02.08 |
| [요약정리암기] 가명정보 처리 가이드라인 (0) | 2023.02.07 |
| [요약정리암기] 생체정보 보호 가이드라인 (0) | 2023.02.07 |