네플라 위키는 변호사, 판사, 검사, 법학교수, 법학박사 등 인증된 법률 전문가가 작성합니다.
2.1.
정보보호 최고책임자(CISO)의 업무 및 겸직 가능 범위
새 탭 열기
작성 이력 보기
생성자
기여자
0
정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’) 제45조의3은 정보보호 최고책임자(CISO)의 업무에 대하여 아래와 같은 규정을 두고 있다.
정보통신망법 제45조의3(정보보호 최고책임자의 지정 등) ③ 제1항 본문에 따라 지정 및 신고된 정보보호 최고책임자(자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우로 한정한다)는 제4항의 업무 외의 다른 업무를 겸직할 수 없다.
정보통신망법 시행령 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등) ① 법 제45조의3제1항 본문에서 “대통령령으로 정하는 기준에 해당하는 임직원”이란 다음 각 호의 구분에 따른 사람을 말한다.
2. 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 이사(「상법」 제401조의2제1항제3호에 따른 자와 같은 법 제408조의2에 따른 집행임원을 포함한다)
가. 직전 사업연도 말 기준 자산총액이 5조원 이상인 자
나. 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액이 5천억원 이상인 자
⑤ 법 제45조의3제3항에서 “자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자”란 정보통신서비스 제공자로서 제1항제2호 각 목의 어느 하나에 해당하는 자를 말한다. 다만, 제1항제2호가목에 해당하는 자 중 「독점규제 및 공정거래에 관한 법률」 제2조제7호에 따른 지주회사로서 자회사의 경영관리업무와 그에 부수하는 업무 외에 영리를 목적으로 하는 다른 업무를 영위하지 않는 자는 제외한다.
④ 정보보호 최고책임자의 업무는 다음 각 호와 같다.
1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.
가. 정보보호 계획의 수립ㆍ시행 및 개선 나. 정보보호 실태와 관행의 정기적인 감사 및 개선 다. 정보보호 위험의 식별 평가 및 정보보호 대책 마련 라. 정보보호 교육과 모의 훈련 계획의 수립 및 시행
2. 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.
가. 「정보보호산업의 진흥에 관한 법률」 제13조에 따른 정보보호 공시에 관한 업무
정보보호산업의 진흥에 관한 법률 제13조(정보보호 공시) ① 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 이용하는 자의 안전한 인터넷이용을 위하여 정보보호 투자 및 인력 현황, 정보보호 관련 인증 등 정보보호 현황을 대통령령으로 정하는 바에 따라 공개할 수 있다. (2문 생략)
나. 「정보통신기반 보호법」 제5조제5항에 따른 정보보호책임자의 업무
정보통신기반 보호법 제5조(주요정보통신기반시설보호대책의 수립 등) ⑤ 정보보호책임자의 지정 및 업무 등에 관하여 필요한 사항은 대통령령으로 정한다.
정보통신기반 보호법 시행령 제9조(정보보호책임자의 지정 등) ② 제1항의 규정에 의한 정보보호책임자가 총괄하는 업무는 각호와 같다.
1. 법 제5조제1항의 규정에 의한 주요정보통신기반시설보호대책의 수립ㆍ시행
2. 법 제7조제1항 및 제2항 본문의 규정에 의한 기술적 지원의 요청
3. 법 제9조의 규정에 의한 취약점 분석ㆍ평가 및 전담반 구성
4. 법 제11조제1항의 규정에 의한 주요정보통신기반시설의 보호에 필요한 조치 명령 또는 권고의 이행
5. 법 제13조제1항 전단의 규정에 의한 침해사고의 통지
6. 법 제14조제1항의 규정에 의한 해당 주요정보통신기반시설의 복구 및 보호에 필요한 조치
7. 기타 다른 법령에 규정된 주요정보통신기반시설의 보호업무에 관한 사항
다. 「전자금융거래법」 제21조의2제4항에 따른 정보보호최고책임자의 업무
전자금융거래법 제21조의2(정보보호최고책임자 지정) ④ 제1항에 따른 정보보호최고책임자는 다음 각 호의 업무를 수행한다.
1. 제21조제2항에 따른 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립
전자금융거래법 제21조(안전성의 확보의무) ② 금융회사등은 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 전자적 전송이나 처리를 위한 인력, 시설, 전자적 장치, 소요경비 등의 정보기술부문, 전자금융업무 및 「전자서명법」에 의한 인증서의 사용 등 인증방법에 관하여 금융위원회가 정하는 기준을 준수하여야 한다.
2. 정보기술부문의 보호
3. 정보기술부문의 보안에 필요한 인력관리 및 예산편성
4. 전자금융거래의 사고 예방 및 조치
5. 그 밖에 전자금융거래의 안정성 확보를 위하여 대통령령으로 정하는 사항
전자금융거래법 시행령 제11조의3(정보보호최고책임자 지정대상 금융회사 등) ③ 법 제21조의2제4항제5호에서 “대통령령으로 정하는 사항”이란 다음 각 호의 사항을 말한다.
1. 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 위한 자체심의에 관한 사항
2. 정보기술부문 보안에 관한 임직원 교육에 관한 사항
라. 「개인정보 보호법」 제31조제2항에 따른 개인정보 보호책임자의 업무
개인정보 보호법 제31조(개인정보 보호책임자의 지정) ② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리ㆍ감독
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
마. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
이에 따르면, 만일 직전 사업연도 말 기준 자산총액이 5조원 이상이거나, 정보통신망법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 정보통신서비스 제공자로서 직전 사업연도 말 기준 자산총액이 5천억원 이상인 경우에는, 해당 CISO는 아래의 업무만을 수행할 수 있으며, 그 외의 업무에 대해서는 겸직이 금지된다.
정보보호 계획의 수립ㆍ시행 및 개선
정보보호 실태와 관행의 정기적인 감사 및 개선
정보보호 위험의 식별 평가 및 정보보호 대책 마련
정보보호 교육과 모의 훈련 계획의 수립 및 시행
정보보호산업의 진흥에 관한 법률 제13조에 따른 정보보호 공시에 관한 업무
정보통신기반 보호법상 정보보호책임자의 업무로서, ① 주요정보통신기반시설보호대책의 수립ㆍ시행, ② 같은 법 제7조제1항 및 제2항 본문의 규정에 의한 기술적 지원의 요청, ③ 같은 법 제9조의 규정에 의한 취약점 분석ㆍ평가 및 전담반 구성, ④ 주요정보통신기반시설의 보호에 필요한 조치 명령 또는 권고의 이행, ⑤ 같은 법 제13조제1항 전단의 규정에 의한 침해사고의 통지, ⑥ 해당 주요정보통신기반시설의 복구 및 보호에 필요한 조치, ⑦ 기타 다른 법령에 규정된 주요정보통신기반시설의 보호업무에 관한 사항
전자금융거래법상 정보보호최고책임자의 업무로서, ① 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립, ② 정보기술부문의 보호, ③ 정보기술부문의 보안에 필요한 인력관리 및 예산편성, ④ 전자금융거래의 사고 예방 및 조치, ⑤ 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 위한 자체심의에 관한 사항, ⑥ 정보기술부문 보안에 관한 임직원 교육에 관한 사항
