최신판 |
당신의 편집 |
1번째 줄: |
1번째 줄: |
| [[분류:컴플라이언스]] | | [[분류:컴플라이언스]][[분류:보안]][[분류:정보보안기사]] |
| [[분류:보안]] | |
| [[분류:정보보안기사]] | |
| | |
| ;Chief Information Security Officer, CISO; 정보보호최고임원 | | ;Chief Information Security Officer, CISO; 정보보호최고임원 |
| ;정보보호 최고책임자는 기업의 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리 등 정보보호 업무를 총괄하는 최고책임자 | | ;정보보호 최고책임자는 기업의 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리 등 정보보호 업무를 총괄하는 최고책임자 |
|
| |
|
| =국내 법률에서의 CISO= | | = 국내 법률에서의 CISO = |
| | == 정보통신망법 == |
| | [http://www.law.go.kr/법령/정보통신망이용촉진및정보보호등에관한법률 정보통신망법] |
| | * 지정 및 신고 의무 대상: [[정보통신서비스 제공자]] |
| | ** 자본금 1억원 이하의 [[부가통신사업자]], [[소상공인]], [[소기업]](전기통신사업자, 집적정보통신시설사업자 제외) 제외 |
| | === 역할 === |
| | ;아래의 역할을 수행<ref>정보통신망법 제45조의3 제4항</ref> |
| | # 정보보호관리체계의 수립 및 관리ㆍ운영 |
| | # 정보보호 취약점 분석ㆍ평가 및 개선 |
| | # 침해사고의 예방 및 대응 |
| | # 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등 |
| | # 정보보호 사전 보안성 검토 |
| | # 중요 정보의 암호화 및 보안서버 적합성 검토 |
| | # 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 |
|
| |
|
| === [[정보보호 최고책임자(정보통신망법)|정보통신망법]] === | | === 직위 === |
| [https://www.law.go.kr/법령/정보통신망이용촉진및정보보호등에관한법률/(20221211,18871,20220610)/제45조의3 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)] 같은 법 [https://www.law.go.kr/법령/정보통신망이용촉진및정보보호등에관한법률시행령/(20221211,33039,20221209)/제36조의7 시행령 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등)]
| | * 임원급<ref>정보통신망법 제45조의3 제1항</ref> |
| | === 자격요건 === |
| | # 정보보호 또는 정보기술 분야의 석사학위 이상 학위를 취득한 사람 |
| | # 정보보호 또는 정보기술 분야의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람 |
| | # 정보보호 또는 정보기술 분야의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람 |
| | # 정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람 |
| | # 정보보호 관리체계 인증심사원의 자격을 취득한 사람 |
| | # 해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람 |
|
| |
|
| *지정 및 신고 의무 대상: [[정보통신서비스 제공자]] | | * '''겸직 금지 요건''': 자산총액 5조원 이상인 정보통신서비스 제공자와 정보보호 관리체계 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5천억 원 이상인 기업의 정보보호 최고책임자는 다른 직무의 겸직을 금지<ref>정보통신망법 제45조의3 제3항</ref> |
| **자본금 1억원 이하의 [[부가통신사업자]], [[소상공인]], [[소기업]](전기통신사업자, 집적정보통신시설사업자 제외) 제외
| |
|
| |
|
| ==== 역할<ref>『정보통신망 이용촉진 및 정보보호 등에 관한 법률』 제45조의3제4항</ref> ==== | | == 전자금융거래법 == |
| # 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.
| | === 역할 === |
| ## 정보보호 계획의 수립ㆍ시행 및 개선
| | === 직위 === |
| ## 정보보호 실태와 관행의 정기적인 감사 및 개선
| | === 자격요건 === |
| ## 정보보호 위험의 식별 평가 및 정보보호 대책 마련
| |
| ## 정보보호 교육과 모의 훈련 계획의 수립 및 시행
| |
| # 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.
| |
| ## [https://www.law.go.kr/법령/정보보호산업의진흥에관한법률/(20211209,18200,20210608)/제13조 「정보보호산업의 진흥에 관한 법률」 제13조]에 따른 정보보호 공시에 관한 업무
| |
| ## [https://www.law.go.kr/법령/정보통신기반보호법/(20220911,18870,20220610)/제5조 「정보통신기반 보호법」 제5조제5항]에 따른 정보보호책임자의 업무
| |
| ## [https://www.law.go.kr/법령/전자금융거래법/(20201210,17354,20200609)/제21조의2 「전자금융거래법」 제21조의2제4항]에 따른 정보보호최고책임자의 업무
| |
| ## [https://www.law.go.kr/법령/개인정보보호법/(20200805,16930,20200204)/제31조 「개인정보 보호법」 제31조제2항]에 따른 개인정보 보호책임자의 업무
| |
| ## 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
| |
|
| |
|
| ==== 직위<ref>『정보통신망 이용촉진 및 정보보호 등에 관한 법률』 시행령 제36조의7제1항</ref> ====
| | == 정보보호 관련 책임자 직책 비교<ref>정보보호 최고책임자(CISO) 지정·신고 제도 안내서(과기정통부, KISA, 19.12.)를 기반으로 편집</ref> == |
| # 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 사업주 또는 대표자
| |
| ## 자본금이 1억원 이하인 자
| |
| ## [https://www.law.go.kr/법령/중소기업기본법/(20221115,19044,20221115)/제2조 「중소기업기본법」 제2조]제2항에 따른 소기업
| |
| ## [https://www.law.go.kr/법령/중소기업기본법/(20221115,19044,20221115)/제2조 「중소기업기본법」 제2조]제2항에 따른 중기업으로서 다음의 어느 하나에 해당하지 않는 자
| |
| ### [https://www.law.go.kr/법령/전기통신사업법/(20221211,18869,20220610)/제2조 「전기통신사업법」]에 따른 전기통신사업자
| |
| ### [https://www.law.go.kr/법령/정보통신망이용촉진및정보보호등에관한법률/(20221211,18871,20220610)/제47조 법 제47조]제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자
| |
| ### [https://www.law.go.kr/법령/개인정보보호법/(20200805,16930,20200204)/제30조 「개인정보 보호법」 제30조]제2항에 따라 개인정보 처리방침을 공개해야 하는 개인정보처리자
| |
| ### [https://www.law.go.kr/법령/전자상거래등에서의소비자보호에관한법률/(20211230,17799,20201229)/제12조 「전자상거래 등에서의 소비자보호에 관한 법률」 제12조]에 따라 신고를 해야 하는 통신판매업자
| |
| # 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 이사([https://www.law.go.kr/법령/상법/(20201229,17764,20201229)/제401조의2 「상법」 제401조의2]제1항제3호에 따른 자와 [https://www.law.go.kr/법령/상법/(20201229,17764,20201229)/제408조의2 같은 법 제408조의2]에 따른 집행임원을 포함한다)
| |
| ## 직전 사업연도 말 기준 자산총액이 5조원 이상인 자
| |
| ## [https://www.law.go.kr/법령/정보통신망이용촉진및정보보호등에관한법률/(20221211,18871,20220610)/제47조 법 제47조]제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액이 5천억원 이상인 자
| |
| # 제1호 및 제2호에 해당하지 않는 정보통신서비스 제공자: 다음 각 목의 어느 하나에 해당하는 사람
| |
| ## 사업주 또는 대표자
| |
| ## 이사([https://www.law.go.kr/법령/상법/(20201229,17764,20201229)/제401조의2 「상법」 제401조의2]제1항제3호에 따른 자와 [https://www.law.go.kr/법령/상법/(20201229,17764,20201229)/제408조의2 같은 법 제408조의2]에 따른 집행임원을 포함한다)
| |
| ## 정보보호 관련 업무를 총괄하는 부서의 장
| |
| | |
| ==== 자격요건<ref>『정보통신망 이용촉진 및 정보보호 등에 관한 법률』 시행령 제36조의7제4항</ref> ====
| |
| #정보보호 또는 정보기술 분야의 석사학위 이상 학위를 취득한 사람
| |
| #정보보호 또는 정보기술 분야의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람
| |
| #정보보호 또는 정보기술 분야의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람
| |
| #정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람
| |
| #정보보호 관리체계 인증심사원의 자격을 취득한 사람
| |
| #해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람
| |
| | |
| === 전자금융거래법 ===
| |
| | |
| ==== 역할<ref>『전자금융거래법』 제21조의2제4항 및 같은법 시행령 제11조의3제3항</ref> ====
| |
| # [https://www.law.go.kr/법령/전자금융거래법/(20201210,17354,20200609)/제21조 제21조]제2항에 따른 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립
| |
| # 정보기술부문의 보호
| |
| # 정보기술부문의 보안에 필요한 인력관리 및 예산편성
| |
| # 전자금융거래의 사고 예방 및 조치
| |
| # 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 위한 자체심의에 관한 사항
| |
| # 정보기술부문 보안에 관한 임직원 교육에 관한 사항
| |
| | |
| ==== 직위<ref>『전자금융거래법』 제21조의2제2항</ref> ====
| |
| # 임원([https://www.law.go.kr/법령/상법/(20201229,17764,20201229)/제401조의2 「상법」 제401조의2]제1항제3호에 따른 자를 포함한다)
| |
| | |
| ==== 자격요건<ref>『전자금융거래법』 시행령 제21조의2제4항 및 별표 1</ref> ====
| |
| # 정보보호 또는 정보기술(IT) 분야의 학력 또는 기술자격을 가진 사람으로서 다 음 각 목의 어느 하나에 해당하는 사람은 정보보호최고책임자의 자격을 가진다.
| |
| ## 정보보호 또는 정보기술(IT) 분야의 전문학사학위를 취득한 후 4년 이상 정 보보호 분야 업무 또는 5년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있 는 사람
| |
| ## 정보보호 또는 정보기술(IT) 분야의 학사학위 또는 다음 전문자격을 취득한 후 2년 이상 정보보호 분야 또는 3년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있는 사람
| |
| ### 「전자정부법」 제2조제15호에 따른 감리원
| |
| ### 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조제5항에 따른 정보보호 관리체계 인증기관의 인증 심사원
| |
| ### 「자격기본법」에 따라 공인을 받은 정보보호전문가(Specialist for Information Security)
| |
| ### 국제정보시스템감사통제협회(Information Systems Audit and Control Association)의 정보시스템감사사(Certified Information Systems Auditor)
| |
| ### 국제정보시스템보안자격협회(International Information System Security Certification Consortium)의 정보시스템보호전문가(Certified Information System Security Professional)
| |
| ## 정보보호 또는 정보기술(IT) 분야의 석사학위를 취득한 후 1년 이상 정보보호 분야 업무 또는 2년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있는 사람
| |
| # 다음 각 목의 어느 하나에 해당하는 사람은 정보보호최고책임자의 자격을 가진다.
| |
| ## 8년 이상 정보보호 분야 업무 또는 10년 이상 정보기술(IT) 분야 업무를 수 행한 경력이 있는 사람
| |
| ## 전문학사학위를 취득한 후 6년 이상 정보보호 분야 업무 또는 7년 이상 정보 기술(IT) 분야 업무를 수행한 경력이 있는 사람
| |
| ## 학사학위를 취득한 후 4년 이상 정보보호 분야 업무 또는 5년 이상 정보기술 (IT) 분야 업무를 수행한 경력이 있는 사람
| |
| ## 석사학위를 취득한 후 2년 이상 정보보호 분야 업무 또는 3년 이상 정보기술 (IT) 분야 업무를 수행한 경력이 있는 사람
| |
| # 「농업협동조합법」에 따른 조합, 「수산업협동조합법」에 따른 조합, 「산림조합 법」에 따른 조합, 「신용협동조합법」에 따른 신용협동조합 및 「새마을금고 법」에 따른 지역금고의 경우에는 제1호 및 제2호에도 불구하고 다음 각 목의 어느 하나에 해당하는 사람도 정보보호최고책임자의 자격을 가진다.
| |
| ## 정보보호 또는 정보기술(IT) 분야의 학력 또는 기술자격을 가진 사람으로서 6년 이상 금융업에 종사한 사람
| |
| ## 금융위원회가 정하여 고시하는 교육을 이수한 사람으로서 조합ᆞ신용협동조합 ᆞ지역금고의 장이나 그 장이 지정한 사람. 다만, 상시 종업원 수(금융위원회가 정하여 고시하는 산정방식에 따라 계산된 상시 종업원 수를 말한다)가 20명 이하인 조합ᆞ신용협동조합ᆞ지역금고의 경우로 한정한다.
| |
| | |
| ==정보보호 관련 책임자 직책 비교<ref>정보보호 최고책임자(CISO) 지정·신고 제도 안내서(과기정통부, KISA, 19.12.)를 기반으로 편집</ref>== | |
| {| class="wikitable" | | {| class="wikitable" |
| !직책 | | ! 직책 |
| !근거 | | ! 근거 |
| !대상 | | ! 대상 |
| !역할 | | ! 역할 |
| !직위 | | ! 직위 |
| !비고 | | ! 비고 |
| |- | | |- |
| |정보보호최고책임자 | | | 정보보호최고책임자 |
| (CISO) | | (CISO) |
| |[[정보통신망법]] | | | [[정보통신망법]] |
| 제45조의3 | | 제45조의3 |
| |[[정보통신서비스 제공자]] | | | [[정보통신서비스 제공자]] |
| |정보통신시스템 등에 대한 보안 및 | | | 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리 |
| 정보의 안전한 관리 | | | 임원급 |
| |임원급 | | | 신고 |
| |신고 | |
| |- | | |- |
| |정보보호최고책임자 | | | 정보보호최고책임자 |
| (CISO) | | (CISO) |
| |[[전자금융거래법]] | | | [[전자금융거래법]] |
| 제21조의2 | | 제21조의2 |
| |금융회사, [[전자금융업자]] | | | 금융회사, [[전자금융업자]] |
| |전자금융업무 및 기반 정보 기술부문 | | | 전자금융업무 및 기반 정보 기술부문 보안 총괄 |
| 보안 총괄 | | | 임원 |
| |임원 | |
| (차등) | | (차등) |
| | - | | | - |
| |- | | |- |
| |정보보호책임자 | | | 정보보호책임자 |
| (CISO) | | (CISO) |
| |[[정보통신기반 보호법]] | | | [[정보통신기반보호법]] |
| 제5조 | | 제5조 |
| |[[주요정보통신기반시설]] | | | [[주요정보통신기반시설]] |
| 관리기관 | | 관리기관 |
| |시설 보호에 관한 업무 총괄 | | | 시설 보호에 관한 업무 총괄 |
| |임원급, | | | 임원급, |
| 영관급 장교 등 | | 영관급 장교 등 |
| |통지 | | | 통지 |
| |- | | |- |
| |[[개인정보 보호책임자]] | | | [[개인정보 보호책임자]] |
| (CPO) | | (CPO) |
| |[[개인정보 보호법]] | | | [[개인정보 보호법]] |
| 제5조 | | 제5조 |
| |[[개인정보처리자]] | | | [[개인정보처리자]] |
| |개인정보의 처리에 관한 | | | 개인정보의 처리에 관한 업무 총괄 책임 |
| 업무 총괄 책임 | | | 대표자, 임원 |
| |대표자, 임원, | |
| 부서장 등 | | 부서장 등 |
| |공개 | | (차등) |
| | | 공개 |
| |- | | |- |
| |[[신용정보 관리보호인]] | | | [[신용정보 관리보호인]] |
| |[[신용정보법]] | | | [[신용정보법]] |
| 제20조 | | 제20조 |
| |신용정보회사, | | | 신용정보회사, 신용정보집중기관, |
| 금융회사 등 | | 금융회사 등 신용정보 제공·이용자 |
| |신용정보의 관리 및 보호에 관한 업무 | | | 신용정보의 관리 및 보호에 관한 업무 |
| |임원 | | | 임원 |
| (차등) | | (차등) |
| |공시 | | | 공시 |
| |- | | |- |
| |고객정보 관리인 | | | 고객정보 관리인 |
| |금융지주회사법 | | | 금융지주회사법 |
| 제48조의2 | | 제48조의2 |
| |금융지주회사 등 | | | 금융지주회사 등 |
| |고객정보의 엄격한 관리 | | | 고객정보의 엄격한 관리 |
| |임원 | | | 임원 |
| | - | | | - |
| |- | | |- |
| |정보화 책임관([[CIO]]) | | | 정보화 책임관(CIO) |
| |[[국가정보화 기본법]] | | | [[국가정보화 기본법]] |
| 제11조 | | 제11조 |
| |국가기관, 지방자치단체 | | | 국가기관, 지방자치단체 |
| |국가정보화 시책 수립· 시행과 국가 | | | 국가정보화 시책 수립· 시행과 국가정보화 사업 |
| 정보화사업 조정 등의 업무 총괄
| | 조정 등의 업무 총괄 |
| | | | | |
| |통보 | | | 통보 |
| |} | | |} |
|
| |
| ==각주==
| |
| <references />
| |