정보보호 최고책임자(정보통신망법) 편집하기

== 정보보호 최고책임자의 직무 ==
'''정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.'''<ref>[[정보통신망 이용촉진 및 정보보호 등에 관한 법률 제45조의3|정보통신망법 제45조의3]]제4항</ref>

* '''(정보보호 계획의 수립·시행 및 개선)''' 정보통신망의 안정성·신뢰성 확보를 위하여 관리적·기술적· 물리적 보호조치를 포함하는 종합적 관리계획의 수립·시행 및 개선 
* '''(정보보호 실태와 관행의 정기적인 감사 및 개선)''' 정보보호 실태 등에 대하여 조사하거나 관계 대상자로부터 보고를 받을 수 있으며 정기적인 감사를 통해 사업주 또는 대표자에게 조사결과 및 개선조치를 보고하는 등 정보보호 업무에 대한 책임 
* '''(정보보호 위험의 식별·평가 및 정보보호대책 마련)''' 하드웨어 또는 소프트웨어의 결함이나 체계 설계상의 허점으로 인해 사용자에게 허용된 권한 이상의 동작이나 허용된 범위 이상의 정보 열람·변조·유출을 가능하게 하는 약점(취약점) 및 위험의 식별·평가, 위험을 처리하기 위한 보안조치 설계, 정보보호 대책 마련 등
* '''(정보보호 교육 및 침해사고 모의훈련 계획의 수립·시행)''' 정보통신서비스 제공자를 대상으로 정보보호를 위해 최소 연 1회 이상 필요한 교육 및 침해사고 모의훈련을 실시
** 정보보호 교육 및 침해사고 모의훈련의 구체적인 사항은 목적 및 대상, 교육내용(프로그램), 일정 및 방법 등을 포함하고 교육 대상의 지위·직책, 담당업무의 내용·숙련도에 따라 그 내용을 각기 다르게 수립·시행
** 자체적인 교육 및 침해사고 모의훈련 계획의 수립·시행이 어려운 경우 [[한국인터넷진흥원]]을 통한 지원 요청 가능

'''정보보호 최고책임자는 다음 각 목의 업무는 겸직이 가능하다.'''

* '''(정보보호 공시에 관한 업무'''<ref>[[정보보호산업의 진흥에 관한 법률 제13조]] 관련</ref>''')''' 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자는 정보통신서비스를 이용하는 자의 안전한 인터넷 이용을 위하여 정보보호 투자 및 인력현황, 정보보호 관련 인증 등 정보보호 현황을 대통령령으로 정하는 바에 따라 공개할 수 있음 
* '''(정보통신기반 보호법에 따른 정보보호책임자'''<ref>[[정보통신기반 보호법 제5조]]제5항 관련</ref>'''의 업무)''' 주요정보통신기반시설 보호대책의 수립·시행, 취약점 분석·평가 및 전담반 구성, 주요정보통신기반시설의 보호에 필요한 조치 명령 또는 권고의 이행, 침해사고의 통지, 해당 주요정보통신기반시설의 복구 및 보호에 필요한 조치 및 기타 다른 법령에 규정된 주요정보통신기반시설의 보호업무에 관한 사항 
* '''(전자금융거래법에 따른 정보보호최고책임자'''<ref>[[전자금융거래법 제21조]]의2제4항 관련</ref>'''의 업무)''' 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립, 정보기술부문의 보호, 정보기술부문의 보안에 필요한 인력관리 및 예산편성, 전자금융거래의 사고 예방 및 조치, 그 밖에 전자금융거래의 안정성 확보를 위하여 대통령령으로 정하는 사항 
* '''(개인정보 보호책임자의 업무'''<ref>[[개인정보 보호법 제31조]]제2항 관련</ref>''')''' 개인정보 보호 계획의 수립 및 시행, 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선, 개인정보 처리와 관련한 불만의 처리 및 피해구제, 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축, 개인정보 보호 교육 계획의 수립 및 시행, 개인정보파일의 보호 및 관리·감독, 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무 
* '''(관계법령에 따라 정보보호를 위하여 필요한 조치의 이행)''' 정보보호와 관련하여 정보통신망법 및 관계 법령 등에 규정된 조치의 이행
** 다음 활동을 위한 관리적·기술적·물리적 수단을 마련하는 것(「정보보호산업의 진흥에 관한 법률」제2조제1항 제1호) 등
*** 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에서 발생할 수 있는 정보의 훼손, 변조, 유출 등을 방지·복구하는 것
*** 암호·인증·인식·감시 등의 보안기술을 활용하여 재난·재해·범죄 등에 대응하거나 관련 장비·시설을 안전하게 운영하는 것

== 지정·신고 의무 제도 ==

=== 지정·신고 의무 대상자 ===
[[파일:정보보호 최고책임자 지위 기준.png|섬네일]]
[[정보통신망 이용촉진 및 정보보호 등에 관한 법률 제45조의3|정보통신망법 제45조의3]]제1항

원칙적으로 아래의 신고 의무 제외 대상자를 제외하고 정보보호 필요성이 큰 ‘중기업’ 이상의 정보통신 서비스 제공자는 정보보호 최고책임자를 지정하고 과학기술정보통신부장관(중앙전파관리소장에게 위임)에게 신고하여야 한다. 신고의무가 제외된 기업은 별도 지정·신고 행위가 없는 경우 영 제36조의7제3항에 따라 사업주나 대표자를 정보보호 최고책임자로 지정한 것으로 간주한다.

'''정보보호 최고책임자 신고 의무 제외대상'''<ref>[[정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제36조의7]]</ref>

* '''(자본금 1억원 이하)''' 자본금이 1억원 이하인 정보통신서비스 제공자
* '''(소기업)''' 중소기업기본법 제2조제2항에 따른 소기업
* '''(중기업 일부)''' 전기통신사업자, 정보보호 관리체계 인증을 받아야 하는 자, 개인정보처리자, 통신판매업자 중 어느 하나에 해당하지 않는 자

=== 지정·신고 의무 위반에 대한 행정조치 ===
정보보호 최고책임자 지정·신고 의무 위반에 대해서는 3천만원 이하의 과태료 부과([[정보통신망 이용촉진 및 정보보호 등에 관한 법률 제76조|정보통신망법 제76조]]제1항제6호의2)
{| class="wikitable"
! rowspan="2" |위반행위
! rowspan="2" |근거 법조문
! colspan="3" |위반횟수별 과태료 금액
|-
!1회
!2회
!3회
|-
|법 제45조의3제1항을 위반하여 제36조의7제1항에 따른 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하지 않거나 정보보호 최고책임자의 지정을 신고하지 않은 경우
|법 제76조제1항 제6호의2
|750
|1,500
|3,000
|-
|법 제45조의3제3항을 위반하여 정보보호 최고책임자로 하여금 같은 조 제4항의 업무 외의 다른 업무를 겸직하게 한 경우
|법 제76조제1항 제6호의3
|1,000
|2,000
|3,000
|-
|이 법을 위반하여 법 제 64조제4항에 따라 과학기술정보통신부장관 또는 방송통신위원회로부터 받은 시정조치 명령을 이행하지 않은 경우

* 법 제76조제1항제1호, 제2호, 제6호의2 및 제6호의3의 위반행위에 대한 시정조치 명령을 이행하지 않은 경우
|법 제76조제1항 제12호
|1,000
|1,000
|1,000
|-
|법 제 64조제1항에 따른 관계 물품·서류 등을 제출하지 않거나 거짓으로 제출한 경우
|법 제76조제3항 제22호
|300
|600
|1,000
|}