정보보호 최고책임자(정보통신망법)
IT위키
정보보호 최고책임자의 직무[편집 | 원본 편집]
정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.[1]
- (정보보호 계획의 수립·시행 및 개선) 정보통신망의 안정성·신뢰성 확보를 위하여 관리적·기술적· 물리적 보호조치를 포함하는 종합적 관리계획의 수립·시행 및 개선
- (정보보호 실태와 관행의 정기적인 감사 및 개선) 정보보호 실태 등에 대하여 조사하거나 관계 대상자로부터 보고를 받을 수 있으며 정기적인 감사를 통해 사업주 또는 대표자에게 조사결과 및 개선조치를 보고하는 등 정보보호 업무에 대한 책임
- (정보보호 위험의 식별·평가 및 정보보호대책 마련) 하드웨어 또는 소프트웨어의 결함이나 체계 설계상의 허점으로 인해 사용자에게 허용된 권한 이상의 동작이나 허용된 범위 이상의 정보 열람·변조·유출을 가능하게 하는 약점(취약점) 및 위험의 식별·평가, 위험을 처리하기 위한 보안조치 설계, 정보보호 대책 마련 등
- (정보보호 교육 및 침해사고 모의훈련 계획의 수립·시행) 정보통신서비스 제공자를 대상으로 정보보호를 위해 최소 연 1회 이상 필요한 교육 및 침해사고 모의훈련을 실시
- 정보보호 교육 및 침해사고 모의훈련의 구체적인 사항은 목적 및 대상, 교육내용(프로그램), 일정 및 방법 등을 포함하고 교육 대상의 지위·직책, 담당업무의 내용·숙련도에 따라 그 내용을 각기 다르게 수립·시행
- 자체적인 교육 및 침해사고 모의훈련 계획의 수립·시행이 어려운 경우 한국인터넷진흥원을 통한 지원 요청 가능
정보보호 최고책임자는 다음 각 목의 업무는 겸직이 가능하다.
- (정보보호 공시에 관한 업무[2]) 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자는 정보통신서비스를 이용하는 자의 안전한 인터넷 이용을 위하여 정보보호 투자 및 인력현황, 정보보호 관련 인증 등 정보보호 현황을 대통령령으로 정하는 바에 따라 공개할 수 있음
- (정보통신기반 보호법에 따른 정보보호책임자[3]의 업무) 주요정보통신기반시설 보호대책의 수립·시행, 취약점 분석·평가 및 전담반 구성, 주요정보통신기반시설의 보호에 필요한 조치 명령 또는 권고의 이행, 침해사고의 통지, 해당 주요정보통신기반시설의 복구 및 보호에 필요한 조치 및 기타 다른 법령에 규정된 주요정보통신기반시설의 보호업무에 관한 사항
- (전자금융거래법에 따른 정보보호최고책임자[4]의 업무) 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립, 정보기술부문의 보호, 정보기술부문의 보안에 필요한 인력관리 및 예산편성, 전자금융거래의 사고 예방 및 조치, 그 밖에 전자금융거래의 안정성 확보를 위하여 대통령령으로 정하는 사항
- (개인정보 보호책임자의 업무[5]) 개인정보 보호 계획의 수립 및 시행, 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선, 개인정보 처리와 관련한 불만의 처리 및 피해구제, 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축, 개인정보 보호 교육 계획의 수립 및 시행, 개인정보파일의 보호 및 관리·감독, 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
- (관계법령에 따라 정보보호를 위하여 필요한 조치의 이행) 정보보호와 관련하여 정보통신망법 및 관계 법령 등에 규정된 조치의 이행
- 다음 활동을 위한 관리적·기술적·물리적 수단을 마련하는 것(「정보보호산업의 진흥에 관한 법률」제2조제1항 제1호) 등
- 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에서 발생할 수 있는 정보의 훼손, 변조, 유출 등을 방지·복구하는 것
- 암호·인증·인식·감시 등의 보안기술을 활용하여 재난·재해·범죄 등에 대응하거나 관련 장비·시설을 안전하게 운영하는 것
- 다음 활동을 위한 관리적·기술적·물리적 수단을 마련하는 것(「정보보호산업의 진흥에 관한 법률」제2조제1항 제1호) 등
지정·신고 의무 제도[편집 | 원본 편집]
지정·신고 의무 대상자[편집 | 원본 편집]
원칙적으로 아래의 신고 의무 제외 대상자를 제외하고 정보보호 필요성이 큰 ‘중기업’ 이상의 정보통신 서비스 제공자는 정보보호 최고책임자를 지정하고 과학기술정보통신부장관(중앙전파관리소장에게 위임)에게 신고하여야 한다. 신고의무가 제외된 기업은 별도 지정·신고 행위가 없는 경우 영 제36조의7제3항에 따라 사업주나 대표자를 정보보호 최고책임자로 지정한 것으로 간주한다.
정보보호 최고책임자 신고 의무 제외대상[6]
- (자본금 1억원 이하) 자본금이 1억원 이하인 정보통신서비스 제공자
- (소기업) 중소기업기본법 제2조제2항에 따른 소기업
- (중기업 일부) 전기통신사업자, 정보보호 관리체계 인증을 받아야 하는 자, 개인정보처리자, 통신판매업자 중 어느 하나에 해당하지 않는 자
지정·신고 의무 위반에 대한 행정조치[편집 | 원본 편집]
정보보호 최고책임자 지정·신고 의무 위반에 대해서는 3천만원 이하의 과태료 부과(정보통신망법 제76조제1항제6호의2)
| 위반행위 | 근거 법조문 | 위반횟수별 과태료 금액 | ||
|---|---|---|---|---|
| 1회 | 2회 | 3회 | ||
| 법 제45조의3제1항을 위반하여 제36조의7제1항에 따른 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하지 않거나 정보보호 최고책임자의 지정을 신고하지 않은 경우 | 법 제76조제1항 제6호의2 | 750 | 1,500 | 3,000 |
| 법 제45조의3제3항을 위반하여 정보보호 최고책임자로 하여금 같은 조 제4항의 업무 외의 다른 업무를 겸직하게 한 경우 | 법 제76조제1항 제6호의3 | 1,000 | 2,000 | 3,000 |
이 법을 위반하여 법 제 64조제4항에 따라 과학기술정보통신부장관 또는 방송통신위원회로부터 받은 시정조치 명령을 이행하지 않은 경우
|
법 제76조제1항 제12호 | 1,000 | 1,000 | 1,000 |
| 법 제 64조제1항에 따른 관계 물품·서류 등을 제출하지 않거나 거짓으로 제출한 경우 | 법 제76조제3항 제22호 | 300 | 600 | 1,000 |
- ↑ 정보통신망법 제45조의3제4항
- ↑ 정보보호산업의 진흥에 관한 법률 제13조 관련
- ↑ 정보통신기반 보호법 제5조제5항 관련
- ↑ 전자금융거래법 제21조의2제4항 관련
- ↑ 개인정보 보호법 제31조제2항 관련
- ↑ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제36조의7
