(2019.06.13 시행) 정보통신망법 시행령 개정안 | 정보통신서비스 제공자에 대한 CISO 지정
(2019.06.13 시행) 정보통신망법 시행령 개정안
정보통신서비스 제공자에 대한 CISO 지정
2019년 6월 13일 시행예정인 정보통신망법 시행령 개정안이 입법 예고되어 있다. 여기서 크게 변경되는 부분이 정보통신서비스 제공자에 대한 CISO 지정에 관한 부분이다.
* CISO: chief information security officer로 한국말로 하면 '정보보안 최고 책임자' 이다.
먼저, 2019년 6월 13일에 개선되는 법령은 아래와 같다.
정보통신망법 45조의3(정보보호 최고책임자의 지정 등) ① 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 임원급의 정보보호 최고책임자를 지정하고 과학기술정보통신부장관에게 신고하여야 한다. 다만, 자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우에는 정보보호 최고책임자를 지정하지 아니할 수 있다. <개정 2014. 5. 28., 2017. 7. 26., 2018. 6. 12.>
② 제1항에 따른 신고의 방법 및 절차 등에 대해서는 대통령령으로 정한다. <신설 2014. 5. 28.>
③ 제1항 본문에 따라 지정 및 신고된 정보보호 최고책임자(자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우로 한정한다)는 제4항의 업무 외의 다른 업무를 겸직할 수 없다. <신설 2018. 6. 12.>
④ 정보보호 최고책임자는 다음 각 호의 업무를 총괄한다. <개정 2014. 5. 28., 2018. 6. 12.>
1. 정보보호관리체계의 수립 및 관리ㆍ운영
2. 정보보호 취약점 분석ㆍ평가 및 개선
3. 침해사고의 예방 및 대응
4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등
5. 정보보호 사전 보안성 검토
6. 중요 정보의 암호화 및 보안서버 적합성 검토
7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
⑤ 정보통신서비스 제공자는 침해사고에 대한 공동 예방 및 대응, 필요한 정보의 교류, 그 밖에 대통령령으로 정하는 공동의 사업을 수행하기 위하여 제1항에 따른 정보보호 최고책임자를 구성원으로 하는 정보보호 최고책임자 협의회를 구성ㆍ운영할 수 있다. <개정 2014. 5. 28., 2018. 6. 12.>
⑥ 정부는 제5항에 따른 정보보호 최고책임자 협의회의 활동에 필요한 경비의 전부 또는 일부를 지원할 수 있다. <개정 2014. 5. 28., 2015. 6. 22., 2018. 6. 12.>
⑦ 정보보호 최고책임자의 자격요건 등에 필요한 사항은 대통령령으로 정한다. <신설 2018. 6. 12.>
[본조신설 2012. 2. 17.]
[시행일 : 2019. 6. 13.] 제45조의3
기존까지는 CISO에 대한 지정 및 신고 의무 대상자는 소프트웨어 개발 사업자 등이 상시 종업원 수가 1천명 이상인 정보통신망법서비스 제공자 등이었으나 개선된 법령에서는 위와 같이 좀 더 구체적으로 변경이 되면서 CISO를 지정 및 신고를 해야 하는 대상이 확대되었다.
법령에 나오는 용어를 좀 더 자세하게 보면 아래를 참고하면 된다.
3. "정보통신서비스 제공자"란 「전기통신사업법」 제2조제8호에 따른 전기통신사업자*와 영리를 목적으로 전기통신사업자의 전기통신역무**를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다.
* "전기통신사업자"란 이 법에 따른 허가를 받거나 등록 또는 신고(신고가 면제된 경우를 포함한다)를 하고 전기통신역무를 제공하는 자를 말한다.
** "전기통신역무"란 전기통신설비를 이용하여 타인의 통신을 매개하거나 전기통신설비를 타인의 통신용으로 제공하는 것을 말한다.
대략적으로 정리를 하자면, 홈페이지를 운영하고 있는 회사는 거의 대상이 될 것 같으며, 회사의 자산총액에 따라 CISO 겸직 가능 여부가 결정된다. (자산총액 5조원 이상의 정보통신서비스 제공자는 겸직 불가능)
추가로, 다른 직무와 겸직이 불가능한 CISO는 아래의 자격요건을 충족해야 한다.
- (필수) 상근하는 자
- (필수) 다른회사 임직원으로 재직 중이지 아니한 자
- (필수) 임원급
그리고 아래 둘 중 하나의 자격 요건을 만족해야 한다.
- 4년 이상의 정보보호 분야 경력자
- 2년 이상의 정보보호 분야 경력자로 정보기술 분야 경력과 합하여 5년 이상인 자
CISO를 지정하고 과기정통부 (과학기술정보통신부) 장관에게 신고를 해야 한다고 되어있다. 지정이 안되어 있다면 감사 시 CISO 지정에 대하여 확인을 할지는 모르겠지만, 당장 하지는 않을 것 같고 추후 1-2년 정도 후에는 감사를 진행한다면 CISO 지정 관련하여 확인을 하지 않을까.