[KISA] CISO(정보보호 최고책임자) 지정신고 제도 안내서

I 정보보호 최고 책임자란?

정보보호 최고책임자(CISO)는 기업의 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리 등 정보보호 업무를 총괄하는 최고책임자(CISO, Chief Information Security Officer)를 말합니다.
– 정보보호 최고책임자는 정보통신망법 제45조의3제4항 각 호에 따른 정보보호 관련 업무에 대한 최종 결정권 및 책임, 정보보호 업무관련 예산·인사에 대한 직접적 권한을 가집니다.

1. 정보보호 최고책임자의 업무
· (정보보호 계획의 수립·시행 및 개선)정보통신망의 안정성·신뢰성 확보를 위하여 관리적, 기술적, 물리적 보호조치를 포함하는 종합적 관리계획의 수립·시행 및 개선
· (정보보호 실태와 관행의 정기적인 감사 및 개선)정보보호 실태 등에 대하여 조사하거나 관계 대상자로부터 보고를 받을 수 있으며 정기적인 감사를 통해 사업주 또는 대표자에게 조사 결과 및 개선조치를 보고
· (정보보호 위험의 식별·평가 및 정보보호 대책 마련)하드웨어 또는 소프트웨어의 결함이나 체계 설계상의 허점으로 인해 사용자에게 허용된 권한 이상의 동작이나 허용된 범위 이상의 정보의 열람·변조·유출을 가능하게 하는 약점(취약점)및 위험의 식별평가, 위험을 처리하기 위한 보안조치 설계, 정보보호 대책 마련
· (정보보호 교육과 모의훈련 계획의 수립 및 시행)정보통신서비스 제공자를 대상으로 정보보호를 위해 최소 연 1회 이상 필요한 교육 및 침해사고 모의훈련을 실시

2. 겸직가능 업무
① 정보보호산업의 진흥에 관한 법률 제13조에 따른 정보보호 공시에 관한 업무
② 정보통신기반 보호법 제5조제5항에 따른 정보보호 책임자의 업무
③ 전자금융거래법 제21조의2제4항에 따른 정보보호 최고책임자의 업무
④ 개인정보보호법 제31조제2항에 따른 개인정보 보호책임자의 업무
⑤ 그밖에 이 법 또는 관계법령에 따라 정보보호를 위하여 필요한 조치의 이행
※ ⑤는 직무·직위기술서, CISO 조직 등이 망법에서 규정하는 업무를 전담하고 있는지 여부를 종합적으로 확인

II (지정·신고 제도에 따른) 대상자 구분

정보보호 최고책임자(CISO) 지정·신고 기준은 기업유형 및 규모 등에 따라 차이가 있음
신고의무가 제외된 기업은 별도 지정·신고 행위가 없는 경우 영 제36조의7제3항에 따라 사업주나 대표자를 정보보호 최고책임자로 지정한 것으로 간주하여 정보보호 공백을 방지

III (일반) 신고의무 대상자(정보통신망법 제45조의3제3항)

원칙적으로 아래 ① 신고의무 제외대상자를 제외하고 정보보호 필요성이 큰 ‘중기업’ 이상의 ② 정보통신서비스 제공자는 정보보호 최고책임자를 지정하고 과학기술정보통신부장관에게(중앙전파관리소장에게 위임) 신고하여야 함
※ (신고기한) 신고의무*가 발생한 날로부터 180일 이내에 신고 *전임자 퇴사 및 인사이동, (현황점검)개선조치 등

① 신고의무 제외대상자(신고자히 않더라도 사업주나 대표자를 CISO로 간주)
· 자본금 1억원 이하의 정보통신서비스 제공자
· 중소기업기본법 제2조제2항에 따른 소기업
· 중기업으로서 ①전기통신사업자, ②정보보호 관리체계(ISMS) 인증의무대상자, ③개인정보처리자, ④통신판매업자 중 어느 하나에 해당하지 않은 정보통신서비스 제공자
※ ①∼④ 중 어느 하나에 해당하는 정보통신서비스 제공자는 정보보호최고책임자(CISO)를 지정·신고하여야 함

② 정보통신서비스 제공자
전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자
– 따라서, 모든 전기통신사업자(기간통신사업자, 부가통신사업자)는 정보통신서비스 제공자에 해당
– 요건인 ①영리 목적, ②전기통신사업자의 전기통신역무 이용, ③정보의 제공 또는 매개 등과 관련 하여서는 법인의 특성·서비스 성격, 목적 등을 종합적으로 고려하여 판단