● 정보보호 최고책임자의 업무 (법 제45조의3제4항)
§ 정보보호 최고책임자의 업무
- 정보보호 계획의 수립·시행 및 개선
- 정보통신망의 안정성·신뢰성 확보를 위하여 관리적·기술적·물리적 보호조치를 포함하는 종합적 관리계획의 수립·시행 및 개선
- 정보보호 실태와 관행의 정기적인 감사 및 개선
- 정보보호 실태 등에 대하여 조사하거나 관계 대상자로부터 보고를 받을 수 있으며 정기적인 감사를 통해 사업주 또는 대표자에게 조사결과 및 개선조치를 보고하는 등 정보보호 업무에 대한 책임
- 정보보호 위험의 식별 평가 및 정보보호 대책 마련
- 하드웨어 또는 소프트웨어의 결함이나 체계 설계상의 허점으로 인해 사용자에게 허용된 권한 이상의 동작이나 허용된 범위 이상의 정보 열람·변조·유출을 가능하게 하는 약점(취약점) 및 위험의 식별·평가, 위험을 처리하기 위한 보안조치 설계, 정보보호 대책 마련 등
- 정보보호 교육과 모의 훈련 계획의 수립 및 시행
- 정보통신서비스 제공자를 대상으로 정보보호를 위해 최소 연 1회 이상 필요한 교육 및 침해사고 모의훈련을 실시
● 정보보호 최고책임자의 겸직 제한 (법 제45조의3제3항)
§ 겸직 제한 대상 (정보통신서비스 제공자 한정)
- 자산총액이 5조원 이상
- 자산총액이 5천억원 이상인 ISMS 인증 의무대상자
- 자산 총액은 직전 사업연도 말 기준, 개별 법인별로 산정
§ 겸직 가능한 정보보호관련 업무 (겸직예외)
- 가. 「정보보호산업의 진흥에 관한 법률」에 따른 정보보호 공시에 관한 업무
- 나. 「정보통신기반 보호법」에 따른 정보보호책임자의 업무
- 다. 「전자금융거래법」에 따른 정보보호최고책임자의 업무
- 라. 「개인정보 보호법」에 따른 개인정보 보호책임자의 업무
- 마. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
● 정보보호 최고책임자의 지정·신고 의무대상자 (법 제45조의3제1항)
§ 정보보호 최고책임자 지정·신고 의무대상
- 신고 의무 제외 대상자를 제외한 정보통신서비스 제공자
- 과학기술정보통신부장관(중앙전파관리소장에게 위임)에게 신고
- 신고 기한: 180일
§ 신고 의무 제외대상 (영 제36조의7제2항)
- (자본금 1억원 이하) 자본금이 1억원 이하인 정보통신서비스 제공자
- (소기업) 중소기업기본법 제2조제2항에 따른 소기업
- (중기업 일부) 전기통신사업자, 정보보호 관리체계 인증을 받아야 하는 자, 개인정보처리자, 통신판매업자 중 어느 하나에 해당하지 않는 자
※ 전기통신사업자 중 소기업과 단순 안내·홍보 위주의 홈페이지만 운영하고 있던 중기업 규모의 제조기업 등은 신고의무에서 제외 - 신고의무가 제외된 기업이 별도 지정·신고 행위가 없는 경우 사업주나 대표자를 정보보호 최고책임자로 지정한 것으로 본다(영 제36조의7제3항)
정보보호 최고책임자 지정·신고제도 안내서
