주요사항

임원급 CISO/CPO 발령, 자격·신고 확인(ISMS필수인증:IDC,전국ISP,1500억상급병원,1만학교,3개월100만,100억)

인증기준

최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산·인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.

확인사항

  • 최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가?
  • 정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며 관련 법령에 따른 자격요건을 충족하고 있는가?

결함사례

  • 정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 정보보호 최고책임자를 지정 및 신고하지 않은 경우
  • 개인정보 보호법을 적용받는 민간기업이 개인정보 처리업무 관련 임원이 존재함에도 불구하고 부서장을 개인정보 보호책임자로 지정한 경우
  • 조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고 있으나 인사발령 등의 공식적인 지정절차를 거치지 않은 경우
  • ISMS 인증 의무대상자이면서 전년도 말 기준 자산총액이 5천억 원을 초과한 정보통신서비스 제공자이지만 정보보호 최고책임자가 CIO를 겸직하고 있는 경우
  • ISMS인증 의무대상자 [정보통신망법 제47조 제2항]
    • ISP : 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자
    • IDC (vIDC: 100억)
    • 매출액 또는 세입 1,500억원 이상 상급종합병원
    • 매출액 또는 세입 1,500억원 이상 학생 1만명 이상 학교
    • 정보통신서비스 부문 전년도 매출액 100억원 이상
    • 직전 3개월간 평균 이용자 수 100만명 이상

참고
정보보호 최고책임자(CISO)의 업무/겸직제한/신고 및 관련 직책 비교
개인정보 보호책임자(CPO)의 업무 & 지정요건

  • 정보보호 최고책임자(CISO) [정보통신망법 제45조의3] ← 정보통신서비스 제공자
    • CISO 신고의무 및 겸직 제한 대상 [정보통신망법 시행령 제36조의7 제1항]
      1. 자산총액이 5조원 이상
      2. 자산총액이 5천억원 이상인 ISMS 인증 의무대상자
    • 겸직 예외 업무 [정보통신망법 제45조의3 제4항 2호]
      1. 정보보호 공시에 관한 업무
      2. 「정보통신기반 보호법」에 따른 정보보호책임자의 업무
      3. 「전자금융거래법」에 따른 정보보호최고책임자의 업무
      4. 「개인정보 보호법」에 따른 개인정보 보호책임자의 업무 ← CPO 겸직가능
      5. 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
    • CISO 지위 기준 [정보통신망법 시행령 제36조의7 제1항]
      1. 대규모 기업: 임원(집행권한 가진 이사 포함) ← 신고의무, 겸직제한
      2. 소기업 등: 사업주 또는 대표자를 CISO로 봄 ← 신고의무 없음
        • 자본금 1억 이하, 소기업, 중기업 중 제외대상
      3. 나머지 : 정보보호 관련 업무를 총괄하는 부서의 장 도 가능
        • 신고의무 있음
    • CISO 자격 기준(신고의무 있는경우) [정보통신망법 시행령 제36조의7 제4항]
      • 일반 자격요건
        1. 정보보호, 정보기술 분야 석사 이상
        2. 정보보호, 정보기술 분야 학사 + 업무 3년 이상
        3. 정보보호, 정보기술 분야 전문학사 + 업무 5년 이상
        4. 정보보호, 정보기술 분야 업무 10년 이상
        5. ISMS-P 인증심사원
        6. 해당 조직 소속으로 관련업무 부서장 1년 이상
      • 특별 자격요건 (겸직 불가 대상 추가 요건, 상근(常勤) 필수)
        1. 정보보호 분야 업무 경력이 4년 이상
        2. 정보보호, 정보기술 업무경력 5년 이상 (정보보호 2년 필수)
  • 개인정보 보호책임자(CPO)의 지정요건 [개보법 시행령 제32조제2항]
    • 공공기관
      • 가. 국회, 법원, 헌재, 중선위 및 중앙행정기관: 고위공무원
      • 나. 가목 외에 정무직공무원을 장으로 하는 기관: 3급 이상
      • 다. 고위/3급 공무원을 장으로 하는 기관: 4급 이상
      • 라. 가~다 외의 국가기관: 개인정보 처리 관련 업무 부서의 장
      • 마. 시·도 및 시·도 교육청: 3급 이상 공무원
      • 바. 시·군 및 자치구: 4급 공무원
      • 사. 학교: 해당 학교의 행정사무를 총괄하는 사람
      • 아. 그 외의 공공기관: 개인정보 처리 관련 업무 부서의 장.
    • 공공기관 이외
      • 가. 사업주 또는 대표자
      • 나. 임원(임원이 없는 경우 개인정보 처리 관련 업무 부서의 장)