KISA 발간 CISO(정보보호 최고책임자)지정신고 제도 안내서 요약

KISA에서 'CISO 지정신고 제도 안내서'를 발간했다. 이 안내서는 기업이 정보보호 최고책임자(CISO)를 지정하고 신고하는 절차에 대한 가이드를 제공해주고 있다. 이 제도는 정보통신망법에 의거, 기업이 법적으로 정보보호 체계를 갖추고 관리하도록 요구하고 있기 때문이다. 아래는 주요 내용이다.

CISO_지정신고제도_안내서(202409).pdf

1.37MB

---

1. 정보보호 최고책임자란?

정보보호 최고책임자(CISO)는 기업 내 정보통신 시스템의 안전성을 책임지는 최고 책임자로, 정보보호 관련 업무를 총괄하는 자이다. CISO는 정보보호 계획을 수립하고, 보안 실태를 점검하며, 각종 위험을 식별하고 대응하는 대책을 마련하는데 세부 업무는 다음과 같다.

1) CISO 업무

• 정보보호 계획의 수립·시행 및 개선
• 정보보호 실태와 관행의 정기적인 감사 및 개선
• 정보보호 위험의 식별·평가 및 정보보호 대책 마련
• 정보보호 교육과 모의훈련 계획의 수립 및 시행

2) 겸직가능 업무

• 정보보호산업의 진흥에 관한 법률 제13조에 따른 정보보호 공시에 관한 업무
• 정보통신기반 보호법 제5조제5항에 따른 정보보호책임자의 업무
• 전자금융거래법 제21조의2제4항에 따른 정보보호최고책임자의 업무
• 개인정보 보호법 제31조제2항에 따른 개인정보 보호책임자의 업무
• 그 밖에 이 법 또는 관계법령에 따라 정보보호를 위하여 필요한 조치의 이행
  ⑤는 직무·직위기술서, CISO 조직 등이 망법에서 규정하는 업무를 전담하고 있는지 여부를 종합적으로 확인

 

---

2. 대상자 구분 (지정·신고 제도에 따른)

• 신고의무 제외 대상자: 자본금 1억 원 이하 또는 중소기업으로서 전기통신사업자, ISMS 인증 의무 대상자 등이 아닌 기업.
  • 자본금 1억원 이하인 정보통신서비스 제공자
  • 중소기업기본법 제2조제2항에 따른 소기업
  • 중기업으로서 ①전기통신사업자, ②정보보호 관리체계(ISMS) 인증의무대상자, ③개인정보처리자, ④통신판매업자 중 어느 하나에 해당하지 않은 정보통신서비스 제공자
    ※ ①∼④ 중 어느 하나에 해당하는 정보통신서비스 제공자는 정보보호최고책임자(CISO)를 지정·신고하여야 함
• 일반 신고 의무 대상자: 중기업 이상의 정보통신서비스 제공자는 CISO를 지정하고 신고해야 한다.​

---

3. (일반) 신고의무 대상자

정보통신망법에 따라 자산 규모가 큰 정보통신서비스 제공자는 CISO를 지정하고 과학기술정보통신부에 신고해야 하며, 전임자의 퇴사 및 인사이동 시 180일 이내에 신고해야 한다.​

---

4. CISO의 겸직

자산 총액이 5조 원 이상인 기업이나 ISMS 인증 의무 대상자인 경우, CISO는 다른 업무와 겸직할 수 없다. 이사급 직위에 해당하는 독립된 권한을 가지고 정보보호 업무만을 수행해야 한다​.

---

5. CISO의 겸직 예외 대상

순수 지주회사 등은 겸직 금지 의무가 완화될 수 있으며, 이 경우에도 CISO는 독립적인 의사결정권을 유지한다. 그러나 순수 지주회사가 아닌 경우에는 겸직 금지 의무가 유지된다.

​

---

6. CISO 자격요건

• 일반 자격요건: 석사 이상의 학위를 소지하거나 정보보호 또는 정보기술 분야에서 일정 기간 경력을 보유해야 한다. 정보보호 관리체계 인증 심사원 자격을 보유한 경우도 포함된다.

• 특별 자격요건: 상근직이며 정보보호 관련 경력이 4년 이상인 경우 또는 정보기술과 정보보호 경력을 합쳐 5년 이상일 때 자격을 충족한다​.

---

7. 행정조치

CISO를 지정하지 않거나 신고하지 않은 경우에는 과태료가 부과될 수 있다. CISO가 겸직할 수 없는 업무를 수행하게 한 경우에도 과태료가 부과되며, 최대 3,000만 원까지 벌금을 물 수 있다.​​

---

8. 신고요령

CISO 지정 신고는 과학기술정보통신부 전자민원센터에서 온라인으로 신청할 수 있으며, 지역 전파관리소에 우편 또는 방문 접수도 가능하다. 제출서류로는 법인 등기사항 증명서와 CISO 지정신고서가 필요하다​.