• 페이스북
  • 트위터
  • 유튜브

"4만여개 기업, CISO 의무지정"...정보통신망법 개정안 입법예고

등록 2019.02.19 12:00:00

  • 이메일 보내기
  • 프린터
  • PDF

과기정통부, 정보통신망법 개정안 입법예고

CISO의 다른 직무 겸직 제한 등 내용 담겨

"4만여개 기업, CISO 의무지정"...정보통신망법 개정안 입법예고

【서울=뉴시스】최선윤 기자 = 정보보호 최고책임자(CISO) 제도 개선에 따라 4만1000여개 기업이 CISO를 의무 지정하게 될 전망이다.

과학기술정보통신부(이하 과기정통부)는 기업의 사이버 침해사고 예방 및 대응 역량을 강화하기 위한 CISO 제도 개선사항을 담은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령' 개정안을 마련해 입법예고한다고 19일 밝혔다.

◇CISO 지정·신고 의무 대상자, 기업 규모·전기통신 사업 성격 기준으로 개선

개정안은 우선 업종 특성과 종업원수 등을 기준으로 정하던 정보보호 최고책임자 지정·신고 의무 대상자를 기업 규모와 전기통신사업의 성격을 기준으로 개선한다.

이에 따라 중기업 이상의 정보통신서비스 제공자, 자본금 1억 원 이하의 부가통신사업자를 제외한 모든 전기통신사업자와 정보보호 관리체계(ISMS) 인증을 받아야 하는 모든 정보통신서비스 제공자 등 4만1000여 개 기업은 정보보호 최고책임자를 의무 지정하고 이를 과기정통부장관(중앙전파관리소장에게 위임)에게 신고해야 한다.

◇자산총액 5조원 이상 정보통신서비스 제공자 등, CISO 겸직 제한해야

자산총액 5조원 이상인 정보통신서비스 제공자와 정보보호 관리체계 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5000억 원 이상인 기업의 정보보호 최고책임자는 정보보호 관리체계 수립, 취약점 분석·평가, 침해사고 예방·대응 등의 정보보호 업무에 전념할 수 있도록 다른 직무의 겸직을 제한한다.

개정안은 아울러 정보보호 최고책임자는 정보보호 또는 정보기술 관련 전문 지식이나 실무 경험이 풍부한 자 중에서 지정하도록 했다.

특히 다른 직무의 겸직이 제한된 정보보호 최고책임자는 상근하는 자로서 다른 회사의 임직원으로 재직 중이면 안된다. 4년 이상의 정보보호 분야 경력자이거나 2년 이상의 정보보호 분야 경력자로서 정보기술 분야 경력과 합해 5년 이상인 자로 지정하도록 자격요건도 정했다.

한편, 과기정통부는 이번 개정안이 사이버 침해사고의 예방과 사고 발생 시 피해의 최소화 및 신속한 복구 등에 기여할 수 있을 것으로 보고 있다.

 [email protected]

많이 본 기사