[한국인터넷진흥원][정보보호] 정보보호 최고책임자 지정·신고 제도 안내서 (2019.12)

안녕하세요. 황컴플라이언스 입니다.

[한국인터넷진흥원][정보보호] 정보보호 최고책임자 지정·신고 제도 안내서 (2019.12) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 정보보호 최고책임자 지정·신고 제도 안내서

○ 발행일 : 2019년 12월

○ 주관부처 : 한국인터넷진흥원, 과학기술정보통신부

---

[개요]

□ 정보보호 최고책임자

• 정보보호 최고책임자는 기업의 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리 등 정보보호 업무를 총괄하는 최고책임자(CISO, Chief Information Security Officer)를 말함

---

정보보호 최고책임자 지정신고 제도 안내서.pdf

2.37MB

 

정보보호 최고책임자 지정·신고 제도 안내서 (2019.12) : 한국인터넷진흥원, 과학기술정보통신부

---

□ 정보보호 최고책임자의 직무(정보통신망법 제45조의 3 제4항

정보보호 최고책임자가 수행하는 정보보호 업무

(정보보호 관리체계의 수립 및 관리·운영)

• 정보통신망의 안정성·신뢰성 확보를 위하여 관리적·기술적·물리적 보호조치를 포함한 종합적 관리체계(법 제47조제1항)의 수립 및 관리·운영

(정보보호 취약점 분석·평가 및 개선)

• 하드웨어 또는 소프트웨어의 결함이나 체계 설계상의 허점으로 인해 사용자에게 허용된 권한 이상의 동작이나 허용된 범위 이상의 정보 열람·변조·유출을 가능하게 하는 약점(취약점)에 대한 분석·평가·개선

(침해사고 예방 및 대응)

• 침해사고 정의 및 범위, 대응체계(보고 및 조치 체계), 대응방법 및 절차, 복구방법 및 절차, 증거자료 수집 및 보관 등을 포함한 침해사고 대응계획 마련·시행 등

(사전 정보보호대책 마련 및 보안조치 설계·구현 등)

• 위험을 처리하기 위한 정보보호 대책 선정, 우선순위 결정, 이행계획에 대한 구현 등

(정보보호 사전 보안성 검토)

• 새로운 정보통신망을 구축하거나 정보통신서비스를 제공하고자 하는 경우 수행하는 정보보호 사전점검(법 제45조의2) 등

(중요 정보의 암호화 및 보안서버 적합성 검토)

• 개인정보 및 중요정보 보호를 위한 암호화 대상, 암호강도, 보안서버의 기능·관리·운영 등의 적합성 검토 등

(이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행)

• 정보보호*와 관련하여 정보통신망법 및 관계 법령 등에 규정된 조치의 이행
• * ‌다음 활동을 위한 관리적·기술적·물리적 수단을 마련하는 것(「정보보호산업의 진흥에 관한 법률」 제2조제1항제1호) 등

---

□ 정보보호 최고책임자의 지위(정보통신망법 제45조의 3 제1항)

정보보호 최고책임자의 직위

정보통신서비스 제공자는 정보통신망법 상 임원급으로 정보보호 최고책임자를 지정 해야 함

정보통신망법에 임원급을 정의하는 명시적 규정은 없음

임원급은 「법인세법 시행령」 제40조제1항의 임원에 관한 규정을 준용하여 적용

• 따라서, 상법상 임원이 아닌 경우에도 임원에 준하는 직무에 종사하는 자는 임원급에 해당

임원급은 통상적 명칭과 관계없이 다른 임원과 직무상 독립하여 권한과 책임을 가진 자를 의미하며,

• 임원에 준하는 권한과 책임은 이사회 참석 여부, 회사 대표에 대한 직보 여부, 정보보호 관련 업무에 대한 최종 결정권 및 책임, 정보보호 업무 관련 예산·인사에 대한 직접적인 권한 등으로 판단

정보보호 최고책임자의 지위

• 정보보호 최고책임자의 지위는 형식적인 직위가 아니라 정보통신망법 제45조의3제4항 각 호의 정보보호 업무를 실질적으로 책임지는 자를 의미