기업의 사이버 침해사고 예방 및 대응 역량을 강화하기 위해 정보보호 최고책임자(CISO, Chief Information Security Officer) 제도를 개선하는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」 개정안이 6월 13일부터 시행됐습니다. 

<시행령 개정안 주요 내용>​

□ ​정보보호 최고책임자 지정·신고 의무 대상에서 자본금 1억 원 이하의 부가통신사업자*, 소상공인, 소기업(전기통신사업자, 집적정보통신시설사업자 제외) 등을 제외

   * 「전기통신사업법」 제22조제4항제1호에 따라 부가통신사업을 신고한 것으로 보는 자

□ ​정보보호 최고책임자는 정보보호 관련 학력·경력 등의 자격요건을 갖춘 자를 지정·신고

 1. 정보보호 또는 정보기술 분야의 석사학위 이상 학위를 취득한 사람

 2. 정보보호 또는 정보기술 분야의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람

 3. 정보보호 또는 정보기술 분야의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람

 4. 정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람

 5. 정보보호 관리체계 인증심사원의 자격을 취득한 사람

 6. 해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람 

□ ​​다른 직무의 겸직이 제한되는 정보보호 최고책임자는 위의 일반 자격요건을 갖추고 상근하는 자로서 정보보호 업무를 4년 이상 수행한 경력이 있는 사람이나 정보보호와 정보기술 업무 수행경력을 합산한 기간이 5년 이상(그 중 2년 이상은 정보보호 업무 수행 경력)인 사람으로 지정·신고

□ ​​​자산총액 5조 원 이상인 정보통신서비스 제공자, 정보보호 관리체계 인증을 받아야 하는 정보통신서비스 제공자 중 자산 총액 5천억 원 이상인 기업의 정보보호 최고책임자는 정보보호 관리체계 수립, 취약점 분석·평가, 침해사고 예방·대응 등의 정보보호 업무에 전념할 수 있도록 다른 직무의 겸직을 제한

자세한 내용은 첨부자료를 참조하시기 바랍니다.