반응형
정보보호최고책임자(CISO)의 정의
* CISO(Chief Information Security Officer) : 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리 업무를 총괄하는 임직원을 지칭
정보통신서비스
안녕하세요.
저는 현재 중소기업(정확히는 중기업, 100억이상의 쇼핑몰 매출)에서 보안담당자로 근무하고 있는 세진파파입니다.
정보보호 관리체계를 회사에 도입하면서 그에 대한 지식이 전무한 상태로 인증심사를 준비하고 진행하면서 알게된 정보보호 최고책임자(CISO)의 역할과 책임등을 CISO를 담당하시는 이사님과 함께 정리하게 되었습니다.
정보통신서비스란?
정보통신망법 제2조(정의)
2. "정보통신서비스"란 「전기통신사업법」 제2조제6호에 따른 전기통신역무와 이를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 것을 말한다.
* 컴퓨터 프로그래밍, 시스템 통합 및 관리업
* 소프트웨어 개발 및 공급업
* 자료처리, 호스팅 및 관련 서비스업
* 데이터베이스 및 온라인 정보제공업
* 전기 통신업
[출처] 정보통신산업이란|작성자 성공 - https://blog.naver.com/sunggong01/220318073263
중소기업 기준
정보보호 관리체계를 도입하기 몇해전에 정보통신업(인터넷을 통한 사업)를 통해 일정이상의 매출을 일으키는 기업은 CISO를 회사의 임직원중에 지정해야 하고 전파관리소에 해당사항에 대한 신고해야 한다는 사실을 인지하게 되었습니다. ISMS 인증대상(정보통신서비스 매출 100억이상)이라는 사실을 인지하고도 몇해동안 과기부로부터 별도의 공문이 없어서 공문이 오면 그에 맞춰서 ISMS 인증을 진행해야 겠다는 생각을 하게 되었습니다.
정보통신서비스 기준,
중기업 : 50억 초과 ~ 800억이하
소기업 : 50억 이하
[출처] 중소기업 범위기준 - https://www.mss.go.kr/site/smba/02/20203040000002019081956.jsp
2022년_개정판_알기쉽게_풀어_쓴_중소기업_범위해설.pdf
2.12MB
정보보호 최고책임자 지정/신고 관련 법령
* 정보통신망 이용촉진 및 정보보호에 관한 법률 제45조의3(정보보호 최고책임자의 지정 등), 제76조(과태료부과)* * 정보통신망 이용촉진 및 정보보호에 관한 법률 시행령 제36조의7(정보보호 최고책임자 지정 및 겸직금지 등), 제36조의8(정보보호 최고책임자의 신고 방법 및 절차)
* 정보통신망 이용촉진 및 정보보호에 관한 법률 시행규칙 제2조(정보보호 최고책임자 지정ㆍ신고 등)
정보보호 최고책임자의 지정등
* 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 임직원급의 정보보호 최고책임자를 지정하고 과학기술정보통신부장관에게 신고하여야 한다.
* 다만, 자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우에는 정보보호 최고책임자를 지정하지 아니할 수 있다.
[출처] 중앙전파관리소 블로그 https://blog.naver.com/crms3400/222591120127
신고의무 제외 대상자
* 자본금이 1억원 이하인 자
* 소기업(중소기업기본법 제2조 제2항에 따른 소기업)
* 중기업으로서 전기통신사업자, 정보보호관리체계 인증 의무대상자, 개인정보처리자, 통신판매업자가 아닌 자
[출처]중앙전파관리소 블로그 https://blog.naver.com/crms3400/222591120127
CISO의 자격 요건
* 정보보호 또는 정보기술 분야의 국내 또는 외국의 석사학위 이상 학위를 취득한 사람
* 정보보호 또는 정보기술 분야의 국내 또는 외국의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람
* 정보보호 또는 정보기술 분야의 국내 또는 외국의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람
* 정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람법 제47조제6항제5호에 따른 정보보호 관리체계 인증심사원의 자격을 취득한 사람
* 해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람
겸직 금지
[대상]
* 직전 사업연도 말 기준 자산총액이 5조원 이상인 자
* 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액 5천억원 이상인 정보통신 서비스제공자
[자격요건]
* 정보보호 분야의 업무를 4년 이상 수행한 경력이 있는 사람
* 정보보호 분야의 업무를 수행한 경력과 정보기술 분야의 업무를 수행한 경력을 합산한 기간이 5년(그 중 2년 이상은 정보보호 분야의 업무를 수행한 경력이어야 한다) 이상인 사람
CISO 자격요건을 충족하고, 상근하는 자로서 위 자격요건 중 어느 하나를 갖추어야 함.
정보보호_최고책임자_지정신고제도_운영(겸직금지)_가이드라인.pdf
6.18MB
신고업무 및 구비서류
- * 신고업무
- · 온라인 : www.emsit.go.kr(과학기술정보통신부 전자민원센터)
- · 오프라인 : 우편, FAX 또는 방문 접수 가능(관할 지역전파관리소)
중관소홈페이지(온라인 접수).hwp
2.06MB
- * 구비서류 및 서식
| 구분 | 신고기한 | 구비서류 | 서식다운로드 |
| 신규신고 | 180일이내 (해당하게 된 날부터) | 정보보호 최고책임자 지정 신고서 | 별도첨부 |
정보보호 최고책임자 지정신고서.hwp
0.02MB
- 신고처리 : 지역 전파관리소
| 구분 | 전화번호 | 모사전송(FAX) | 주소 | 비고 |
| 서울전파관리소 | 02-2680-1749 | 02-2680-1758 | 서울시 구로구 오리로22다길 13-43 | 서울특별시, 인천광역시, 경기도 |
| 부산전파관리소 | 051-974-5120 | 051-974-5129 | 부산광역시 강서구 체육공원로6번길 67-17 | 부산광역시, 경상남도 |
| 광주전파관리소 | 061-330-6820 | 061-330-6829 | 전남 나주시 산포면 매성길 178-24 | 광주광역시, 전라남도 |
| 강릉전파관리소 | 033-660-2815 | 033-660-2819 | 강원특별자치도 강릉시 연곡면 성안길 40-31 | 강원특별자치도 |
| 대전전파관리소 | 042-520-4136 | 042-520-4190 | 대전시 서구 신갈마로86번길 64 | 대전광역시, 세종특별자치시, 충청남도 |
| 대구전파관리소 | 053-749-2818 | 053-749-2929 | 대구시 수성구 동원로 90 | 대구광역시, 경상북도 |
| 전주전파관리소 | 063-260-0102 | 063-260-0111 | 전북 완주군 봉동읍 둔산3로 114 | 전북특별자치도 |
| 제주전파관리소 | 064-740-2816 | 064-740-2820 | 제주도 제주시 애월읍 도치돌길 385 | 제주특별자치도 |
| 청주전파관리소 | 043-261-5854 | 043-261-5858 | 충북 청주시 서원군 사직대로157번길 30 | 충청북도 |
| 울산전파관리소 | 052-231-8884 | 052-231-8887 | 울산시 울주군 서생명 위곡2길 157-6 | 울산광역시 |
 |
본 저작물은 '중앙전파관리소' 에서 작성하여 공공누리 제1유형으로 개방한 '정보보호 최고책임자지정신고'을 이용하였으며 해당 저작물은 '중앙전파관리소'에서 무료로 다운받으실 수 있습니다. https://www.crms.go.kr/lay1/S1T54C68/contents.do#none |
참고 URL
반응형
'ISMS-P 운영 > 관리체계 기반마련' 카테고리의 다른 글
| ISMS-P 운영중에 과태료 처분에 대해 꼭 알아야 할 사항 (5) | 2024.12.02 |
|---|
