ISMS-P 인증 준비, CISO 인사발령

정보보호 관리체계 인증로고

 
ISMS 인증기준의 첫 번째는 바로 관리체계 기반 마련입니다. 
 
1.1. 관리체계 기반 마련
1.1.1. 경영진의 참여
1.1.2. 최고책임자의 지정
1.1.3. 조직구성
1.1.4. 범위설정
1.1.5. 정책수립
1.1.6. 자원할당
 
주요 검토 사항 
질문1) 최고 경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가?
 
중소기업 담당자를 위한 '정보보호 관리체계(ISMS)'  구축운영 교육 이후 사무실로 돌아와서 처음 실행한 것이 무엇일까요? 네 맞습니다. 제목과 같이 CISO / CPO 인사발령부터 시작했습니다. 
 
과학기술정보통신부(https://www.msit.go.kr/search/ko/searchKo.do?qt=CISO) 통해 CISO갈라잡이 자료를 찾을 수 있었습니다. 아래는 일부를 발췌한 내용입니다. 

(KISA) CISO길라잡이(중급편).pdf

5.91MB

(KISA) CISO길라잡이(기본편).pdf

3.78MB

본 저작물은 "공공누리" 제4유형:출처표시+상업적 이용금지+변경금지 조건에 따라 이용 할 수 있습니다.

 

CISO 

정보보호 최고책임자(CISO)는 뭐하는 사람일까요?
먼저 CISO의 뜻을 살펴보면  Chief Information Security Officer라는 의미입니다. CISO는 기업이나 조직에서 정보 보안을 책임지는 최고 책임자입니다. 일반인들이 이해하기 쉽게 설명하자면, CISO는 회사의 데이터를 안전하게 지키고, 해킹이나 정보 유출과 같은 사이버 위협으로부터 보호하는 역할을 맡고 있습니다.

1. CISO의 역할과 중요성

- 정보 보안 전략 수립: CISO는 기업의 정보 보안을 위한 전략을 세우고, 이를 실행하기 위한 계획을 수립합니다. 이는 데이터를 안전하게 보호하고, 보안 사고를 예방하기 위한 기본적인 토대가 됩니다.

- 위험 관리: CISO는 기업이 직면할 수 있는 다양한 보안 위험을 분석하고, 이를 관리하기 위한 방법을 제시합니다. 예를 들어, 어떤 데이터가 가장 중요한지, 어떤 위협이 가장 큰지 평가합니다.

- 보안 정책 및 절차 개발: CISO는 직원들이 따라야 할 보안 정책과 절차를 개발합니다. 이는 회사의 모든 직원이 정보 보안에 대한 올바른 이해를 갖고 행동하도록 돕습니다.

- 보안 교육 및 인식: CISO는 직원들에게 보안 교육을 제공하고, 보안 인식을 높이기 위한 캠페인을 진행합니다. 이는 직원들이 보안 위험을 인식하고, 예방 조치를 취할 수 있도록 합니다.

- 사고 대응: 보안 사고가 발생했을 때, CISO는 신속하게 대응하여 피해를 최소화하고, 사건을 조사하여 재발 방지를 위한 조치를 마련합니다.

- 외부 감사 및 규제 준수: CISO는 기업의 보안 상태가 외부 감사나 규제 요구 사항을 충족하는지 확인합니다. 이는 법적 책임을 피하고, 고객의 신뢰를 유지하는 데 중요합니다.
 

2. CISO의 필요성

정보가 디지털화되면서 사이버 공격의 위험도 증가하고 있습니다. 특히, 고객의 개인정보나 기업의 기밀 정보가 유출될 경우 큰 피해를 입을 수 있습니다. 따라서 CISO의 역할은 기업의 안전을 보장하는 데 필수적입니다.
 
 

CISO 지정 신고 제도 

과학기술정보통신부(https://www.msit.go.kr/search/ko/searchKo.do?qt=CISO) 통해 2024년 9월에 발표된 정보보호 최고책임자 지정 신고제도 안내서를 찾을 수있었습니다. 

240923_CISO 지정신고제도 안내서.pdf

1.37MB

 

본 저작물은 "공공누리" 제4유형:출처표시+상업적 이용금지+변경금지 조건에 따라 이용 할 수 있습니다.

 
- 문서에 의하면 정보보호 최고책임자(CISO)는 지정/신고 기준은 기업의 유형 및 규모 등에 따라 차이가 있습니다.
- 신고의무가 제외된 기업은 별도 지정/신고 행위가 없는 경우 정보통신망법 시행령 제36조의7제3항에 따라 사업주나 대표자를 정보보호 최고책임자로 지정한 것으로 간주하여 정보보호 공백을 방지한다고 되어있습니다. 
 

1. 신고의무 제외대상

- 자본금 1억원 이하인자
- 중소기업기본법 제2조 제2항에 따른 소기업
- 전기통신사업자, ISMS의무대상자, 개인정보처리자, 통신판매업자 중 어느 하나에 해당하지 않은 중기업 정보통신서비스 제공자
 
* CISO : 사업주 또는 대표자

2. 일반신고 의무대상

- (신고의무 제외대상에 해당하지 않은) 중기업 이상의 정보통신서비스 제공자
★ ‘정보통신서비스 제공자’로서 ‘전기통신사업자, ISMS의무대상자, 개인정보처리자, 통신판매업자’는 CISO를 지정·신고하여야 합니다 , 저희 회사는 여기에 해당했습니다. ISMS의무대상자거든요 ^^
 
* CISO : 부서의 장 이상 ( 저희 회사는 CIO담당이사님께서 CISO를 겸직하고 계십니다. )

3. 겸직금지 의무대상

‘정보통신서비스 제공자’로서 ①직전 사업연도 말 기준 자산총액 5조 원 이상 또는 ②정보보호 관리체계(ISMS) 인증의무대상자 중 직전 사업연도 말 기준 자산총액 5천억 원 이상인 사업자입니다. CISO와 CIO나 CPO를 같이 겸하지 말라는 겁니다.
 
* CISO : 상법 상 이사
 

CISO 임명

- 정보보호 최고책임자 임명안을 아래와 같은 양식으로 만들어서 CEO의 결재를 득하도록 하였습니다. 혹시 필요하신 분이 있을까 싶어서 관련양식을 문서로 첨부합니다. 

 

정보보호 최고책임자 임명안 - 양식.docx

0.03MB

 
- 이 문서는 사내 공개 게시판등에 올려서 전체 직원들이 볼 수 있도록 하는 것이 좋습니다. 저희같은경에는 그룹웨어에서 제공하는 게시판을 정보보호 포털로 지정하여 거기에 CISO 임명안을 공유하여 모든 직원이 볼 수 있도록 게시하였습니다.
 
- 그리고 추후에 설명드릴 내용이기는 한데요. 조직구성에서 정보보호 위원회라는 조직이 있습니다. ( ISMS 간편인증에서는 이 조직구성을 하지 않아도 되도록 완화되었습니다. ) 월별 또는 분기별로 CEO가 정보보호위원회를 소집하여 정보보호 관련 활동을 공유하고 의결하는 기구로 여기에서 CISO 임명에 대한 회의록이 증거자료로 남아있으면 정보보호 관리체계 기반마련 관련 항목은 통과될 것 같습니다. 
1.1.1. 경영진의 참여
1.1.2. 최고책임자의 지정
 

결론

1. CISO 기업이나 조직에서 정보 보안을 책임지는 최고 책임자입니다. 
2. CISO 지정/신고제도 에서 예외기업은  CISO 가 사업주 또는 대표자가 되며 의무신고대상자는 부서장 이상의 사람이 CISO가 될 수 있고 겸직금지기업에서는 이사이상의 사람이 CISO가 될 수 있습니다. 
3. CISO 임명은 사내 공식 게시판에 공유하고 정보보호위원회 회의록에 증거자료로 남겨두시는 것이 ISMS인증을 준비하는데 도움이 될것 같습니다.