온라인 서비스의 정보보호책임자란?_역할 및 직책
다양한 온라인 서비스를 이용하는 고객이 늘어나는 만큼, 정보보호의 중요성 역시 높아지고 있습니다. 정보보호 책임자의 역할부터 지정요건, 책임자의 직책 등 A to Z로 알아보도록 하겠습니다.
정보보호 책임자란?
정보보호 책임자란 기업의 시스템 및 데이터를 안전하게 관리하는 업무를 총괄하는 사람입니다.
정보보호 책임자의 역할
정보보호 책임자는 기업의 정보보호를 위해 아래의 업무를 수행해야 합니다.
1. 정보보호 계획의 수립, 시행 및 개선
서비스의 안전성, 신뢰성 확보를 위하여 관리적, 기술적, 물리적 보호조치를 포함한 정보보호 계획을 수립하고 운영합니다.
2. 정보보호 실태와 관행의 정기적인 감사 및 개선
정보보호 계획이 효과적으로 운영되고 있는지 연 1회 운영실태를 점검하고 개선합니다.
3. 정보보호 위험의 식별 평가 및 정보보호 대책 마련
취약점 분석 등을 통해 서비스의 위험을 식별하고 발견된 위험의 우선순위를 정하여 정보보호 대책을 마련합니다.
4. 정보보호 교육과 모의 훈련 계획의 수립 및 시행
임직원(외부직원 포함)이 기업의 정보보호 정책 등을 이해하고 업무에 반영될 수 있도록 주기적인 교육을 수행하며 임직원의 부주의, 관리소홀 등으로 불미스러운 일이 발생하지 않도록 하기 위해 모의훈련 계획을 수립합니다. 모의 훈련을 통해 유출사고 등의 사건 발생 시 즉각적인 조치가 가능해집니다.
규모별 정보보호 책임자 지정 요건
온라인 서비스를 운영하는 기업은 매출, 이용자 수에 따라 정보보호 책임자를 지정하는 요건이 상이합니다.
제조업 등 오프라인 기업 | 온라인 서비스 제공 기업 | ||
- 매출 100억 미만& 이용자 100만명 미만 | - 매출 100억 이상& 이용자 100만명 이상 | - 자산총액 5조원 이상 - 정보보호관리체계 인증의무 &자산 총액 5천억 이상 | |
- 해당없음 - 정보보호책임자가 아닌, 개인정보 보호 책임자를 지정할 의무가 있음 | - 임원급으로 지정 | - 임원급으로 지정 - 과학기술정보통신부장관 에게 신고 - 겸업가능 | - 임원급으로 지정 - 과학기술정보통신부장관 에게 신고 - 겸업불가 |
해당없음 | 해당없음 | 아래 수준 이상의 학위와 경력보유 - 정보보호 또는 IT 분야의 국내 or 외국의 석사학위 이상 - 정보보호 또는 IT 분야의 국내 or 외국의
학사학위 이상 + 정보보호 또는 IT 경력 3년
이상 - 정보보호 또는 IT 분야의 국내 or 외국의 전문학사 학위 이상 + 정보보호 또는 IT 경력 5년
이상 - 정보보호 또는 IT 경력 10년
이상 - 정보보호관리체계 인증 심사원의 자격 보유 - 정보보호 부서의 장으로 1년 이상 근무한 경력 | 1. 정보보호 경력 4년 이상 2. 정보보호 경력 2년 이상(필수) + IT 경력의 합산기간이 5년 이상 |
업종별 정보보호 책임자의 직책
정보보호 책임자는 온라인 서비스 뿐만 아니라 다양한 산업의 규제에서도 정의하고 있습니다. 아래는 업종별 정보보호 책임자의 직책과 지정 요건이니 참고하시길 바랍니다.
직책 |
근거 |
업종별 대상자 |
역할 |
지위 |
비고 |
정보보호 최고책임자 |
정보 통신망법 제45조의3 |
온라인 서비스 제공자 |
정보통신시스템 등에 대한 보안 및 정보의 안전한 관리 |
임원급 |
신고 |
정보보호 책임자 (CISO) |
정보통신 기반 보호법 |
주요정보통신기반 시설 관리기관 |
시설 보호에 관한 업무 총괄 |
4·5급 공무원, 영관급 장교, 임원급 관리·운영자 |
통지 |
정보보호 최고책임자 (CISO) |
정보통신 기반 보호법 제5조 |
금융회사, 전자금융업자 |
전자금융업무 및 기반 정보기술부문 보안 총괄 |
임원 (상법 제401조의2 제1항제3호에 따른 자 포함) |
|
신용정보 관리·보호인 |
신용정보법 제20조 |
신용정보회사, 신용정보집중기관, 신용정보 제공·이용자 |
신용정보의 관리 및 보호에 관한 업무 |
임원 |
공시 |
고객정보 관리인 |
금융지주 회사법 제48조의2 |
금융지주회사등 |
고객정보의 엄격한 관리 |
임원 |
|
정보화 책임관(CIO) |
국가정보화 기본법 제11조 |
국가기관, 지방자치단체 |
국가정보화 시책 수립·시행과 국가 정보화 사업 조정 등의 업무 총괄 |
|
통보 |
정보보호 책임자 신고방법
전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만 명 이상이고 전년도 온라인 서비스 부분 매출액이 100억 원 이상인 경우 정보보호 책임자를 과학기술정보통신부 장관에게 신고해야 할 의무가 있습니다.
신고 방법은 다음과 같습니다.
(신고인)
- 회사 대표자, 정보보호 최고 책임자, 회사 소속 대리인
(접수처)
- 과학기술정보통신부 전자민원센터(https://www.emsit.go.kr) 온라인 민원신청
• 회원가입 또는 비회원 로그인 > 전자민원신청 >민원신청 > 신청인 정보입력 > 완료
- 지역별 관할 전파관리소 방문, 우편 또는 팩스 접수
• 전자민원센터를 통한 온라인 민원신청 시 공인인증서 (법인, 사업자용) 필요
- 법인의 경우 등기사항 증명서 상의 주된 사무소 소재지 기준, 개인의 경우 사업자등록증 상의 사업장 소재지 기준의 전파 관리소에 문의
- 중앙전파관리소
• 전화번호: 02-3400-2336
• 주소: 서울특별시 송파구 송파대로 234
(제출서류)
- 정보보호 최고책임자 지정 신고서, 법인등기사항증명서 (또는 사업자등록증 사본)
• 행정정보 공동이용 동의 시 법인 등기사항 증명서 (사업자등록증 사본) 제출 불필요
(처리기간)
- 원칙적으로 접수 즉시 처리
정보보호 책임자 미신고 시
정보보호 최고책임자의 지정을 하지 않은 경우 과태료 3천만 원을 부과받을 수 있습니다.