내달부터 대기업은 이사급 임원을 정보보호최고책임자(CISO)로 지정해야 한다. 중소기업은 부장급이 CISO를 맡아도 된다.
과학기술정보통신부는 이런 내용을 담은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 시행령 개정안이 30일 국무회의를 통과했다고 밝혔다.
CISO는 기업의 정보보안 업무를 총괄하는 직책이다. 현행법은 모든 기업에서 '임원급'을 CISO로 지정하도록 했는데, 임원의 범위가 모호한 데다 중소기업은 부담이 크다는 지적이 많았다.
개정안은 대기업의 경우 CISO 선임 대상을 '이사'로 명확히 했다. 직전 사업연도말 자산총액 5조원 이상이거나 정보보호관리체계(ISMS) 의무대상 중 자산총액 5000억원 이상인 기업이다. 대기업은 CISO가 다른 업무를 겸직해서도 안 된다. 겸직 금지 의무를 한 번 어기면 1000만원, 2회는 2000만원, 3회 이상은 3000만원의 과태료를 물리는 규정도 새로 생겼다.
중소기업은 부서장급까지 CISO 지정을 허용한다. 겸직도 가능하다. 중소기업 가운데 전기통신사업자, 개인정보처리자, 통신판매업자, ISMS 인증 의무대상자 등이 아니면 CISO 신고 의무도 면제하기로 했다. 신고 의무가 면제된 기업은 사업주나 대표자를 CISO로 간주한다.
새로 CISO 신고 의무 대상이 되는 기업의 신고 기한은 현행 90일에서 180일로 늘린다. 기업의 인력 수급 어려움 등을 감안해서다. CISO 지정 신구 의무 시 과태료 금액은 낮춘다. 한 번 위반 시 1000만원을 750만원으로, 2회 시 2000만원은 1500만원으로 조정한다. 3회 이상 위반 때 3000만원은 유지한다.
서민준 기자
과학기술정보통신부는 이런 내용을 담은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 시행령 개정안이 30일 국무회의를 통과했다고 밝혔다.
CISO는 기업의 정보보안 업무를 총괄하는 직책이다. 현행법은 모든 기업에서 '임원급'을 CISO로 지정하도록 했는데, 임원의 범위가 모호한 데다 중소기업은 부담이 크다는 지적이 많았다.
개정안은 대기업의 경우 CISO 선임 대상을 '이사'로 명확히 했다. 직전 사업연도말 자산총액 5조원 이상이거나 정보보호관리체계(ISMS) 의무대상 중 자산총액 5000억원 이상인 기업이다. 대기업은 CISO가 다른 업무를 겸직해서도 안 된다. 겸직 금지 의무를 한 번 어기면 1000만원, 2회는 2000만원, 3회 이상은 3000만원의 과태료를 물리는 규정도 새로 생겼다.
중소기업은 부서장급까지 CISO 지정을 허용한다. 겸직도 가능하다. 중소기업 가운데 전기통신사업자, 개인정보처리자, 통신판매업자, ISMS 인증 의무대상자 등이 아니면 CISO 신고 의무도 면제하기로 했다. 신고 의무가 면제된 기업은 사업주나 대표자를 CISO로 간주한다.
새로 CISO 신고 의무 대상이 되는 기업의 신고 기한은 현행 90일에서 180일로 늘린다. 기업의 인력 수급 어려움 등을 감안해서다. CISO 지정 신구 의무 시 과태료 금액은 낮춘다. 한 번 위반 시 1000만원을 750만원으로, 2회 시 2000만원은 1500만원으로 조정한다. 3회 이상 위반 때 3000만원은 유지한다.
서민준 기자
관련뉴스
