ISMS-P 인증기준: '1.1.2. 최고책임자의 지정' 관련 법령
정보보호 최고책임자 및 개인정보 보호책임자는 예산.인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 하고,
관련 법령에 따른 자격요건을 충족하여야 한다.
"관련 법령"에 따른 자격요건을 정리해보자.
정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)
① 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하고 과학기술정보통신부장관에게 신고하여야 한다. 다만, 자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우에는 정보보호 최고책임자를 신고하지 아니할 수 있다. <개정 2014. 5. 28., 2017. 7. 26., 2018. 6. 12., 2021. 6. 8.>
③ 제1항 본문에 따라 지정 및 신고된 정보보호 최고책임자(자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우로 한정한다)는 제4항의 업무 외의 다른 업무를 겸직할 수 없다. <신설 2018. 6. 12.>
④ 정보보호 최고책임자의 업무는 다음 각 호와 같다. <개정 2021. 6. 8.>
1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.
가. 정보보호 계획의 수립ㆍ시행 및 개선
나. 정보보호 실태와 관행의 정기적인 감사 및 개선
다. 정보보호 위험의 식별 평가 및 정보보호 대책 마련
라. 정보보호 교육과 모의 훈련 계획의 수립 및 시행
2. 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.
가. 「정보보호산업의 진흥에 관한 법률」 제13조에 따른 정보보호 공시에 관한 업무
나. 「정보통신기반 보호법」 제5조제5항에 따른 정보보호책임자의 업무
다. 「전자금융거래법」 제21조의2제4항에 따른 정보보호최고책임자의 업무
라. 「개인정보 보호법」 제31조제2항에 따른 개인정보 보호책임자의 업무
마. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
⑦ 정보보호 최고책임자의 자격요건 등에 필요한 사항은 대통령령으로 정한다. <신설 2018. 6. 12.>
정보통신망법 시행령 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등)
① 법 제45조의3제1항 본문에서 “대통령령으로 정하는 기준에 해당하는 임직원”이란 다음 각 호의 구분에 따른 사람을 말한다. <신설 2021. 12. 7.>
1. 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 사업주 또는 대표자
(중략)
2. 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 이사(「상법」 제401조의2제1항제3호에 따른 자와 같은 법 제408조의2에 따른 집행임원을 포함한다)
(중략)
3. 제1호 및 제2호에 해당하지 않는 정보통신서비스 제공자: 다음 각 목의 어느 하나에 해당하는 사람
가. 사업주 또는 대표자
나. 이사(「상법」 제401조의2제1항제3호에 따른 자와 같은 법 제408조의2에 따른 집행임원을 포함한다)
다. 정보보호 관련 업무를 총괄하는 부서의 장
② 법 제45조의3제1항 단서에서 “자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자”란 정보통신서비스 제공자로서 제1항제1호 각 목의 어느 하나에 해당하는 자를 말한다. <개정 2021. 12. 7.>
③ 법 제45조의3제1항 단서에 해당하는 자가 정보보호 최고책임자를 신고하지 않은 경우에는 사업주나 대표자를 정보보호 최고책임자로 지정한 것으로 본다. <신설 2021. 12. 7.>
④ 법 제45조의3제1항 및 제7항에 따라 정보통신서비스 제공자가 지정ㆍ신고해야 하는 정보보호 최고책임자는 다음 각 호의 어느 하나에 해당하는 자격을 갖추어야 한다.
이 경우 정보보호 또는 정보기술 분야의 학위는 「고등교육법」 제2조 각 호의 학교에서 「전자금융거래법 시행령」 별표 1 비고 제1호 각 목에 따른 학과의 과정을 이수하고 졸업하거나 그 밖의 관계법령에 따라 이와 같은 수준 이상으로 인정되는 학위로 하고, 정보보호 또는 정보기술 분야의 업무는 같은 비고 제3호 및 제4호에 따른 업무로 한다. <개정 2021. 12. 7., 2022. 8. 9.>
1. 정보보호 또는 정보기술 분야의 국내 또는 외국의 석사학위 이상 학위를 취득한 사람
2. 정보보호 또는 정보기술 분야의 국내 또는 외국의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력(학위 취득 전의 경력을 포함한다)이 있는 사람
3. 정보보호 또는 정보기술 분야의 국내 또는 외국의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력(학위 취득 전의 경력을 포함한다)이 있는 사람
4. 정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람
5. 법 제47조제6항제5호에 따른 정보보호 관리체계 인증심사원의 자격을 취득한 사람
6. 해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람
⑤ 법 제45조의3제3항에서 “자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자”란 정보통신서비스 제공자로서 제1항제2호 각 목의 어느 하나에 해당하는 자를 말한다. <개정 2021. 12. 7.>
| "제1항제2호 각 목의 어느 하나"란? 가. 직전 사업연도 말 기준 자산총액이 5조원 이상인 자 나. 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액이 5천억원 이상인 자 |
⑥ 제5항에 따른 정보통신서비스 제공자가 지정ㆍ신고해야 하는 정보보호 최고책임자는 제4항에 따른 자격과 다음 각 호의 어느 하나에 해당하는 자격을 추가로 갖춰야 하며, 상근(常勤)해야 한다. 이 경우 정보보호 또는 정보기술 분야의 업무는 「전자금융거래법 시행령」 별표 1 비고 제3호 및 제4호에 따른 업무로 한다. <개정 2021. 12. 7., 2022. 8. 9.>
1. 정보보호 분야의 업무를 4년 이상 수행한 경력(제4항제1호부터 제3호까지에서 정한 학위 또는 같은 항 제5호의 자격 취득 전의 경력을 포함한다)이 있는 사람
2. 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행(그중 2년 이상은 정보보호 분야의 업무를 수행해야 한다)한 경력(제4항제1호부터 제3호까지에서 정한 학위 또는 같은 항 제5호의 자격 취득 전의 경력을 포함한다)이 있는 사람
개인정보 보호법 제31조(개인정보 보호책임자의 지정)
※ 현재 시행되고 있는 시행령을 기준으로 작성함 (시행 2023. 9. 15.)
※ 2024. 3. 15. 시행되는 개정법이 있으므로 반드시 최신 법률을 확인할 것
① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다.
② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리ㆍ감독
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
⑥ 개인정보 보호책임자의 지정요건, 업무, 자격요건, 그 밖에 필요한 사항은 대통령령으로 정한다.
개인정보 보호법 시행령 제32조(개인정보 보호책임자의 업무 및 지정요건 등)
※ 현재 시행되고 있는 시행령을 기준으로 작성함 (시행 2023. 9. 15.)
※ 2024. 3. 15. 시행되는 개정법이 있으므로 반드시 최신 법률을 확인할 것
※ 공공기관과 민간기업의 개인정보 보호책임자 지정 요건은 차이가 있다.
① 법 제31조제2항제7호에서 “대통령령으로 정한 업무”란 다음 각 호와 같다.
1. 법 제30조에 따른 개인정보 처리방침의 수립ㆍ변경 및 시행
2. 개인정보 보호 관련 자료의 관리
3. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기
② 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우에는 다음 각 호의 구분에 따라 지정한다. <개정 2016. 7. 22.>
1. 공공기관: 다음 각 목의 구분에 따른 기준에 해당하는 공무원 등
가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관: 고위공무원단에 속하는 공무원(이하 “고위공무원”이라 한다) 또는 그에 상당하는 공무원
나. 가목 외에 정무직공무원을 장(長)으로 하는 국가기관: 3급 이상 공무원(고위공무원을 포함한다) 또는 그에 상당하는 공무원
다. 가목 및 나목 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관: 4급 이상 공무원 또는 그에 상당하는 공무원
라. 가목부터 다목까지의 규정에 따른 국가기관 외의 국가기관(소속 기관을 포함한다): 해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장
마. 시ㆍ도 및 시ㆍ도 교육청: 3급 이상 공무원 또는 그에 상당하는 공무원
바. 시ㆍ군 및 자치구: 4급 공무원 또는 그에 상당하는 공무원
사. 제2조제5호에 따른 각급 학교: 해당 학교의 행정사무를 총괄하는 사람
아. 가목부터 사목까지의 규정에 따른 기관 외의 공공기관: 개인정보 처리 관련 업무를 담당하는 부서의 장. 다만, 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당 공공기관의 장이 지명하는 부서의 장이 된다.
2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람
가. 사업주 또는 대표자
나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)
전자금융거래법 제21조의2(정보보호최고책임자 지정)
※ 현재 시행되고 있는 시행령을 기준으로 작성함 (시행 2020. 12. 10.)
※ 2024. 9. 15. 시행되는 개정법이 있으므로 반드시 최신 법률을 확인할 것
① 금융회사 또는 전자금융업자는 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 총괄하여 책임질 정보보호최고책임자를 지정하여야 한다. <개정 2013. 5. 22.>
② 총자산, 종업원 수 등을 감안하여 대통령령으로 정하는 금융회사 또는 전자금융업자는 정보보호최고책임자를 임원(「상법」 제401조의2제1항제3호에 따른 자를 포함한다)으로 지정하여야 한다. <개정 2013. 5. 22.>
③ 총자산, 종업원 수 등을 감안하여 대통령령으로 정하는 금융회사 또는 전자금융업자의 정보보호최고책임자는 제4항의 업무 외의 다른 정보기술부문 업무를 겸직할 수 없다. <신설 2014. 10. 15.>
④ 제1항에 따른 정보보호최고책임자는 다음 각 호의 업무를 수행한다. <개정 2014. 10. 15.>
1. 제21조제2항에 따른 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립
2. 정보기술부문의 보호
3. 정보기술부문의 보안에 필요한 인력관리 및 예산편성
4. 전자금융거래의 사고 예방 및 조치
5. 그 밖에 전자금융거래의 안정성 확보를 위하여 대통령령으로 정하는 사항
⑤ 정보보호최고책임자의 자격요건 등에 필요한 사항은 대통령령으로 정한다. <개정 2014. 10. 15.>
전자금융거래법 시행법 제11조의3(정보보호최고책임자 지정대상 금융회사 등)
① 법 제21조의2제2항에서 “대통령령으로 정하는 금융회사 또는 전자금융업자”란 직전 사업연도 말을 기준으로 총자산이 2조원 이상이고, 상시 종업원 수가 300명 이상인 금융회사 또는 전자금융업자를 말한다. 이 경우 상시 종업원 수의 산정방식은 금융위원회가 정하여 고시한다. <개정 2013. 11. 22.>
② 법 제21조의2제3항에서 “대통령령으로 정하는 금융회사 또는 전자금융업자”란 직전 사업연도 말을 기준으로 총자산이 10조원 이상이고, 상시 종업원 수가 1,000명 이상인 금융회사를 말한다. 이 경우 상시 종업원 수의 산정방식은 제1항 후단을 준용한다. <신설 2015. 4. 14.>
③ 법 제21조의2제4항제5호에서 “대통령령으로 정하는 사항”이란 다음 각 호의 사항을 말한다. <신설 2013. 11. 22., 2015. 4. 14.>
1. 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 위한 자체심의에 관한 사항
2. 정보기술부문 보안에 관한 임직원 교육에 관한 사항
④ 법 제21조의2제5항에 따른 정보보호최고책임자의 자격요건은 별표 1과 같다. <개정 2013. 11. 22., 2015. 4. 14.>
전자금융거래법 시행령 [별표 1] 정보보호최고책임자의 자격
내용이 많아서 발췌하기가 힘들다. law.go.kr을 통해서 직접 확인하는 것을 권장한다.
음... 간단하게 정리하자면 다음과 같다.
1. 정보보호 또는 정보기술(IT) 분야의 학력 또는 기술자격을 가진 사람으로서 다음 각 목의 어느 하나에 해당하는 사람은 정보보호최고책임자의 자격을 갖는다.
가. 정보보호 또는 IT 분야의 전문학사학위 취득 후 → 4년 이상의 정보보호 분야 업무 수행 or 5년 이상 IT 분야 업무 수행한 경력이 있는 사람
나. 정보보호 또는 IT 분야의 학사학위를 취득 or 다음의 전문 자격을 취득한 후 → 2년 이상의 정보보호 분야 업무 수행 or 3년 이상 IT 분야 업무 수행한 경력이 있는 사람
- 여기에서 말하는 "다음의 전문 자격"은 아래와 같다.
(1) 감리원
(2) 정보보호 관리체계 인증기관의 인증 심사원
(3) 공인을 받은 정보보호전문가
(4) 국제정보시스템감사통제협회의 정보시스템감사사(CISA)
(5) 국제정보시스템보안자격협회의 정보시스템보호전문가(CISSP)
다. 정보보호 또는 IT 분야의 석사학위 취득 후 → 1년 이상 정보보호 분야 업무 수행 or 2년 이상 IT 분야 업무 수행한 경력이 있는 사람
2. 다음 각 목의 어느 하나에 해당하는 사람
가. 8년 이상 정보보호 분야 업무 수행 경력 or 10년 이상 IT 분야 업무 수행한 경력이 있는 사람
나. 전문학사학위 취득 후 → 6년 이상 정보보호 분야 업무 or 7년 이상 IT 분야 업무 수행한 경력이 있는 사람
다. 학사학위 취득 후 → 4년 이상 정보보호 분야 업무 or 5년 이상 IT 분야 업무 수행한 경력이 있는 사람
라. 석사학위 취득 후 → 2년 이상 정보보호 분야 업무 or 3년 이상 IT 분야 업무 수행한 경력이 있는 사람
3. (농협협동조합법, 수산업협동조합법, 산림조합법에 따른) 조합과 신용협동조합, 지역금고의 경우 제1호 및 제2호에도 불구하고 다음 각 목의 어느 하나에 해당하는 사람도 정보보호최고책임자의 자격을 가진다.
가. 정보보호 또는 IT 분야의 학력(혹은 기술자격)을 가진 사람으로서 6년 이상 금융업에 종사한 사람
나. 금융위원회가 정하여 고시하는 교육을 이수한 사람 + 조합.신용협동조합.지역금고의 장이나 그 장이 지정한 사람
(단, 상시 종업원 수가 20명 이하인 조합.신용협동조합.지역금고의 경우로 한정)
그 밖의 관련 법률
- 정보통신기반 보호법 제5조(주요정보통신기반시설보호대책의 수립 등)
- 정보통신기반 보호법 시행령 제9조(정보보호책임자의 지정 등)
- 신용정보법 제20조(신용정보 관리책임의 명확화 및 업무처리기록의 보존)
- 신용정보법 시행령 제17조(신용정보관리.보호인의 지정 등)
- 금융지주회사법 제48조의2(고객정보의 제공 및 관리)
* 고객정보관리인
- 지능정보화 기본법 제8조(지능정보화책임관)
- 지능정보화 기본법 시행령 제6조(지능정보화책임관의 업무)
너무 헛갈려서 한번 정리를 해야할 것 같다.
나름대로 정보보호 최고책임자/개인정보 보호책임자의 자격 요건과 업무에 대해서 정리하였다.
본 내용을 100% 신뢰하지말고 법률과 해설서를 꼭 찾아보자..
정보통신망법
정보보호 최고책임자의 자격 요건
| 정보보호 최고책임자의 자격 요건 | 1. 사업주 또는 대표자 2. 이사 3. 정보보호 관련 업무를 총괄하는 부서의 장 |
※ Ref. 2020. 12. 10. 시행한 법률에서는 "임원급"이라는 단어가 명시적으로 포함되어 있었다. 현재는 "대통령령으로 정하는 기준에 해당하는 임직원"으로 변경되었다. |
단, 정보보호 최고책임자를 지정하고 과기정통부장관에게 신고하여야 하는 대상은 정보보호 최고책임자가 아래의 자격 요건 중 1개을 갖추고 있어야 한다.
| 정보보호 최고책임자의 자격 요건 | 1. 정보보호 또는 정보기술 분야 석사학위 이상 학위 취득자 2. 정보보호 또는 정보기술 분야 학사학위 취득 + 정보보호 또는 정보기술 분야 3년 이상 업무 수행자 3. 정보보호 또는 정보기술 분야 전문학사학위 취득 + 정보보호 또는 정보기술 분야 5년 이상 업무 수행자 4. 정보보호 또는 정보기술 분야 10년 이상 업무 수행자 5. 정보보호 관리체계 인증심사원 자격 취득자 6. 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 자 |
※ Ref. 정보통신법을 적용 받는 기관은 기본적으로 정보보호 최고책임자를 지정하고 신고하여야 하나, 자본금이 1억원 이하인 정보통신서비스 제공자, 중소기업 정보통신서비스 제공자 등은 신고하지 아니할 수 있다. 그 기준은 시행령 제36조의7 제1항을 참고! |
정보보호 최고책임자의 업무
| 정보보호 최고책임자의 업무 | 1. 정보보호 계획의 수립ㆍ시행 및 개선 2. 정보보호 실태와 관행의 정기적인 감사 및 개선 3. 정보보호 위험의 식별 평가 및 정보보호 대책 마련 4. 정보보호 교육과 모의 훈련 계획의 수립 및 시행 |
※ Ref. 정보보호 최고책임자는 다음의 업무를 겸할 수도 있다. 1. 정보보호산업의 진흥에 관한 법률 제13조에 따른 정보보호 공시에 관한 업무 2. 정보통신기반 보호법 제5조제5항에 따른 정보보호책임자의 업무 3. 전자금융거래법 제21조의2제4항에 따른 정보보호최고책임자의 업무 4. 개인정보 보호법 제31조제2항에 따른 개인정보 보호책임자의 업무 5. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 |
개인정보 보호법
개인정보 보호책임자의 자격 요건
공공기관과 민간기업으로 나눠야한다.
공공기관은 다음과 같다.
| 개인정보 보호책임자의 자격 요건 (공공기관) |
1. 국회, 법원, 헌법재판소 등 : 고위공무원단에 속하는 공무원 또는 그에 상당하는 공무원 2. '1' 외에 정무직공무원을 장으로 하는 국가기관: 3급 이상 공무원 또는 그에 상당하는 공무원 3. '1', '2' 외에 고위공무원 등 공무원을 장으로 하는 국가기관 : 4급 이상 공무원 또는 그에 상당하는 공무원 4. '1', '2', '3' 외에 국가기관 : 해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장 5. 시.도 및 시.도 교육청 : 3급 이상 공무원 또는 그에 상당하는 공무원 6. 시.군 및 자치구 : 4급 공무원 또는 그에 상당하는 공무원 7. 초등, 중등, 고등 각급 학교 : 해당 학교의 행정사무를 총괄하는 사람 8. 위의 규정에 따른 기관 외의 공공기관 : 개인정보 처리 관련 업무를 담당하는 부서의 장 |
민간기업은 다음과 같다.
| 개인정보 보호책임자의 자격 요건 (민간기업) |
1. 사업주 또는 대표자 2. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장) |
개인정보 보호책임자의 업무
다음의 업무를 총괄해서 책임지는게 개인정보 보호책임자의 임무이다.
| 개인정보 보호책임자의 업무 | 1. 개인정보 보호 계획의 수립 및 시행 2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제 4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축 5. 개인정보 보호 교육 계획의 수립 및 시행 6. 개인정보파일의 보호 및 관리ㆍ감독 7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무 - 법 제30조에 따른 개인정보 처리방침의 수립ㆍ변경 및 시행 - 개인정보 보호 관련 자료의 관리 - 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기 |
전자금융거래법
정보보호최고책임자의 자격 요건
| 정보보호최고책임자의 자격 요건 | * 우선, 정보보호최고책임자를 임원으로 지정하여야 한다. 1. 정보보호 또는 IT 분야의 전문학사학위 취득 후 + 4년이상 정보보호 경력 또는 5년 이상 IT 경력 2. 정보보호 또는 IT 분야의 학사학위 또는 다음의 전문자격 취득 후 + 2년이상 정보보호 경력 또는 3년 이상 IT 경력 - 전자정부법 제2조제15호에 따른 감리원 - 정보보호 관리체계 인증기관의 인증 심사원 - 자격기본법에 따라 공인을 받은 정보보호전문가 - 국제정보시스템감사통제협회의 정보시스템감사사 - 국제정보시스템보안자격협회의 정보시스템보호전문가 3. 정보보호 또는 IT 분야의 석사학위 취득 후 + 1년이상 정보보호 경력 또는 2년 이상 IT 경력 4. 8년 이상 정보보호 경력 또는 10년 이상 IT 경력 5. 전문학사 취득 후 + 6년 이상 정보보호 경력 또는 7년 이상 IT 경력 6. 학사 취득 후 + 4년 이상 정보보호 경력 또는 5년 이상 IT 경력 7. 석사 취득 후 + 2년 이상 정보보호 경력 또는 3년 이상 IT 경력 * 조합, 신용협동조합, 지역금고는 정리하지 않음, 별표 1 별도로 참고하기 |
정보보호최고책임자의 업무
| 정보보호최고책임자의 업무 | * 정보기술부문 보안 총괄 1. 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립 2. 정보기술부문의 보호 3. 정보기술부문의 보안에 필요한 인력관리 및 예산편성 4. 전자금융거래의 사고 예방 및 조치 5. 그 밖에 전자금융거래의 안정성 확보를 위하여 대통령령으로 정하는 사항 - 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 위한 자체심의에 관한 사항 - 정보기술부문 보안에 관한 임직원 교육에 관한 사항 |
신용정보법
신용정보관리.보호인의 자격 요건
| 신용정보관리.보호인의 자격 요건 | * 총자산, 종업원 수 등을 고려하여 신용정보관리.보호인은 임원으로 해야한다. 1. 사내이사 2. 집행임원 3. 신용정보의 제공.활용.보호 및 관리 등에 관한 업무집행 권한이 있는 사람 4. 그 밖에 신용정보의 제공.활용.보호 및 관리 등을 총괄하는 위치에 있는 직원 |
* 신용정보회사등은 다른 법령에 따라 준법감시인을 두는 경우에는 그를 신용정보관리.보호인으로 지정할 수 있다. 다만, 준법감시인을 신용정보관리.보호인으로 지정한다고 하더라도 1~3의 조건에 부합하여야 한다. |
참고로, 신용정보법 제20조제8항에는 다음의 내용이 포함되어 있다.
" 금융지주회사법 제48조의2제6항에 따라 선임된 고객정보관리인이 제6항의 자격요건에 해당하면 제3항에 따라 지정된 신용정보관리.보호인으로 본다."
따라서 금융지주회사법도 잘 알아두어야 한다.
신용정보관리.보호인의 업무
| 신용정보관리.보호인의 업무 | 1. 개인신용정보의 경우 다음의 업무 - 개인정보 보호법 제31조제3항 제1호~제5호에 따른 업무 - 임직원 및 전속 모집인 등의 신용정보보호 관련 법령 및 규정 준수 여부 점검 - 그 밖에 신용정보의 관리 및 보호를 위하여 대통령령으로 정하는 업무 2. 기업신용정보의 경우 다음의 업무 - 신용정보의 수집.보유.제공.삭제 등 관리 및 보호 계획의 수립 및 시행 - 신용정보의 수집.보유.제공.삭제 등 관리 및 보호 실태와 관행에 대한 정기적인 조사 및 개선 - 신용정보 열람 및 정정청구 등 신용정보주체의 권리행사 및 피해구제 - 신용정보 유출 등을 방지하기 위한 내부통제시스템의 구축 및 운영 - 임직원 및 전속 모집인 등에 대한 신용정보보호 교육계획의 수립 및 시행 - 임직원 및 전속 모집인 등의 신용정보보호 관련 법령 및 규정 준수 여부 점검 - 그 밖에 신용정보의 관리 및 보호를 위하여 대통령령으로 정하는 업무 * 신용정보관리.보호인의 업무수행에 관하여는 개인정보 보호법 제31조제4항 및 제6항을 준용함 |
정보통신기반 보호법
정보보호책임자의 자격 요건
| 정보보호책임자의 자격 요건 | * 소관 주요정보통신기반시설의 보호 업무를 담당하는 1~6의 사람을 정보보호책임자로 지정하여야 한다. 1. 4급 2. 4급상당 공무원 3. 5급 4. 5급상당 공무원 5. 영관급장교 6. 임원급 관리.운영자 |
관리기관의 장이 정보보호책임자를 지정해야하지만, 관리기관의 장이 관계중앙행정기관의 장인 경우에는 그러하지 아니한다. |
정보보호책임자의 업무
- 주요정보통신기반시설의 보호에 관한 업무 총괄 (시행령 제9조)
| 정보보호책임자의 업무 | 1. 주요정보통신기반시설보호대책의 수립.시행 2. 법 제7조제1항 및 제2항 본문의 규정에 의한 기술적 지원의 요청 3. 취약점 분석.평가 및 전담반 구성 4. 주요정보통신기반시설의 보호에 필요한 조치 명령 또는 권고의 이행 5. 침해사고의 통지 6. 해당 주요정보통신기반시설의 복구 및 보호에 필요한 조치 7. 기타 다른 법령에 규정된 주요정보통신기반시설의 보호업무에 관한 사항 |
지능정보화 기본법
국가정보화 기본법은 지능정보화 기본법으로 개편되었다.
지능정보화 기본법에는 지능정보화책임관이 존재한다.
지능정보기술이란?
- 전자적 방법으로 학습.추론.판단 등을 구현하는 기술
- 데이터를 전자적 방법으로 수집.분석.가공 등 처리하는 기술
- 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 제2조제2호에 따른 클라우드컴퓨팅기술
(이하 생략)
지능정보책임관의 업무
- 지능정보화 사업의 조정, 지원 및 평가
- 지능정보사회 정책의 총괄, 조정 지원 및 평가
- 지능정보사회 정책과 기관 내 다른 정책 등과의 연계.조정
- 지능정보기술을 이용한 행정업무의 지원
- 정보자원의 현황 및 통계자료의 체계적 작성.관리
- 전자정부법 제2조제12호에 따른 정보기술아키텍처의 도입.활용
- 건전한 정보문화의 창달 및 지능정보사회윤리의 확립
- 지능정보화 및 지능정보사회 관련 교육 및 역량강화
- 그 밖에 다른 법령에서 지능정보화책임관의 업무로 정하는 사항
* 지능정보책임관의 자격 요건은 별도로 지정해둔 것 같지 않다.
출처 및 참고자료1 : https://isms.kisa.or.kr/main/ispims/notice/?boardId=bbs_0000000000000014&mode=view&cntId=16
KISA 정보보호 및 개인정보보호관리체계 인증 ISMS-P 자료실
안녕하세요, 한국인터넷진흥원입니다. 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증기준 안내서를 게시합니다. - 세부점검항목 변경에 따른 관련 내용 수정 - 관계 법령 개정에 따른 수정 - 일
isms.kisa.or.kr
참고자료2 : 관련 법률
참고자료3 : https://www.msit.go.kr/bbs/view.do?sCode=user&mId=102&mPid=100&bbsSeqNo=81&nttSeqNo=2452302