|
과학기술정보통신부는 이 같은 CISO 제도개선 내용을 담은 `정보통신망 이용촉진 및 정보보호 등에 관한 법률` 시행령 개정안이이 30일 국무회의를 통과해 오는 12월 9일부터 시행될 예정이라고 밝혔다.
이번 시행령 개정은 지난 6월 8일 개정된 정보통신망법 후속조치 차원으로, 그간 획일적이던 CISO의 임원급 지위를 기업규모에 따라 정보보호 책임자(부장급) 또는 대표자도 지정·신고 가능토록 허용하고, 신고대상 범위도 정보보호 필요성이 큰 `중기업` 이상으로 조정했다.
직전 사업연도 말 자산총액 5조원 이상이거나, 정보보호 관리체계(ISMS) 의무대상 중 자산총액 5000억원 이상인 기업의 경우 CISO가 정보보호업무 외 다른 업무를 겸직하는 것을 제한하고 있다.
이번 개정으로 신고의무 기업을 겸직제한 의무대상(대규모 기업)과 일반 신고의무대상(중기업 이상)으로 구분해 대규모 기압은 CISO의 범위를 `이사`로 구체화하고, 일반 의무대상 기업은 정보보호 책임자(부서장급) 까지 지정이 가능하도록 했다.
CISO 신고 대상 기업도 기존에는 `모든 중기업 이상`에서 `정보보호 필요성이 큰 중기업 이상`으로 개선했다. 중기업의 경우 전기통신사업자, 개인정보처리자, 통신판매업자, 정보보호 관리체계 인증 의무대상자에 해당하는 것으로 기준을 바꿨다. 신고의무가 면제된 기업은 사업주나 대표자를 CISO로 간주한다는 조항도 추가했다.
또 신규로 신고의무 대상이 되는 기업의 인력수급 어려움 등 여건을 고려해 신고기한을 현행 90일에서 180일로 연장한다.
겸직금지 의무 위반 과태료 금액이 신설돼 1회 위반할 경우 1000만원, 2회 및 3회 이상 위반의 경우 각각 2000만원, 3000만원의 과태료가 부과된다. CISO 미신고 시 과태료는 1회 위반의 경우 기존 1000만원에서 750만원으로, 2회 위반은 2000만원에서 1500만원으로 금액을 낮췄다. 3회 이상 위반일 경우 3000만원의 과태료는 유지됐다. 이와 함께 중앙전파관리소에 행정처분에 대한 권한 위임근거를 마련한다.
임혜숙 과기정통부 장관은 “이번 개정안을 통해 기업의 부담을 완화하는 동시에 주요 기업들의 CISO가 기업 내 정보보호 업무에 집중·전담토록 함으로써, 사이버 침해사고를 예방하고 사고 발생 시 신속한 복구 및 피해 최소화 등을 가능하게 해 국내 기업들의 전반적인 정보보호 역량이 보다 강화될 것으로 기대된다”고 말했다.
