개인정보보호책임자(CPO) / 정보보호최고책임자(CISO)
■ 개인정보 보호책임자(CPO) 지정
1. 근거
§ 제31조(개인정보 보호책임자의 지정) ① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다.
2. 자격요건
1) 공공기관 : 다음 각 목의 공무원
| 가 | 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관 : 고위공무원단에 속하는 공무원 또는 그에 상당하는 공무원 |
| 나 | 가목 외에 정무직 공무원을 장으로 하는 국가기관 : 3급 이상 공무원 또는 그에 상당하는 공무원 |
| 다 | 가목, 나목 외에 고위공무원, 3급공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관 : 4급 이상 공무원 또는 그에 상당하는 공무원 |
| 라 | 가~다목 규정에 따른 국가기관 외의 국가기관 : 해당기간의 개인정보 처리관련 업무를 담당하는 부서의 장 |
| 마 | 시,도 및 시,도 교육청 : 3급 이상 공무원 또는 그에 상당하는 공무원 |
| 바 | 시,군 및 자치구 : 4급 이상 공무원 또는 그에 상당하는 공무원 |
| 사 | 각급 학교 : 해당 학교와 행정 사무를 총괄하는 사람 |
| 아 | 가~사목 이외의 공공기관 : 개인정보 처리 관련 업무를 담당하는 부서의 장. 다만, 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당 공공기관의 장이 지명하는 부서의 장이 된다. |
2) 공공기관 이외 개인정보처리자
| 가 | 사업주 또는 대표자 |
| 나 | 임원(임원이 없는 경우 개인정보 처리 관련 업무를 담당하는 부서의 장) |
3. 업무
| ① | 개인정보 보호 계획의 수립 및 시행 |
| ② | 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 |
| ③ | 개인정보 처리와 관련한 불만의 처리 및 피해구제 |
| ④ | 개인정보 유출 및 오용,남용 방지를 위한 내부통제시스템의 구축 |
| ⑤ | 개인정보 보호 교육 계획의 수립 및 시행 |
| ⑥ | 개인정보 파일의 보호 및 관리,감독 |
| ⑦ | 개인정보 처리방침의 수립,변경 및 시행 |
| ⑧ | 개인정보 보호 관련 자료의 관리 |
| ⑨ | 처리목적이 달성되거나 보유기간이 지난 개인정보의 파기 |
■ 정보보호 최고책임자(CISO)
1. 근거
§ 제45조의3(정보보호 최고책임자의 지정 등) ① 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하고 과학기술정보통신부장관에게 신고하여야 한다. 다만, 자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우에는 정보보호 최고책임자를 신고하지 아니할 수 있다.
§ 제36조의8(정보보호 최고책임자의 신고 방법 및 절차) 법 제45조의3제1항에 따라 정보보호 최고책임자를 지정하고 신고해야 하는 정보통신서비스 제공자는 신고의무가 발생한 날부터 180일 이내에 과학기술정보통신부령으로 정하는 정보보호 최고책임자 지정신고서를 과학기술정보통신부장관에게 제출해야 한다.
§ 제76조(과태료) ① 다음 호의 해당하는 행위를 한 자에게는 3천만원 이하의 과태료를 부과한다.
6의2. 제45조의3제1항을 위반하여 대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하지 아니하거나 정보보호 최고책임자의 지정을 신고하지 아니한 자
2. 자격요건
| ① | 정보보호 또는 정보기술 분야의 국내 또는 외국의 석사 학위 이상 취득한 사람 |
| ② | 학사 취득 + 정보보호 또는 정보기술 분야의 업무 3년 이상 |
| ③ | 전문학사 취득 + 정보보호 또는 정보기술 분야의 업무 5년 이상 |
| ④ | 정보보호 또는 정보기술 분야의 업무 10년 이상 |
| ⑤ | 정보보호 관리체계 인증심사원의 자격을 취득한 사람 |
| ⑥ | 정보통신서비스제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장 + 업무 1년 이상 |
| ⑦ | 정보보호 분야의 업무를 4년 이상 수행한 경력이 있는 사람 |
| ⑧ | 정보보호 분야의 업무를 수행한 경력과 정보기술 분야의 업무를 수행한 경력 합산 5년 이상인 사람(그 중 2년 이상은 정보보호 분야의 업무를 수행한 경력이어야 한다.) |
3. 회사규모
| ① | 직전 사업연도 말 기준 자산총액이 5억원 이상 |
| ② | 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업 연도 말 기준 자산 총액이 5천억원 이상 |
※ CISO 지정안해도 되는 경우
- 부가통신사업을 신고한 것으로 보는 자
- 소상공인
- 소기업으로서 전년도 말 기준 직전 3개월 간의 일일 평균 이용자 수가 100만명 미만이고 전년도 정보통신서비스 부문 매출액이 100억원 미만
4. 업무
| ① | 정보보호 관리체계의 수립 및 관리,운영 |
| ② | 정보보호 취약점 분석,평가 및 개선 |
| ③ | 침해사고의 예방 및 대응 |
| ④ | 사전 정보보호 대책 마련 및 보안조치 설계,구현 등 |
| ⑤ | 정보보호 사전 보안성 검토 |
| ⑥ | 중요정보의 암호화 및 보안서버 적합성 검토 |
♣ 간단한 한줄 퀴즈 ♣
Q. 다음 중 개인정보 보호책임자(CPO)의 자격요건이 올바르지 않은 것은?
① 법원의 행정사무를 처리하는 기관의 고위공무원단에 속하는 공무원
② 정무직 공무원을 장으로 하는 국가기관의 3급 공무원
③ 3급공무원을 장으로 하는 국가기관의 4급 공무원
④ 경기도 교육청 : 4급 공무원
A. 정답
④
(↑ 이곳을 드래그해주세요)