정보통신망법 시행령 개정안 입법예고
겸직제한 대상 기업 제외 중기업 이상
부서장급 CISO 지정 가능해져
[정보통신신문=박광하기자]
기업규모별 정보보호 최고책임자(CISO, Chief Information Security Officer) 지위(임원급) 기준이 구체화된다. 정보보호 필요성이 큰 '중기업' 이상으로 정보보호책임자를 신고하도록 해 신고의무 제외대상자가 명확해졌다. '신고의무 없는 자'의 경우 별도의 지정이 없을 때는 대표이사를 CISO로 간주하게 된다.
과학기술정보통신부는 최근 이 같은 내용의 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 일부개정령안'을 입법예고했다.
과기정통부는 개정 이유에 대해 기존 CISO의 획일적 지위(임원급)를 기업규모에 따른 임직원으로 세분화하고, 정보보호 필요성이 큰 중기업 이상으로 신고 및 개인정보 보호책임자 등 유사 정보보호 관련 업무도 수행할 수 있도록 겸직제한 완화 등을 주요 내용으로 하는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 제45조의3이 개정(법률 제18201호, 2021년 6월 8일 공포)됨에 따라 법률에서 위임된 사항을 정하기 위해 시행령을 정비하려는 것이라고 설명했다.
개정안의 주요내용을 살펴보면, 기업규모별 CISO 지위(임원급) 기준이 구체화(안 제36조의7 제1항 신설)된다. 겸직제한 대상 기업을 제외한 중기업 이상은 부서장급 CISO도 지정이 가능하다.
겸직제한 대상 기업은 직전 사업연도 말 자산총액이 5조원 이상이거나, 정보보호 관리체계(ISMS) 의무대상 중 자산총액 5000억원 이상인 자(현행 시행령 제36조의7 제3항)다.
CISO 신고의무 제외대상자가 명확화(안 제36조의7 제2항 개정)된다. 정보보호 필요성이 큰 '중기업' 이상으로 정보보호책임자를 신고하도록 한 것이다.
'신고의무 없는 자'의 경우 별도의 지정이 없는 경우 대표이사로 간주한다는 규정을 마련해 법적 혼란 방지(안 제36조의7 제3항 신설)토록 했다.
CISO 신고 기한을 당초 90일에서 180일로 연장(안 제36조의8 개정)하는 내용도 개정안에 담겼다.
겸직금지의무에 대한 과태료 규정이 신설돼 중앙전파관리소에 행정처분에 대한 권한 위임 규정을 마련(안 제70조 제1항 제2호, 제2항 제1호, 제2항 제8호 개정)했다.
한국인터넷진흥원에 CISO의 정보보호 역량 강화를 지원할 위탁근거를 마련(안 제70조 제5항 신설)했다.
이 밖에도, CISO 지정신고의무 위반 과태료 완화 및 겸직금지 의무 위반 시 과태료 부과 규정을 신설(제74조 별표9)했다.
과기정통부는 이번 개정안이 시행되면 기존 CISO의 획일적 지위(임원급) 기준에서 벗어나 기업 규모에 맞게 지정할 수 있게 되고, 인력수요 등을 고려한 신고기한 연장 조치 등을 통해 기업들의 CISO 지정 신고 관련 부담을 대폭 완화시킬 수 있을 것으로 기대하고 있다.