특별법 우선
정보보호 최고책임자(CISO) 제도개선으로 정보보호 실효성 강화
어제자(2021.06.01)로 정보통신망법 일부 개정안이 국무회의에서 의결되었다. 관련 보도자료는 여기.
주요 내용은 아래와 같다.
1. 중기업 이상 CISO 지정 신고 안하면 과태료
2. CPO 업무 등 정보보호 관련 업무 겸직 가능
3. 중소기업은 부장급도 CISO 지정가능
그렇다면 금융회사는?
전자금융거래법에도 CISO 지정에 대한 내용이 있다. 두 개의 법에서 CISO 지정 관련해서 겹치게 되는데 금융회사는 특별법인 전자금융거래법이 우선 적용되기 때문에 방법을 따라지 않아도 된다. (관련링크)
전자금융거래법의 CISO 지정 내용은 아래와 같다.
전자금융거래법 제21조의2(정보보호최고책임자 지정) ① 금융회사 또는 전자금융업자는 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 총괄하여 책임질 정보보호최고책임자를 지정하여야 한다.
② 총자산, 종업원 수 등을 감안하여 대통령령으로 정하는 금융회사 또는 전자금융업자는 정보보호최고책임자를 임원(「상법」 제401조의2제1항제3호에 따른 자를 포함한다)으로 지정하여야 한다.
③ 총자산, 종업원 수 등을 감안하여 대통령령으로 정하는 금융회사 또는 전자금융업자의 정보보호최고책임자는 제4항의 업무 외의 다른 정보기술부문 업무를 겸직할 수 없다.
④ 제1항에 따른 정보보호최고책임자는 다음 각 호의 업무를 수행한다.
1. 제21조제2항에 따른 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립
2. 정보기술부문의 보호
3. 정보기술부문의 보안에 필요한 인력관리 및 예산편성
4. 전자금융거래의 사고 예방 및 조치
5. 그 밖에 전자금융거래의 안정성 확보를 위하여 대통령령으로 정하는 사항
⑤ 정보보호최고책임자의 자격요건 등에 필요한 사항은 대통령령으로 정한다.