[디지털투데이 석대건 기자] CISO(정보보호 최고책임자) 지정·신고 의무 대상 기업이 대폭 줄었다. 

4일 열린 국무회의로 결정된 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」 개정안에는 자본금 1억원 이하의 부가통신사업자, 소상공인, 소기업(전기통신사업자, 집적정보통신시설사업자 제외) 등이 CISO 지정·신고 의무 대상에서 제외됐다고 과기정통부는 밝혔다. 

이에 따라 CISO 지정·신고 의무 대상 기업은 19만 9천여개에서 3만 9천여개(5월 기준)로 감소하게 됐다.

CISO 지정·신고 의무 대상 기업은 ▲ 자산총액 5조원 이상인 정보통신서비스 제공자와 ▲ 정보보호 관리체계 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5천억 원 이상인 기업이다. CISO는 정보보호 관리체계 수립, 취약점 분석·평가, 침해사고 예방·대응 등의 정보보호 업무에 전념할 수 있도록 다른 직무의 겸직을 제한된다.

(사진=CIO)
오는 13일부터 기업의 사이버 침해사고 예방 및 대응 역량을 강화하기 위한 CISO 제도 개선안이 시행된다. (사진=CIO)

또 개정된 정보통신망법 시행령은 정보보호 관련 학력·경력 등의 자격요건도 강화됐다. 

CISO는 일반 자격요건을 갖추고 상근하는 자로서 ▲ 정보보호 업무를 4년 이상 수행한 경력이 있는 사람이나 ▲ 정보보호와 정보기술 업무 수행 경력을 합산한 기간이 5년 이상(그 중 2년 이상은 정보보호 업무 수행 경력)이어야 한다.

오용수 과기정통부 정보보호정책관은 “이번 정보보호 최고책임자 제도 개선은 대기업, 중견기업, 중기업, 소기업 등 기업 규모에 따라 의무 부담을 차등화함에 따라 규제 부담을 합리화했다”며, “5G 상용화와 함께 사이버 위협과 사고 위험 증가가 우려되는 초연결 환경에서 5G의 안전한 이용 환경 마련에 기여할 것으로 기대된다”고 밝혔다.

한편, 과기정통부는 정보통신서비스 제공자의 CISO 자격요건, 겸직제한 제도가 올해 처음으로 신설된 점을 고려해 적정 계도기간을 두고 지정·신고를 독려할 예정이다. 계도기간이 지나도 CISO를 지정·신고 의무를 위반한 사업자에 대해서는 과태료 처분 등으로 조치한다는 방침이다. 시행령에 따라 CISO를 지정·신고하지 않은 경우 3천만원 이하의 과태료가 부과되며, 오는 6월 13일부터 시행된다.

키워드

#CISO #정보보호 최고책임자 #과기정통부
저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지