반응형
정보통신망 이용촉진 및 정보보호 등에 관한 법률
( 약칭: 정보통신망법 )
제45조의3(정보보호 최고책임자의 지정 등)
① 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하고 과학기술정보통신부장관에게 신고하여야 한다.
다만, 자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우에는 정보보호 최고책임자를 신고하지 아니할 수 있다.
② 제1항에 따른 신고의 방법 및 절차 등에 대해서는 대통령령으로 정한다.
③ 제1항 본문에 따라 지정 및 신고된 정보보호 최고책임자(자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우로 한정한다)는 제4항의 업무 외의 다른 업무를 겸직할 수 없다.
④ 정보보호 최고책임자의 업무는 다음 각 호와 같다. <개정 2021. 6. 8.>
1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.
가. 정보보호 계획의 수립ㆍ시행 및 개선
나. 정보보호 실태와 관행의 정기적인 감사 및 개선
다. 정보보호 위험의 식별 평가 및 정보보호 대책 마련
라. 정보보호 교육과 모의 훈련 계획의 수립 및 시행
2. 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.
가. 「정보보호산업의 진흥에 관한 법률」 제13조에 따른 정보보호 공시에 관한 업무
나. 「정보통신기반 보호법」 제5조제5항에 따른 정보보호책임자의 업무
다. 「전자금융거래법」 제21조의2제4항에 따른 정보보호최고책임자의 업무
라. 「개인정보 보호법」 제31조제2항에 따른 개인정보 보호책임자의 업무
마. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
⑤ 정보통신서비스 제공자는 침해사고에 대한 공동 예방 및 대응, 필요한 정보의 교류, 그 밖에 대통령령으로 정하는 공동의 사업을 수행하기 위하여 제1항에 따른 정보보호 최고책임자를 구성원으로 하는 정보보호 최고책임자 협의회를 구성ㆍ운영할 수 있다.
⑥ 정부는 제5항에 따른 정보보호 최고책임자 협의회의 활동에 필요한 경비의 전부 또는 일부를 지원할 수 있다.
⑦ 정보보호 최고책임자의 자격요건 등에 필요한 사항은 대통령령으로 정한다.
제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등)
① 법 제45조의3제1항 본문에서 “대통령령으로 정하는 기준에 해당하는 임직원”이란 다음 각 호의 구분에 따른 사람을 말한다.
1. 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 사업주 또는 대표자
가. 자본금이 1억원 이하인 자
나. 「중소기업기본법」 제2조제2항에 따른 소기업
다. 「중소기업기본법」 제2조제2항에 따른 중기업으로서 다음의 어느 하나에 해당하지 않는 자
1) 「전기통신사업법」에 따른 전기통신사업자
2) 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자
3) 「개인정보 보호법」 제30조제2항에 따라 개인정보 처리방침을 공개해야 하는 개인정보처리자
4) 「전자상거래 등에서의 소비자보호에 관한 법률」 제12조에 따라 신고를 해야 하는 통신판매업자
2. 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 이사(「상법」 제401조의2제1항제3호에 따른 자와 같은 법 제408조의2에 따른 집행임원을 포함한다)
가. 직전 사업연도 말 기준 자산총액이 5조원 이상인 자
나. 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액이 5천억원 이상인 자
3. 제1호 및 제2호에 해당하지 않는 정보통신서비스 제공자: 다음 각 목의 어느 하나에 해당하는 사람
가. 사업주 또는 대표자
나. 이사(「상법」 제401조의2제1항제3호에 따른 자와 같은 법 제408조의2에 따른 집행임원을 포함한다)
다. 정보보호 관련 업무를 총괄하는 부서의 장
② 법 제45조의3제1항 단서에서 “자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자”란 정보통신서비스 제공자로서 제1항제1호 각 목의 어느 하나에 해당하는 자를 말한다.
③ 법 제45조의3제1항 단서에 해당하는 자가 정보보호 최고책임자를 신고하지 않은 경우에는 사업주나 대표자를 정보보호 최고책임자로 지정한 것으로 본다.
④ 법 제45조의3제1항 및 제7항에 따라 정보통신서비스 제공자가 지정ㆍ신고해야 하는 정보보호 최고책임자는 다음 각 호의 어느 하나에 해당하는 자격을 갖추어야 한다. 이 경우 정보보호 또는 정보기술 분야의 학위는 「고등교육법」 제2조 각 호의 학교에서 「전자금융거래법 시행령」 별표 1 비고 제1호 각 목에 따른 학과의 과정을 이수하고 졸업하거나 그 밖의 관계법령에 따라 이와 같은 수준 이상으로 인정되는 학위로 하고, 정보보호 또는 정보기술 분야의 업무는 같은 비고 제3호 및 제4호에 따른 업무로 한다.
1. 정보보호 또는 정보기술 분야의 국내 또는 외국의 석사학위 이상 학위를 취득한 사람
2. 정보보호 또는 정보기술 분야의 국내 또는 외국의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력(학위 취득 전의 경력을 포함한다)이 있는 사람
3. 정보보호 또는 정보기술 분야의 국내 또는 외국의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력(학위 취득 전의 경력을 포함한다)이 있는 사람
4. 정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람
5. 법 제47조제6항제5호에 따른 정보보호 관리체계 인증심사원의 자격을 취득한 사람
6. 해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람
⑤ 법 제45조의3제3항에서 “자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자”란 정보통신서비스 제공자로서 제1항제2호 각 목의 어느 하나에 해당하는 자를 말한다.
⑥ 제5항에 따른 정보통신서비스 제공자가 지정ㆍ신고해야 하는 정보보호 최고책임자는 제4항에 따른 자격과 다음 각 호의 어느 하나에 해당하는 자격을 추가로 갖춰야 하며, 상근(常勤)해야 한다. 이 경우 정보보호 또는 정보기술 분야의 업무는 「전자금융거래법 시행령」 별표 1 비고 제3호 및 제4호에 따른 업무로 한다.
1. 정보보호 분야의 업무를 4년 이상 수행한 경력(제4항제1호부터 제3호까지에서 정한 학위 또는 같은 항 제5호의 자격 취득 전의 경력을 포함한다)이 있는 사람
2. 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행(그중 2년 이상은 정보보호 분야의 업무를 수행해야 한다)한 경력(제4항제1호부터 제3호까지에서 정한 학위 또는 같은 항 제5호의 자격 취득 전의 경력을 포함한다)이 있는 사람
제36조의8(정보보호 최고책임자의 신고 방법 및 절차)
법 제45조의3제1항에 따라 정보보호 최고책임자를 지정하고 신고해야 하는 정보통신서비스 제공자는 신고의무가 발생한 날부터 180일 이내에 과학기술정보통신부령으로 정하는 정보보호 최고책임자 지정신고서를 과학기술정보통신부장관에게 제출해야 한다.
참고 자료
정보통신망법
www.law.go.kr
정보통신망법시행령
www.law.go.kr
반응형
'도전! ISMS-P 인증 심사원 > ISMS-P 공부 참고 자료' 카테고리의 다른 글
| 가상자산사업자용 ISMS 세부점검항목 공지(20.11.02) (0) | 2023.02.20 |
|---|
댓글