정보보호 최고책임자(CISO) 기준이 기업 규모에 따라 세분화된다. 중소기업의 CISO 지정이 요건이 사실상 완화되는 효과가 기대된다.
과학기술정보통신부는 이 같은 내용을 골자로 하는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 시행령 개정안이 국무회의를 통과했다고 30일 밝혔다. 개정안은 9일부터 시행된다.
개정안은 기업의 사이버 침해사고 예방 및 대응 역량 강화를 위해 운영 중인 CISO 제도 개선 방안을 담았다.
CISO 임직원 범위를 세분화한 게 가장 큰 변화다. 기존 CISO 신고의무를 가진 기업에 일률적으로 '임원급' 지정을 강제하던 것을 기업 규모를 기준으로 분류했다.
신고의무 기업을 겸직제한 의무대상인 대규모 기업과 일반 신고의무대상인 중기업 이상으로 구분하고, 겸직제한 대상 기업은 '이사', 일반 의무대상 기업은 정보보호 책임자(부서장급)까지 지정이 가능하도록 개선했다.
대규모 기업은 직전 사업연도 말 자산총액 5조원 이상이거나 정보보호 관리체계(ISMS) 의무대상 중 자산총액 5000억원 이상인 기업이다. 이들 기업은 CISO가 정보보호업무 이외 타 업무를 겸직할 수 없다.
CISO 신고 의무대상도 합리화했다. 신고 대상 기업을 '정보보호 필요성이 큰 중기업' 이상으로 지정했다. 신고 의무가 면제된 기업은 사업주나 대표자를 정보보호 최고책임자로 간주한다는 조항을 추가해 기업의 정보보호 공백을 차단했다.
기존에는 '모든 중기업' 이상이 신고 의무 대상이었지만 중기업의 경우 전기통신사업자, 개인정보처리자, 통신판매업자, 정보보호 관리체계 인증 의무대상자에 해당하는 경우로 제한된다.
CISO 신고기한은 기업의 인력 수급 어려움 등 여건을 고려해 현행 90일에서 180일로 연장했다.
이와 함께 겸직금지 의무 위반 실효성 제고를 위해 과태료 금액을 신설하고 정보보호 최고책임자 미신고 시 과태료 금액은 완화했다. 이와 함께 중앙전파관리소에 행정처분에 대한 권한 위임근거를 마련했다.
임혜숙 과기정통부 장관은 “개정안을 통해 기업의 부담을 완화하는 동시에 주요 기업의 정보보호 최고책임자가 기업 내 정보보호 업무에 집중·전담토록 했다”며 “사이버 침해사고를 예방하고 사고 발생 시 신속한 복구 및 피해 최소화 등을 가능하게 해 국내기업 정보보호 역량이 보다 강화될 것”이라고 기대했다.
정보통신망법 시행령 개정 주요 내용
최호기자 snoop@etnews.com