[뉴스피아] 과학기술정보통신부는 정보보호 최고책임자(CISO) 제도를 개선한 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령' 개정안을 오는 20일부터 4월 2일까지 입법예고한다고 19일 밝혔다.

개정안에 따르면 기존에 업종 특성과 종업원 수 등을 기준으로 정하던 CISO 지정·신고 의무 대상자를 기업 규모와 전기통신사업의 성격을 기준으로 바꾼다.

이에 따라 중기업 이상의 정보통신서비스 제공자, 자본금 1억원 이하의 부가통신사업자를 제외한 모든 전기통신사업자와 정보보호 관리체계(ISMS) 인증을 받아야 하는 모든 정보통신서비스 제공자 등 4만1000여개 기업은 CISO를 의무 지정하고 이를 과기정통부장관(중앙전파관리소장에게 위임)에게 신고해야 한다.

이번 개정안에는 자산총액 5조원 이상인 정보통신서비스 제공자와 정보보호 관리체계 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5000억원 이상인 기업의 CISO는 정보보호 관리체계 수립, 취약점 분석·평가, 침해사고 예방·대응 등의 정보보호 업무에 전념할 수 있도록 다른 직무의 겸직을 제한하는 내용도 포함됐다.

CISO의 자격요건도 규정했다. CISO는 겸직이 제한되며 4년 이상의 정보보호 분야 경력자이거나 2년 이상의 정보보호 분야 경력자로서 정보기술 분야 경력과 합해 5년 이상인 자로 지정해야 한다.

과기정통부는 "이번 개정안이 주요 기업의 정보보호 업무를 전담할 수 있는 전문가를 CISO로 지정하도록 하는 등 사회 전반의 정보보호 역량을 강화함으로써 사이버 침해사고의 예방과 사고 발생 시 피해의 최소화 및 신속한 복구 등에 기여할 수 있을 것"이라고 밝혔다.