SharedIT | 묻고 답하기(AMP)

정보보호최고책임자(CISO) 지정ᆞ신고제도라...

werther.chan
2019.10.22 () | 0 추천 | 11개의 답변

오늘 친한 지인께서 연락이 와서 CISO 지정 신고를 해야하는지 문의가 왔었습니다.

궁금해 하셨고.. 저또한 궁금해서 자료를 요청하여서 받아보았습니다.

관련자료는 첨부파일 확인^^

흐음.. 신고를 해야하는것인지 선후배님들께 문의드립니다. (올해말까지 하지 않는다면 벌금이 나온다고 하고..)


■ '정보통신망 이용촉진 및 정보보호 등에 관한 법률제45조의3에 의거 정보통신서비스 제공자는 임원급의 정보보호 최고책임자를 지정하고 과학 기술정보통신부 장관에게 신고하여야 함(‘14.11.29.)

■  제도의 실효성 확보를 위해 신고 대상의 기준을 기존의 종업원 수, 이용자 수 등에서 자산총액, 매출액 등으로 개정(‘19.6.13.)

이렇게 되어있어서 별 상관없지 않을까.. 우리회사는 정보통신서비스제공자가 아니라서 별상관 없겠지 라고 생각했었습니다.

그런데 이 첨부파일 질의사항을 보시면 아시겠지만.

질의 : 단순히 홈페이지를 운영하는 기업 (실제 영리 행위는 없음)이 정보통신 서비스 제공자에 해당하는지 여부

답변 : 정보통신망법은 정보통신서비스 제공자의 요건으로 구체적 영리행위 존재유무가 아니라 영리 목적을 규정하고 있음
- 따라서, 영리 목적의 기업이 홈페이지를 운영할 경우 정보통신서비스 제공자에 해당

이렇게 되어있더라구요.

단순 홈페이지를 운영하는데도.. 정보통신서비스 제공자로 해당이 된다고 합니다. ㅡ,.ㅡ..

정보통신분야 매출기준, 일일접속자 기준 등등에 해당된다고만 들었는데.. 다시 관련 법률을 찾아봐야할것 같습니다.

혹시 이부분 알고 계신다면 시원하게 답변부탁드립니다~~~~^^*

감사합니다.


정보보호최고책임자(CISO)지정 · 신고제도 안내.pdf

11개의 답변이 있습니다.

홍삼사세요 (KJ KIM)
  0 추천 | 4년 이상 전

저희도 이것 때문에 법률 검토를 받아봤네요. 결론적으로 CISO를 선임해야 한다고 검토결과가 왔어요. 상법상 상인에 해당되고, 홈페이지를 통해 민원을 접수 받으면 해당된다고 합니다.

그리고 겸직은 언론에서 찾아보면 130개사 정도면 불가한 것으로 나오네요. 회사 규모는 엄청 작은데... 벌써부터 걱정이 앞섭니다.

werther.chan | 4년 이상 전

CISO 선임한다고 해서 크게 걱정할부분은 아니지만.. 조금 번거롭다고 생각은 듭니다.. 과연 해야하나 부터.. 다들 안맡으려고 하는 분위기도 되고^^;;
onewant
  0 추천 | 4년 이상 전

  • 1.일단, 전파연구소의 답변에 대해 의견말씀드리자면, '정보통신서비스 제공자'는 다음과 같이 2가지로 구분됩니다.

  • 전기통신사업자

  • 전기통신사업자가 제공하는 서비스(전기통신역무)를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자

첫번째 것은 스킵하고, 두번째의 경우를 보면 전기통신역무를 이용하여 정보를 제공하는 자를 정보통신서비스 제공자로 정하고 있습니다. 영리목적이라는 단어가 들어가 있지 않기 때문에 영리목적이 있느냐 없느냐는 정보통신서비스 제공자 구분의 기준이 되지 않는 거죠.

회사 홈페이지를 만들어서 네트워크라는 전기통신역무를 통해 이용자에게 회사 소개라는 정보를 제공하는 것이기 때문에 해당 홈페이지에서 영리행위를 하든 하지 않든 정보통신서비스 제공자가 되는 것입니다. 아마도 전파연구소의 답변의 이유가 이러한 이유 때문일 것입니다.

2. 그리고 몇몇 답변에서 보니 CISO 의무지정 요건과 CISO 겸직금지 요건을 구분하시지 못하는 것 같습니다.

[CISO 의무지정]

제45조의3(정보보호 최고책임자의 지정 등) ① 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 임원급의 정보보호 최고책임자를 지정하고 과학기술정보통신부장관에게 신고하여야 한다. 다만, 자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우에는 정보보호 최고책임자를 지정하지 아니할 수 있다.  <개정 2014. 5. 28., 2017. 7. 26., 2018. 6. 12.>

여기서 말하는 대통령령은 다음과 같습니다.(한마디로 아래 해당되면 CISO 지정 의무대상은 아닙니다.)

제36조의6(정보보호 최고책임자의 지정 및 겸직금지 등) ① 법 제45조의3제1항 단서에서 "자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자"란 정보통신서비스 제공자로서 다음 각 호의 어느 하나에 해당하는 자를 말한다.

1. 「전기통신사업법」제22조제4항제1호에 따라 부가통신사업을 신고한 것으로 보는 자

2. 「소상공인 보호 및 지원에 관한 법률」제2조에 따른 소상공인

3. 「중소기업기본법」제2조제2항에 따른 소기업[「전기통신사업법」제2조제8호에 따른 전기통신사업자와 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영ㆍ관리하는 사업자(이하 "집적정보통신시설사업자"라 한다)는 제외한다]으로서 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만 명 미만이고 전년도 정보통신서비스 부문 매출액이 100억원 미만인 자


[CISO 겸직금지]

제45조의3(정보보호 최고책임자의 지정 등) ③ 제1항 본문에 따라 지정 및 신고된 정보보호 최고책임자(자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우로 한정한다)는 제4항의 업무 외의 다른 업무를 겸직할 수 없다.  <신설 2018. 6. 12.>

여기서 말하는 대통령령은 아래와 같습니다. (한마디로 아래에 해당되면 CISO를 지정하여 CISO의 업무만 하도록 해야 합니다.)

제36조의6(정보보호 최고책임자의 지정 및 겸직금지 등) 제45조의3제3항에서 "자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자"란 정보통신서비스 제공자로서 다음 각 호의 어느 하나에 해당하는 자를 말한다.

1. 직전 사업연도 말 기준 자산총액이 5조원 이상인 자

2. 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액 5천억원 이상인 자


onewant | 4년 이상 전

쉽게 말씀드리자면, 재화의 교환을 직접적인 '영리행위'라고 한다면 단순히 홈페이지를 운영하는 기업은 해당 홈페이지를 '영리를 목적으로' 운영하는 거겠죠. 그리고 그 홈페이지 운영이 통신망이라는 '전기통신사업자가 제공하는 전기통신역무'를 이용하여 회사에 대한 '정보를 제공' 하니 정보통신서비스 제공자가 됩니다.

werther.chan | 4년 이상 전

감사합니다!!~
차니
  0 추천 | 4년 이상 전



참고 하세요...   중앙전파관리소

차니 | 4년 이상 전

ㅇ정보통신망법은 정보통신서비스 제공자를 “전기통신사업자와 영리를 목적으로 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자“로 규정 -이경우 단순히 홈페이지를 운영하는 기업(실제 영리 행위는 없음)이 정보통신서비스 제공자에 해당하는지 여부 ㅇ정보통신망법은 구체적 영리행위 존재유무를 정보통신서비스 제공자의 요건으로 규정하지 않음 -따라서, 영리 목적의 기업이 홈페이지를 운영할 경우 정보통신서비스 제공자에 해당

차니 | 4년 이상 전

영리 목적의 기업이 홈페이지를 운영할 경우 정보통신서비스 제공자에 해당 .. 기업이면 영리 목적이니 모두 해당?.. 별도 색상 표현이 안되어 다시 답변으로..

werther.chan | 4년 이상 전

기업이 모두 영리목적을 가지니... 그렇다면 정보통신서비스 제공자에 해당된다라고.... 어렵습니다. ㅠㅠ

차니 | 4년 이상 전

보안 프로그램때문인지 링크가 깨졌네요. https://www.crms.go.kr/ 공지 사항 206번 첨부 화일 참고하세요

onewant | 4년 이상 전

따로 답변을 달아드리기는 했습니다만, '영리를 목적으로' 하는 회사 홍보라는 행위를 위해 홈페이지를 만들어 '전기통신서비스 사업자가 제공하는 전기통신역무'를 이용하여 회사 홍보 '정보를 제공'하였으니 정보통신서비스 제공자가 맞습니다.
richman
  0 추천 | 4년 이상 전

법은 늘 어렵기만 합니다 ㅠㅠ

werther.chan | 4년 이상 전

법 해석도 어렵고.. 뭔가 법이라고 하면 더욱더 어려운것 같습니다.ㅠ.ㅠ
deerokgo
  0 추천 | 4년 이상 전

서비스 소개하는 홈페이지만 있어도 해당이 되는 걸까요?

werther.chan | 4년 이상 전

어이없지만 그렇다고 하더라구요.. (담당자가 무조건 맞다라고 하니..) 조금더 자료를 찾아봐야할것 같습니다~
서포터
  0 추천 | 4년 이상 전

정보 감사합니다.  시간날때 천천히 찾아봐야겠네요.

werther.chan | 4년 이상 전

감사합니다!~
한그루
  0 추천 | 4년 이상 전

아, 우리 다음주 ISMS 심사 받는데... 앞으로 몇 달간 힘들겠다...  ㅜㅜ

werther.chan | 4년 이상 전

힘내세요!!~~ 저흰 ISMS 인증은 아니고 ISO27001인증 사후심사를 받고.. 내년에는 갱신심사네요~ 내년은 힘들듯.. 아웅..

차바라기 | 4년 이상 전

엄청힘들겠네요~

werther.chan | 4년 이상 전

힘들겠지만.. 많이 도움이 되지 않을까합니다..^^*
Genghis Khan
  0 추천 | 4년 이상 전

2년전 CISO 교육을 들었고

저희도 해당 사항이 있는지 확인해보았으나

홈페이지 서비스 목적이 영리냐 비영리냐의 차이점은  영리 ( 포탈 사이트 )

비영리 ( 서비스 형태 ) 라고 판단 되어집니다.

예를 들어 병원 사이트 중 결제를 한다면 영리겠지만  결제가 아닌 환자들의 예약이나

병원 관련 정보를 제공하면 비영리입니다. 접속자 수는 아무리 많아도 정보만 제공이기 때문입니다.

현재도 앞으로도 벌금은 없습니다.

그리고 CISO의 법적 책임자는 담당 팀장이 아니라 본부장이거나 CEO가 될수 있습니다.

지정이 아니여도 기본적으로 적용됩니다.

werther.chan | 4년 이상 전

홈페이지 서비스로 저도 그렇게 알고있었는데.. 담당자말로는 그냥 무조건 해야한다라는 어처구니없는 답변을 들어서^^* CISO 지정은 되어있지 않지만 회사내 보안규정으로 최고보안책임자가 임원으로 되어있어서 문제는 없어보이긴합니다. ^^* 답변 감사합니다.

onewant | 4년 이상 전

1. CISO는 임원급으로 지정해야 한다고 되어 있습니다. 2. CISO는 겸직이 가능합니다. 하지만 아래 wansoo님이 올려주신 요건에 해당되시면 겸직이 불가능합니다.

onewant | 4년 이상 전

2년 전에 교육을 들으신 내용이라면 2017년도 이신 거 같은데요. 해당 법령이 2018년 6월에 의무지정으로 개정이 되어 2018년 12월 13일부터 시행되었습니다. 다시 한번 확인해보시기 바랍니다.

onewant | 4년 이상 전

지금 '영리행위'와 '영리를 목적으로 하는 행위'를 헷갈리시는 것 같습니다. 결제를 받아 돈을 버는 것은 '영리행위'이고, 예약을 받거나 병원 정보를 제공하는 것은 '영리를 목적으로 하는 행위'입니다. 망법 상에 '영리를 목적'으로 한다고 명시되어 있습니다.

쿨가이 | 4년 이상 전

담당자 말로는 단순정보제공과는 상관없이 "영리"업체가 운영하는 "홈페이지"서비스 기업은 모두 해당된다고 하네요. 혼란스럽습니다.

onewant | 4년 이상 전

'영리'업체가 운영하는 '홈페이지'서비스가 바로 '영리를 목적'으로 하는 서비스이니까요.
wansoo
  0 추천 | 4년 이상 전

정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제 36조의 6에 다음과 같이 나와 있네요.

http://www.law.go.kr/LSW//lumLsLinkPop.do?lspttninfSeq=81464&chrClsCd=010202

  제45조의3제3항에서 "자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자"란 정보통신서비스 제공자로서 다음 각 호의 어느 하나에 해당하는 자를 말한다.

1. 직전 사업연도 말 기준 자산총액이 5조원 이상인 자

2. 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액 5천억원 이상인 자

④ 제3항에 따른 정보통신서비스 제공자가 지정ㆍ신고해야 하는 정보보호 최고책임자는 제2항에 따른 자격 요건을 충족하고, 상근하는 자로서 다음 각 호의 어느 하나에 해당하는 자격을 갖추어야 한다. 이 경우 정보보호 또는 정보기술 분야의 업무는 「전자금융거래법 시행령」 별표 1 비고 제3호 및 제4호에 따른 업무를 말한다.

1. 정보보호 분야의 업무를 4년 이상 수행한 경력이 있는 사람

2. 정보보호 분야의 업무를 수행한 경력과 정보기술 분야의 업무를 수행한 경력을 합산한 기간이 5년(그 중 2년 이상은 정보보호 분야의 업무를 수행한 경력이어야 한다) 이상인 사람

[전문개정 2019. 6. 11.]



요약해 보면 다음 2가지 조건 중에 하나인 자가 되겠는데요.

[1] 직전 사업 연도 말 기준 자산 총액이 52조원 이상 이거나  [2] 정보보호 관리 체계 인증을 받아야 하는 자 중에 직전 사업 연도 말 기준 자산 총액이 5천억원 이상인자

werther.chan | 4년 이상 전

넵 위 2가지 조건중에 하나가 되는것으로 알고 있는데.. 어제 지인이 연락해본결과 그냥 홈페이지만 운영해도 이것에 해당된다.. 올해 개정되었다고 하면서.. 세부적으로 공부를 해보겠습니다. 아마 아니라고 알고있는 사항이라서^^ 그리고 뭐 선정한다고 해서 돈이 나가는것도 아니니..^^

onewant | 4년 이상 전

이 조항은 CISO 의무지정 조항이 아니라 겸직금지 조항입니다.
쿨가이
  0 추천 | 4년 이상 전

영리기업이 홈페이지를 운영(호스팅도 포함)하면 전부 해당되네요.

werther.chan | 4년 이상 전

그렇다고 하더라구요. 흐음. 뭐가 맞는지.. 분명히 아니라고 알고 있었는데..^^*
차바라기
  0 추천 | 4년 이상 전

홈페이지를 가지고 있으시면 정보보호 최고 책임자(정/부) ,개인정보 담당자가 있어야 합니다.행안부나/KISA에서 점검을 하기때문에 나중에 수검받으면 벌금받거든요~

werther.chan | 4년 이상 전

감사합니다~~
원본 페이지 보기