오늘 친한 지인께서 연락이 와서 CISO 지정 신고를 해야하는지 문의가 왔었습니다.
궁금해 하셨고.. 저또한 궁금해서 자료를 요청하여서 받아보았습니다.
관련자료는 첨부파일 확인^^
흐음.. 신고를 해야하는것인지 선후배님들께 문의드립니다. (올해말까지 하지 않는다면 벌금이 나온다고 하고..)
■ '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 제45조의3에 의거 정보통신서비스 제공자는 임원급의 정보보호 최고책임자를 지정하고 과학 기술정보통신부 장관에게 신고하여야 함(‘14.11.29.)
■ 제도의 실효성 확보를 위해 신고 대상의 기준을 기존의 종업원 수, 이용자 수 등에서 자산총액, 매출액 등으로 개정(‘19.6.13.)
이렇게 되어있어서 별 상관없지 않을까.. 우리회사는 정보통신서비스제공자가 아니라서 별상관 없겠지 라고 생각했었습니다.
그런데 이 첨부파일 질의사항을 보시면 아시겠지만.
질의 : 단순히 홈페이지를 운영하는 기업 (실제 영리 행위는 없음)이 정보통신 서비스 제공자에 해당하는지 여부
답변 : 정보통신망법은 정보통신서비스 제공자의 요건으로 구체적 영리행위 존재유무가 아니라 영리 목적을 규정하고 있음
- 따라서, 영리 목적의 기업이 홈페이지를 운영할 경우 정보통신서비스 제공자에 해당
이렇게 되어있더라구요.
단순 홈페이지를 운영하는데도.. 정보통신서비스 제공자로 해당이 된다고 합니다. ㅡ,.ㅡ..
정보통신분야 매출기준, 일일접속자 기준 등등에 해당된다고만 들었는데.. 다시 관련 법률을 찾아봐야할것 같습니다.
혹시 이부분 알고 계신다면 시원하게 답변부탁드립니다~~~~^^*
감사합니다.
11개의 답변이 있습니다.
저희도 이것 때문에 법률 검토를 받아봤네요. 결론적으로 CISO를 선임해야 한다고 검토결과가 왔어요. 상법상 상인에 해당되고, 홈페이지를 통해 민원을 접수 받으면 해당된다고 합니다.
그리고 겸직은 언론에서 찾아보면 130개사 정도면 불가한 것으로 나오네요. 회사 규모는 엄청 작은데... 벌써부터 걱정이 앞섭니다.
werther.chan | 4년 이상 전
1.일단, 전파연구소의 답변에 대해 의견말씀드리자면, '정보통신서비스 제공자'는 다음과 같이 2가지로 구분됩니다.
■전기통신사업자
■전기통신사업자가 제공하는 서비스(전기통신역무)를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자
첫번째 것은 스킵하고, 두번째의 경우를 보면 전기통신역무를 이용하여 정보를 제공하는 자를 정보통신서비스 제공자로 정하고 있습니다. 영리목적이라는 단어가 들어가 있지 않기 때문에 영리목적이 있느냐 없느냐는 정보통신서비스 제공자 구분의 기준이 되지 않는 거죠.
회사 홈페이지를 만들어서 네트워크라는 전기통신역무를 통해 이용자에게 회사 소개라는 정보를 제공하는 것이기 때문에 해당 홈페이지에서 영리행위를 하든 하지 않든 정보통신서비스 제공자가 되는 것입니다. 아마도 전파연구소의 답변의 이유가 이러한 이유 때문일 것입니다.
2. 그리고 몇몇 답변에서 보니 CISO 의무지정 요건과 CISO 겸직금지 요건을 구분하시지 못하는 것 같습니다.
[CISO 의무지정]
제45조의3(정보보호 최고책임자의 지정 등) ① 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 임원급의 정보보호 최고책임자를 지정하고 과학기술정보통신부장관에게 신고하여야 한다. 다만, 자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우에는 정보보호 최고책임자를 지정하지 아니할 수 있다. <개정 2014. 5. 28., 2017. 7. 26., 2018. 6. 12.>
여기서 말하는 대통령령은 다음과 같습니다.(한마디로 아래 해당되면 CISO 지정 의무대상은 아닙니다.)
제36조의6(정보보호 최고책임자의 지정 및 겸직금지 등) ① 법 제45조의3제1항 단서에서 "자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자"란 정보통신서비스 제공자로서 다음 각 호의 어느 하나에 해당하는 자를 말한다.
1. 「전기통신사업법」제22조제4항제1호에 따라 부가통신사업을 신고한 것으로 보는 자
2. 「소상공인 보호 및 지원에 관한 법률」제2조에 따른 소상공인
3. 「중소기업기본법」제2조제2항에 따른 소기업[「전기통신사업법」제2조제8호에 따른 전기통신사업자와 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영ㆍ관리하는 사업자(이하 "집적정보통신시설사업자"라 한다)는 제외한다]으로서 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만 명 미만이고 전년도 정보통신서비스 부문 매출액이 100억원 미만인 자
[CISO 겸직금지]
제45조의3(정보보호 최고책임자의 지정 등) ③ 제1항 본문에 따라 지정 및 신고된 정보보호 최고책임자(자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우로 한정한다)는 제4항의 업무 외의 다른 업무를 겸직할 수 없다. <신설 2018. 6. 12.>
여기서 말하는 대통령령은 아래와 같습니다. (한마디로 아래에 해당되면 CISO를 지정하여 CISO의 업무만 하도록 해야 합니다.)
제36조의6(정보보호 최고책임자의 지정 및 겸직금지 등) ③ 법제45조의3제3항에서 "자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자"란 정보통신서비스 제공자로서 다음 각 호의 어느 하나에 해당하는 자를 말한다.
1. 직전 사업연도 말 기준 자산총액이 5조원 이상인 자
2. 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액 5천억원 이상인 자
onewant | 4년 이상 전
werther.chan | 4년 이상 전
참고 하세요... 중앙전파관리소
차니 | 4년 이상 전
차니 | 4년 이상 전
werther.chan | 4년 이상 전
차니 | 4년 이상 전
onewant | 4년 이상 전
법은 늘 어렵기만 합니다 ㅠㅠ
werther.chan | 4년 이상 전
서비스 소개하는 홈페이지만 있어도 해당이 되는 걸까요?
werther.chan | 4년 이상 전
정보 감사합니다. 시간날때 천천히 찾아봐야겠네요.
werther.chan | 4년 이상 전
아, 우리 다음주 ISMS 심사 받는데... 앞으로 몇 달간 힘들겠다... ㅜㅜ
werther.chan | 4년 이상 전
차바라기 | 4년 이상 전
werther.chan | 4년 이상 전
2년전 CISO 교육을 들었고
저희도 해당 사항이 있는지 확인해보았으나
홈페이지 서비스 목적이 영리냐 비영리냐의 차이점은 영리 ( 포탈 사이트 )
비영리 ( 서비스 형태 ) 라고 판단 되어집니다.
예를 들어 병원 사이트 중 결제를 한다면 영리겠지만 결제가 아닌 환자들의 예약이나
병원 관련 정보를 제공하면 비영리입니다. 접속자 수는 아무리 많아도 정보만 제공이기 때문입니다.
현재도 앞으로도 벌금은 없습니다.
그리고 CISO의 법적 책임자는 담당 팀장이 아니라 본부장이거나 CEO가 될수 있습니다.
지정이 아니여도 기본적으로 적용됩니다.
werther.chan | 4년 이상 전
onewant | 4년 이상 전
onewant | 4년 이상 전
onewant | 4년 이상 전
쿨가이 | 4년 이상 전
onewant | 4년 이상 전
정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제 36조의 6에 다음과 같이 나와 있네요.
http://www.law.go.kr/LSW//lumLsLinkPop.do?lspttninfSeq=81464&chrClsCd=010202
③ 법 제45조의3제3항에서 "자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자"란 정보통신서비스 제공자로서 다음 각 호의 어느 하나에 해당하는 자를 말한다.
1. 직전 사업연도 말 기준 자산총액이 5조원 이상인 자
2. 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액 5천억원 이상인 자
④ 제3항에 따른 정보통신서비스 제공자가 지정ㆍ신고해야 하는 정보보호 최고책임자는 제2항에 따른 자격 요건을 충족하고, 상근하는 자로서 다음 각 호의 어느 하나에 해당하는 자격을 갖추어야 한다. 이 경우 정보보호 또는 정보기술 분야의 업무는 「전자금융거래법 시행령」 별표 1 비고 제3호 및 제4호에 따른 업무를 말한다.
1. 정보보호 분야의 업무를 4년 이상 수행한 경력이 있는 사람
2. 정보보호 분야의 업무를 수행한 경력과 정보기술 분야의 업무를 수행한 경력을 합산한 기간이 5년(그 중 2년 이상은 정보보호 분야의 업무를 수행한 경력이어야 한다) 이상인 사람
[전문개정 2019. 6. 11.]
요약해 보면 다음 2가지 조건 중에 하나인 자가 되겠는데요.
[1] 직전 사업 연도 말 기준 자산 총액이 52조원 이상 이거나 [2] 정보보호 관리 체계 인증을 받아야 하는 자 중에 직전 사업 연도 말 기준 자산 총액이 5천억원 이상인자
werther.chan | 4년 이상 전
onewant | 4년 이상 전
영리기업이 홈페이지를 운영(호스팅도 포함)하면 전부 해당되네요.
werther.chan | 4년 이상 전
홈페이지를 가지고 있으시면 정보보호 최고 책임자(정/부) ,개인정보 담당자가 있어야 합니다.행안부나/KISA에서 점검을 하기때문에 나중에 수검받으면 벌금받거든요~
werther.chan | 4년 이상 전