안녕하세요,
저는 10여개 계열사로 구성된 그룹사의 IT서비스 회사에서 근무중입니다.
지난 주 제조 계열사 한 곳이 해당지역 전파관리소로부터 CISO 지정 신고 관련 공문이 접수되었습니다.
관련해 대응해야하는데 회원분들께 몇 가지 문의드리고 조언을 구하고자 합니다.
1. CISO 지정 신고 대상 여부
- 공문 및 Q&A에 따르면, 홈페이지를 운영하는 모든 영리기업(신고 의무 제외 대상 외)이 대상인 것으로
판단됩니다. 그렇다면 거의 모든 기업이 해당될 듯 한데 어떻게 보시는지요? (관련 기사에서도 4만여개가
대상이라 하네요.)
2. 임원급의 의미
- Q&A에 따르면, '법인세법 시행령' 상의 임원 관련 규정을 준용하여 적용한다고 되어있습니다. 하지만,
해당 시행령을 봐도 명확하게 이해가 되지 않아 고민입니다. 실제 지정하신 회원님들의 회사에서는
CISO를 어느 급으로 신고하셨는지요? 실제 임원으로 지정해야 한다면, 4만여개 기업이 CISO 자격을 갖춘
임원을 지정할 수 있을까하는 의문이 생깁니다. (블라인드 앱에서 의견을 검색해보면 부서장급도 되고,
신고시 임원 여부를 확인하지 않는다라는 내용도 있습니다.)
Q&A의 내용에서 "CISO의 일반 자격 요건 중 상근자를 규정하지 않아, 다른 기업에 재직하고 있거나 해당 기
업에 상근하지 않더라도 무관하다"는 것은 뭔가 앞뒤가 맞지 않는 듯 싶습니다. 기업의 보안책임자인데 그 회
사와 전혀 관련이 없는 사람을 지정한다는게 상식적이지 않아 보입니다.
* 답변주실 회원님들께 미리 감사드립니다. ^^;
3개의 답변이 있습니다.
1.거의 대부분의 영리성 기업들이 일부 소기업을 제외하고는 모두 CISO 의무지정 대상이 될 것입니다. 그러나 CISO 지정 시 겸임이 가능합니다. CEO가 CISO를 겸임해도 되고, CTO가 CISO를 겸임해도 됩니다. (물론 자격요건은 충족시켜야 합니다.)
다만, 규모가 큰 기업의 경우는 겸임을 금지하도록 하고 있습니다만, 어떤 기사에 따르면 겸임이 금지될 규모의 기업은 국내 126개 정도밖에 되지 않습니다.
2.위에서도 말씀드렸습니다만, 망법 제45조의3 제1항에 의거하여, 임원급을 지정하도록 하고 있습니다. 굳이 임원급으로 지정하라고 법에 정해진 이유는, 전사적 보안활동이나 전사적 보안예산 집행을 비교적 독립적으로 큰 규모로 집행할 수 있도록 하기 위함입니다.
뭐, 부서장으로 해도 된다, 팀장으로 해도 된다, 진짜 임원인지 보지는 않는다라는 여러 경험의 이야기가 있습니다만 원칙상으로는 임원급으로 지정해야 합니다.
저도 문의했는데 원칙적으로 홈페이지를 운영하는 영리기업은 규모상관없이 규정에 해당됩니다
안해서 불이익 받는것보다 속편하게 신고하는게 나은것 같습니다
1.중기업은 중소기업기본법 제2조제2항에 따라 중소기업 중 소기업을 제외한 기업으로, 자산총액이 5000억원 미만이고 업종별 기준 매출액 이하인 기업이다.
: 각 계열사별로 나눠야 할듯 합니다. 그러면 5천억원 이하면 제외라고 보여 집니다.
2. CISO 자격요건으로 정보보호 최고 책임자 (부서 팀장)으로 지정하면 됩니다.
: CISO는 정보보호 또는 정보기술 관련 전문 지식이나 실무 경험이 풍부한 자 중에서
지정해야 한다. 특히, 다른 직무의 겸직이 제한된 정보보호 최고책임자는 상근하는
자로 다른 회사의 임직원으로 재직 중이지 아니한 자여야 한다. 4년 이상의 정보보호
분야 경력자이거나 2년 이상의 정보보호 분야 경력자로 정보기술 분야 경력과 합해
5년 이상인 자로 지정하도록 자격요건을 정했다.
onewant | 4년 이상 전