현행법에서 정보보호최고책임자(CISO) 지정 시 조건으로 둔 ‘임원급’이라는 지위가 모호하다는 점을 악용해 일부 기업에서 실제 임원급이 아닌 직원을 CISO로 신고한 것으로 나타났다.
이에 김영식 국민의힘 의원은 CISO 제도의 실효성을 높이고, 소규모 기업에 대해 CISO를 신고하지 않을 수 있게 하는 정보통신망법 개정안을 대표발의 했다고 26일 밝혔다.
개정안에서는 CISO의 지위와 업무를 대통령령으로 위임, 임원급에 대한 세부기준을 대통령령을 통해 정하도록 하였다.
제도의 실효성을 높이기 위해 임원급이 아닌 CISO를 지정하거나 CISO에 정보보호 외 업무를 겸직하게 하면 과태료를 부과하는 규정을 포함시켰다.
관련기사
- "토스에 정보유출 없도록...'철벽 골키퍼'가 바로 나"2020.11.18
- 보안 패치 때 'CC인증' 재발급 안 해도 된다2020.10.30
- 공공기관, 보안 허점 방치…책임자가 없다2020.10.14
- CISO·CPO 겸직 제한 사라진다2020.08.18
CISO 업무 범위도 기존 ‘정보보호관리체계 수립·관리·운영’에서 ‘정보보호 계획 수립·시행·개선’으로 명확히 했다. 겸직 가능 업무는 대통령령으로 규정하도록 해 CISO와 겸직 요구가 많았던 개인정보보호최고책임자(CPO) 업무의 겸직이 가능하도록 했다.
김영식 의원은 “원격근무 등 비대면 전환에 따라 기업 정보보호가 더욱 중요해졌다”면서 “CISO 제도 개선으로 기업 정보보호 수준을 높이고 국민 침해사고를 예방할 것”이라고 말했다.
