임원급 아닌 부서장도 ‘정보보호 최고책임자’ 지정 가능해진다

(사진제공=과학기술정보통신부)

앞으로 기업 정보보호 최고책임자(CISO)에 임원이 아닌 부장급도 지정할 수 있게 된다.

과학기술정보통신부는 정보보호 최고책임자(CISO) 제도개선을 담은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 시행령 개정안이 국무회의를 통과해 내달 시행될 예정이라고 30일 밝혔다.

이번 시행령 개정은 지난 6월 8일 개정된 정보통신망법 후속 조치 차원이다. 그동안 획일적이던 기존 정보보호 최고책임자의 임원급 지위를 기업 규모에 따라 정보보호 책임자(부장급) 또는 대표자도 지정ㆍ신고 가능토록 허용하고, 신고대상 범위도 정보보호 필요성이 큰 중기업 이상으로 조정해 기업의 부담 완화에 중점을 뒀다.

우선 정보보호 최고책임자 신고 의무를 가진 기업에 일률적으로 ‘임원급’ 지정을 강제하던 것을 기업 규모를 기준으로 세분화해 모호한 ‘임원급’ 기준에 대한 혼선을 해소했다. 이에 따라 일반 의무대상 기업은 정보보호 책임자(부서장급)까지 지정할 수 있도록 개선해 기업의 부담을 완화한다.

또 정보보호 최고책임자 신고 대상 기업을 ‘중기업’ 이상으로 개선해 신고대상을 합리화한다. 신고의무가 면제된 기업은 사업주나 대표자를 정보보호 최고책임자로 간주한다는 조항을 추가해 기업의 정보보호 공백을 방지한다.

아울러 신규로 신고의무 대상이 되는 기업의 인력수급 어려움 등 여건을 고려하여 신고기한을 현행 90일에서 180일로 연장한다.

임혜숙 과기정통부 장관은 “이번 개정안을 통해 기업의 부담을 완화하는 동시에 주요 기업들의 정보보호 최고책임자가 기업 내 정보보호 업무에 집중ㆍ전담토록 했다”며 “사이버 침해사고를 예방하고 사고 발생 시 신속한 복구 및 피해 최소화 등을 가능하게 해 국내기업들의 전반적인 정보보호 역량이 더 강화될 것으로 기대된다”고 말했다.