정보보호 최고 책임자(CISO) 신고 기준이 어떻게 되는지 궁금합니다. : CELA Blog

김민수

2025-04-16

정보통신망법 및 정보통신망법 시행령에 CISO 지정 및 신고 기준이 명시되어 있습니다.

정보통신망법 : 제45조의3(정보보호 최고책임자의 지정 등)
(https://www.law.go.kr/법령/정보통신망이용촉진및정보보호등에관한법률/(20240814,20260,20240213)/제45조의3)

정보통신망법시행령 : 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등)
(https://www.law.go.kr/법령/정보통신망이용촉진및정보보호등에관한법률시행령/(20241231,35172,20241231)/제36조의7)

법과 대통령령 하위 법령으로 세부 기준을 나누다 보니 조금 가독성은 떨어지는 경향이 높은것 같습니다.

아래 CISO에 관한 관련 기준을 좀더 쉽게 정리하였습니다.
우리기업이 CISO 신고 의무 대상 기업인지 명확하게 판단되지 않는경우 아래 정리된 내용을 참고하시면 좋을것 같습니다.

추가로, CISO는 모든 기업이 지정해야 됩니다.
다만, 아래 명시한 사항과 같이 자본금 1억원 이하 사업자 및 소기업 등은 CISO를 지정하지 않는 경우
사업주 또는 대표이사를 자동으로 간주한다는 점을 꼭 염두하시기 바랍니다.

사업자 구분	CISO 신고	겸직 가능	자격 요건
자본금 1억원 이하 사업자 및 소기업	X	O	사업주/대표자(미신고시 자동 간주)
일반 중기업 (아래 중기업 중 특수 조건에 해당하지 않는 경우)	X	O	사업주/대표자, 이사, 정보보호 관련 업무 총괄 부서장
중기업 중 전기통신 사업자	O	O	사업주/대표자, 이사, 정보보호 관련 업무 총괄 부서장
중기업 중 ISMS 인증 의무 대상자	O	O	사업주/대표자, 이사, 정보보호 관련 업무 총괄 부서장
중기업 중 개인정보 처리방침 공개해야 하는 개인정보 처리자	O	O	사업주/대표자, 이사, 정보보호 관련 업무 총괄 부서장
중기업 중 전자상거래법에 따른 통신판매업자 신고 대상자	O	O	사업주/대표자, 이사, 정보보호 관련 업무 총괄 부서장
직전연도 자산총액 5조원 이상인 자	O	X	*상법상 이사
ISMS 인증 의무 대상자 & 직전연도 자산총액 5천억원 이상인 자	O	X	*상법상 이사

※ 상법상 ‘이사’
이사가 아니어도 '명예회장ㆍ회장ㆍ사장ㆍ부사장ㆍ전무ㆍ상무ㆍ이사 등'의 업무 집행 권한이 있는 것으로 여겨질 명칭을 사용하여 회사 업무를 집행한 자를 포함

O CISO 자격 요건

- CISO 신고 기업
: 정보보호(정보기술) 분야 석사 이상
: 정보보호(정보기술) 분야 학사 이상 + 정보보호(정보기술) 업무 경력 3년 이상(학위 취득 전 경력 포함)
: 정보보호(정보기술) 분야 전문학사 이상 + 정보보호(정보기술) 업무 경력 5년 이상(학위 취득 전 경력 포함)
: 정보보호(정보기술) 업무 경력 10년 이상
: 정보보호 관리체계 인증심사원 자격 취득자
: 해당 기업의 정보보호 관련 부서장으로 1년 이상 근무 경력이 있는 자

- CISO 신고 기업 + 겸직 금지 대상 기업
: 정보보호 분야 4년 이상 경력(학위 취득 전 경력 포함)
: 정보보호(정보기술) 업무 경력 5년 이상(이 중 정보보호 분야 2년 이상, 학위 취득 전 경력 포함)

홈페이지 하단의 '개인정보처리방침'을 강조 표시하지 않으면 과태료 대상인가요? 꼭 해야할까요? ISMS 인증심사 싸이클을 바꾸고 싶은데 유효기간이 지나고 심사를 받아도 되나요?

Q&A정보보호 최고 책임자(CISO) 신고 기준이 어떻게 되는지 궁금합니다.