- 금융회사 또는 전자금융업자는 정보보호최고책임자(CISO)를 지정하여야 함 (전자금융거래법 제21조의2 제1항)
- CISO에 관하여 '정보통신망법'은 일반법, '전자금융거래법'은 특별법 관계이므로 '전자금융거래법'을 적용 (정보보호 최고책임자(CISO) 관련 정보통신망법령 Q&A, www.gov.kr/portal/ntnadmNews/1892019
구체적인 요건은 다음과 같음
- 사업연도 말을 기준으로 총자산이 2조원 이상, 상시 종업원 수 300명 이상인 경우 : 임원으로 지정
- 사업연도 말을 기준으로 총자산이 10조원 이상, 상시 종업원 수 1,000명 이상인 경우 : 겸직 금지
- 자격요건 : 전자금융거래법 시행령 [별표1]
[관련 법규 내용]
1. 전자금융거래법
제21조의2(정보보호최고책임자 지정) ① 금융회사 또는 전자금융업자는 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 총괄하여 책임질 정보보호최고책임자를 지정하여야 한다. <개정 2013. 5. 22.> ② 총자산, 종업원 수 등을 감안하여 대통령령으로 정하는 금융회사 또는 전자금융업자는 정보보호최고책임자를 임원(「상법」 제401조의2제1항제3호에 따른 자를 포함한다)으로 지정하여야 한다. <개정 2013. 5. 22.> ③ 총자산, 종업원 수 등을 감안하여 대통령령으로 정하는 금융회사 또는 전자금융업자의 정보보호최고책임자는 제4항의 업무 외의 다른 정보기술부문 업무를 겸직할 수 없다. <신설 2014. 10. 15.> ④ 제1항에 따른 정보보호최고책임자는 다음 각 호의 업무를 수행한다. <개정 2014. 10. 15.> 1. 제21조제2항에 따른 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립 2. 정보기술부문의 보호 3. 정보기술부문의 보안에 필요한 인력관리 및 예산편성 4. 전자금융거래의 사고 예방 및 조치 5. 그 밖에 전자금융거래의 안정성 확보를 위하여 대통령령으로 정하는 사항 ⑤ 정보보호최고책임자의 자격요건 등에 필요한 사항은 대통령령으로 정한다. <개정 2014. 10. 15.> |
2. 전자금융거래법 시행령
제11조의3(정보보호최고책임자 지정대상 금융회사 등) ① 법 제21조의2제2항에서 "대통령령으로 정하는 금융회사 또는 전자금융업자"란 직전 사업연도 말을 기준으로 총자산이 2조원 이상이고, 상시 종업원 수가 300명 이상인 금융회사 또는 전자금융업자를 말한다. 이 경우 상시 종업원 수의 산정방식은 금융위원회가 정하여 고시한다. <개정 2013. 11. 22.> ② 법 제21조의2제3항에서 "대통령령으로 정하는 금융회사 또는 전자금융업자"란 직전 사업연도 말을 기준으로 총자산이 10조원 이상이고, 상시 종업원 수가 1,000명 이상인 금융회사를 말한다. 이 경우 상시 종업원 수의 산정방식은 제1항 후단을 준용한다. <신설 2015. 4. 14.> ③ 법 제21조의2제4항제5호에서 "대통령령으로 정하는 사항"이란 다음 각 호의 사항을 말한다. <신설 2013. 11. 22., 2015. 4. 14.> 1. 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 위한 자체심의에 관한 사항 2. 정보기술부문 보안에 관한 임직원 교육에 관한 사항 ④ 법 제21조의2제5항에 따른 정보보호최고책임자의 자격요건은 별표 1과 같다. <개정 2013. 11. 22., 2015. 4. 14.> [본조신설 2012. 5. 7.] [제목개정 2013. 11. 22.] [제11조의2에서 이동 <2013. 11. 22.>] |