안녕하세요. 항상 도움을 많이 얻어가고 있습니다^^;
다름이 아니라, 회사 규모가 달라짐에 따라 정보보안인력 (공공)으로 채용을 진행해야하는데
여기에 필요한 법적근거가 필요하여 찾아보니.. 지침이외에는 설명할 방법이 없더라구요..
여기서 발생하는 업무부하기준이나, 업무량 등을 산정하여 신청하고 있지만,
법적인 근거가 꼭 필요하여, 혹시 선배님들께서는.. 어떤 법적인 기준으로 정보보안인력을 채용하시는지
궁금합니다.
해당 인원을 뽑아야 할 때 적용할 수 있는 법령들과 그 상위법령들에대한 근거가 필요한데..
이 업무를 맡은지 이제 1년 미만이라.. 답답하여 글을 남깁니다
6개의 답변이 있습니다.
모두 감사드립니다.^^!!
법적으로는 정보보호 최고책임자(CISO), 개인정보 책임자(CPO)를 지정하도록 명시하고 있습니다.
- 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)
- 개인정보보호법 제31조(개인정보 보호책임자의 지정)
정보통신망법 제45조의3 제4항을 보시면 정보보호 최고책임자의 업무를 명시하고 있습니다.
1. 정보보호관리체계의 수립 및 관리ㆍ운영
2. 정보보호 취약점 분석ㆍ평가 및 개선
3. 침해사고의 예방 및 대응
4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등
5. 정보보호 사전 보안성 검토
6. 중요 정보의 암호화 및 보안서버 적합성 검토
7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
개인정보보호법 제31조 제2항에도 개인정보 책임자의 업무를 명시하고 있습니다.
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리ㆍ감독
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
따라서 정보보호 최고책임자, 개인정보 책임자로 지정된 인력은 법에서 규정하는 업무를 수행, 총괄, 책임져야 합니다.
규모가 작다면 혼자 다 할 수 있겠지만 규모가 크다면 절대 혼자 다 못하겠죠?? 그러면 자연스레 팀장급, 실무진급을 채용이 추진되지 않을까요?
제6장 정보통신망의 안정성 확보 등
제45조(정보통신망의 안정성 확보 등) ① 다음 각 호의 어느 하나에 해당하는 자는 정보통신서비스의 제공에 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치를 하여야 한다. <개정 2020. 6. 9.>
1. 정보통신서비스 제공자
2. 정보통신망에 연결되어 정보를 송ㆍ수신할 수 있는 기기ㆍ설비ㆍ장비 중 대통령령으로 정하는 기기ㆍ설비ㆍ장비(이하 “정보통신망연결기기등”이라 한다)를 제조하거나 수입하는 자
② 과학기술정보통신부장관은 제1항에 따른 보호조치의 구체적 내용을 정한 정보보호조치에 관한 지침(이하 “정보보호지침”이라 한다)을 정하여 고시하고 제1항 각 호의 어느 하나에 해당하는 자에게 이를 지키도록 권고할 수 있다. <개정 2012. 2. 17., 2013. 3. 23., 2017. 7. 26., 2020. 6. 9.>
③ 정보보호지침에는 다음 각 호의 사항이 포함되어야 한다. <개정 2016. 3. 22., 2020. 6. 9.>
1. 정당한 권한이 없는 자가 정보통신망에 접근ㆍ침입하는 것을 방지하거나 대응하기 위한 정보보호시스템의 설치ㆍ운영 등 기술적ㆍ물리적 보호조치
2. 정보의 불법 유출ㆍ위조ㆍ변조ㆍ삭제 등을 방지하기 위한 기술적 보호조치
3. 정보통신망의 지속적인 이용이 가능한 상태를 확보하기 위한 기술적ㆍ물리적 보호조치
4. 정보통신망의 안정 및 정보보호를 위한 인력ㆍ조직ㆍ경비의 확보 및 관련 계획수립 등 관리적 보호조치
5. 정보통신망연결기기등의 정보보호를 위한 기술적 보호조치
④ 과학기술정보통신부장관은 관계 중앙행정기관의 장에게 소관 분야의 정보통신망연결기기등과 관련된 시험ㆍ검사ㆍ인증 등의 기준에 정보보호지침의 내용을 반영할 것을 요청할 수 있다. <신설 2020. 6. 9.>
https://www.law.go.kr/법령/정보통신망이용촉진및정보보호등에관한법률
정보 보호 관련 인력에 대한 법률이라면...
정보보호산업의 진흥에 관한 법률
정보보호산업의 진흥에 관한 법률 시행령
정보보호산업의 진흥에 관한 법률 시행규칙
정보통신망 이용촉진 및 정보보호 등에 관한 법률
정보통신망이용촉진및정보보호등에관한법률시행령
개인정보보호법
개인정보보호법 시행령
개인정보보호법시행규칙
등을 참고해보면 되지 않을까 싶어 보이네요.
보안정보 인력이 필요한 회사면 보안담당자가 필수 입니다.~인증서 관련해서 할일이 많거든요
ISMS 기준으로 보자면, 직무 분리 조항이 있습니다. ( 2.2 인적 보안 > 2.2.2 직무 분리 )
개발군/운영군/보안군 영역을 분리하도록 지정하고 있습니다.
굳이 법적으로 파고들지 않아도, 보안직군이 따로 필요한 것이
보안 담당자만이 해야 하는 일 (예: 방화벽 설정, 사이트별 관리자 계정 운영 등)을 다른 직군이 수행하게 되면, 자기 입맛대로 권한을 마구잡이로 바꿔서 운영하게 되는 일이 종종 발생합니다. -> 개발자가 자기 업무편하게 하려고 최고권한 주고 개발하다가 문제 생기면....
거기에 따른 책임 소재도 불분명해지는 부분이 있구요
사기업은 해당 사항이 없으나, 공기업의 경우 200명당 1명의 보안담당자를 필수로 넣는 것이 법적으로 정해진 것으로 기억하고 있네요. (이건 그냥 참고정도만 하시면 됩니다)
글쓴이분의 회사 규모가 어떤지는 모르겠으나, 추후 몇년 안에 보안관련 인증서를 (ISMS, ISO 등) 취득할 것 같다 싶으면 꼭 뽑아야 합니다.