기업의 정보보호 책임자(CISO) 겸직제한, 자격요건 규정 등과 관련해 정부가 연말까지 계도기간을 운영한다.

과학기술정보통신부는 CISO(Chief Information Security Officer)의 겸직제한과 자격요건 시행과 관련해 연말까지 계도기간을 둘 계획이라고 19일 밝혔다.

기업의 정보보호 책임자 겸직제한은 자산총액 5조원 이상 또는 정보보호 관리체계 인증 의무대상자 중 자산총액 5000억원 이상인 경우이며, 자격요건의 경우 정보보호 관련 학력과 경력 등을 갖춰야 한다.

앞서 과기정통부는 지난해 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 개정 이후 적정한 준비기간이 있었고 홍보가 됐다고 설명했다.

하지만 과기정통부는 겸직제한 대상기업을 정하는 등의 제도개선 내용을 담은 같은 법 시행령(2019년 6월13일 시행)이 입법 과정에서 수정된 점, 제도 시행 초기에 발생할 수 있는 자격을 갖춘 CISO 구인 경쟁, 기업들의 인사 시기 등을 고려할 때 기업 부담을 줄이고 제도의 안정적 정착을 도모하기 위해 계도기간이 필요한 것으로 판단했다. 

지난 13일 시행된 시행령의 겸직제한의 경우 당초 시행령 시행 후 최초 지정‧신고 CISO부터 적용에서 시행일부터 적용으로 수정됐다. 또 자격요건의 경우도 정보보호 전문지식이나 경험이 풍부한 자에서 정보보호 관련 학력, 경력 등이 추가됐다.

과기정통부는 이번 계도기간동안 CISO 제도 관련 안내‧해설서를 제작 배포하고 관련 협회 안내, 기업 설명회 등을 통해 기업들의 사이버 위협 대응능력 강화하도록 할 방침이다.

또한 과기정통부는 계도기간이 끝나는 내년 1월1일부터 ▲겸직제한 의무 위반 ▲신고 해태 ▲CISO 자격요건 미비 등 법령을 위반한 정보통신서비스 제공자에 대해서는 시정명령, 과태료 등 엄정한 조치를 취할 방침이라고 밝혔다.