최근 IT업계에서 가장 뜨거운 이슈는 개인정보 보호였습니다. 사물인터넷(IOT)과 인공지능(AI)의 발달은 개인정보 유출에 따른 위협을 한층 키웠는데요, 또한 ESG의 사회 영역과도 직결된 이슈인 만큼 개인정보 보호는 기업 존속을 위해 가장 중요한 요소로 평가되고 있습니다.  

정부는 이 같은 침해사고를 예방하고 사이버공격 대응 역량을 강화하기 위해, 각 기업의 CISO(정보보호 최고 책임자)나 CPO(개인정보 보호 책임자)를 지정,신고해 운영하도록 하고 있습니다.

그렇다면, 여기에서 말하는 CISO, CPO는 무엇일까요?

아마 처음 들어보는 분들도 많으실텐데요, 그래서 오늘은 CISO, CPO는 무엇이며 둘의 차이점을 함께 알아보려고 합니다:)

✅ CISO 도대체 그게 뭔데, 누군데?

📂 CISO 처음들어보는데 무엇을 의미하나요?

CISO(Chief Information Security Officer) : 정보보호 최고책임자

CISO란, 조직의 정보 및 데이터 보안을 책임지는 임원을 말하는데요,

과거에는 이 역할이 기업 구조에 따라 다소 좁게 정의됐지만

최근에는 CSO 및 보안 부사장과 함께 사용되는 경우가 많습니다.

이는 CISO가 기업에서 더욱 포괄적인 역할이 되었다는 의미로 받아드리면 될 것 같습니다.

또한 IDG의 ‘2020년 보안 우선순위’ 조사에 따르면 기업 가운데 61%가 최고 보안 임원을 두고있으며,

대기업의 경우에는 그 비율이 80%까지 높아진다고 하는데요.

하지만, 모든 기업에 최고 보안 임원이 있는 것은 아닙니다.

📂 CISO(정보보호 최고책임자)의 목적은 무엇인가요?

정보보호를 책임지는 CISO직을 기업의 임원급으로 임명, 운영함으로써

체계적인 보안정책 수립 및 보안 인식 수준 향상을 통해

갈수록 정교해지는 사이버 위협에 대응하는 능력을 강화하는데 목적이 있습니다.

📂 CISO(정보보호 최고책임자)의 자격조건은 어떻게 되나요?

CISO의 자격조건은 일반 자격 요건과 특별 자격 요건으로 나눠집니다.

[일반 자격 요건]

* 관련 분야 : 정보보호 또는 정보 기술 분야를 말합니다.

1. 관련 분야 석사학위 이상 학위를 취득한 사람

2. 관련분야 학사학위를 취득한 사람 + 3년 이상 경력이 있는 사람

3. 관련분야 전문학사학위를 취득한 사람 + 5년 이상 수행한 경력이 있는 사람

4. 관련분야 + 10년 이상 수행한 경력이 있는 사람

5. 정보보호 관리체계 인증심사원의(ISMS) 자격을 취득한 사람

6. 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람

[특별 자격 요건]

* 겸직 제한 대상으로 상근하는자

일반자격 요건 + 정보보호 분야 4년이상 경력 또는

정보보호 분야와 정보기술분야 업무 합산 경력 5년이상 (2년 이상은 정보보호 경력 필요)

📂 CISO(정보보호 최고책임자)의 직무는?

CISO 직무는 아래와 같이 8가지로 세분화 할 수 있습니다.

1. 보안 업무 : 당면한 위협의 실시간 분석, 그리고 무언가 잘못되었을 때 자원의 선별적 분배

2. 사이버 위험 및 사이버 첩보 : 진화하는 보안 위협에 정통하고, 기업 인수나 여타 중대한 비즈니스 변화에 따라 발생할 수 있는 잠재적 보안 문제를 이사회가 이해하는데 기여 

3. 데이터 유출 및 사기 방지 : 내부 직원이 데이터를 악용하거나 훔치지 못하도록 단속 

4. 보안 아키텍처 : 보안 하드웨어 및 소프트웨어를 계획하고, 구매하고, 전개, 그리고 모범 보안 관행에 유의하며 IT 및 네트워크 인프라를 설계 

5. 신원 및 접근 관리 : 권한있는 사람만 제한적으로 데이터 및 시스템에 접근할 수 있도록 보장 

6. 프로그램 관리 : 예컨대 정기 시스템 패치 등 위험을 완화하는 프로그램이나 프로젝트를 이행하면서 보안 니즈에 선제적으로 대처 

7. 조사 및 포렌식 : 보안 사고 시 잘못된 부분을 규명하고, 내부 보안 사고 시 관련자를 조사하고, 동일한 위기의 재발을 방지할 계획을 수립 

8. 거버넌스 : 앞선 모든 사항이 원활하게 실행되도록 보장하고, 필요한 자금을 확보하고 그리고 기업 지휘부가 이들의 중요성을 인식하도록 계몽 

📂 CISO(정보보호 최고책임자)가 구체적으로 하는 일(업무)은 무엇인가요?

CISO, 즉 정보보호 최고책임자는 어떤 일을 할까요?

정보통신망법의 CISO 관련 규정에 따르면, CISO의 업무는 아래와 같다고 규정했습니다.

- 정보보호 계획의 수립, 시행 및 개선

- 정보보호 실태와 관행의 정기적인 감사 및 개선

- 정보보호 위험의 식별,평가 및 정보보호 대책 마련

- 정보보호 교육과 모의 훈련 계획의 수립 및 시행

* 조직 내에서 CISO에게 부여된 중요한 임무 중 하나는,

정보보호의 목표와 이에 수반하는 위험 사이에서

적절한 균형점을 찾아 위험관리의 비중을 조정하는 의사결정이며,

기업의 상위 위험관리 프로세스에 관여해 정보보호 위험관리가

기업의 전체적인 의사결정 과정에 적절하게 반영될 수 있도록

CEO 및 책임자들과 소통하는 역할과 책임을 가져야 합니다.

-------------------------------------------------------------------

CISO와 CPO핵심인재 채용을 진행하고 있으신가요?

전문 헤드헌터 김동욱 팀장에게 문의 주세요

[email protected] / 02-2016-6606

-------------------------------------------------------------------

✅ CPO 개인정보보호 최고책임자, 뭐하는 사람이야?

📂 CPO는 무엇을 의미하나요?

CPO(Chief Privacy Officer) : 개인정보보호 최고책임자

CPO란, 기업의 개인정보 관리에 대한 총괄 책임자를 말하며

개인정보와 관련한 이용자의 고충 처리 업무를 담당합니다.

📂 그렇다면, CPO(개인정보보호 최고책임자)의 자격조건은 어떻게 되나요?

CPO의 자격조건은 공공기관과 공공기관 이외로 나눠집니다.

[공공기관]
1. 국회, 법원, 헌재, 중선위 및 중앙행정기관 ⮕ 고위공무원
2. 1번 이 외에 정무직공무원을 장으로 하는 기관 ⮕ 3급 이상
3. 고위/3급 공무원을 장으로 하는 기관 ⮕ 4급 이상
4. 1~3번 이 외의 국가기관 ⮕ 개인정보 처리 업무 부서의 장
5. 시·도 및 시·도 교육청 ⮕ 3급 이상
6. 시·군 및 자치구 ⮕ 4급
7. 학교 ⮕ 행정사무를 총괄하는 사람
8. 그 외의 공공기관 ⮕ 개인정보 처리 업무 부서의 장

[공공기관 이외]
1. 사업주 또는 대표자
2. 임원 (임원이 없는 경우 개인정보 처리 부서의 장)

📂 CPO(개인정보보호 최고책임자)가 구체적으로 하는 일(업무)은 무엇인가요?

CPO, 즉 개인정보보호 최고책임자는 어떤 일을 할까요?

법률에 규정된 CPO의 업무는 아래와 같습니다.

1. 개인정보 보호 계획의 수립 및 시행

2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선

3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제

4. 개인정보 유출 및 오용,남용 방지를 위한 내부통제시스템의 구축

5. 개인정보 보호 교육 계획의 수립 및 시행

6. 개인정보파일의 보호 및 관리,감독

7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무

* 개인정보보호 계획의 수립과 시행, 내부통제시스템의 구축,

개인정보에 대한 안전조치, 개인정보 처리방침의 수립과 시행, 개인정보 파기 등

개인정보보호 업무 전반을 수행하는 책임뿐만 아니라

개인정보 처리 실태의 조사와 개선, 개인정보보호 자료 관리,

수탁자를 포함한 개인정보보호 교육, 심지어 고객 불만 처리와

개인정보 사고가 터졌을 때 형사적 책임에 이르기까지

CPO는 기업의 개인정보보호에 관해 거의 모든 책임을 진다고 보시면 됩니다.

✅ CISO(정보보호 최고책임자) vs CPO(개인정보보호 최고책임자) 차이점은?

📌 명칭

CISO : 정보보호 최고책임자

CPO : 개인정보 보호책임자(개인정보보호법) / 개인정보 관리책임자(정통망법)

📌 조항

CISO : 정통망법 제45조의 3

CPO : 개인정보보호법 제 31조 / 정통망법 제27조

📌 임명의무 부담자 

CISO : 정보통신서비스 제공자

CPO : 정보통신서비스 제공자등(정보통신서비스 제공자, 그로부터 이용자의 개인정보를 제공받은 자)

📌 주요 업무

CISO : 기업에서 정보보안을 위한 기술적 대책과 법률 대응까지 총괄 책임, 

금융회사는 CISO를 반드시 두어야 한다

CPO : 이용자의 개인정보를 보호하고 개인정보와 관련된 이용자의 고충처리(정통망법),

개인정보의 처리에 관한 업무를 총괄해서 책임(개인정보보호법)

👉 CISO의 업무가 ‘기술적 보호조치’에 가깝다면, CPO의 업무는 ‘관리적 보호조치’에 가깝습니다.

출처 : ITWORD - “신뢰 구축을 통해 거듭나는” 2021 CISO 서바이벌 가이드 – IDG Deep Dive

중앙전파관리소 – 정보보호 최고책임자지정신고

정보보호최고책임자의 자격요건과 역할론(공병철,국경완,마기평 2019.06)

(SANS,기술 및 비즈니스의 조합 : 최고정보보안임원의 역할과 책임)

직무 정보는 JOBINDEX