“정보보호 관리자가 조직 내 정보보호 업무의 방법과 과정을 고민하는 직책이라면, CISO(정보보호최고책임자: Chief Information Security Officer)는 조직 내 정보보호 업무의 방향과 결과를 고민해야 하는 직책이며 조직의 경영 목표를 달성하는 데에 기여할 수 있는 정보보호 활동을 총괄하는 위치에 있다. 그렇다면 조직 내에서 CISO에게 요구되는 책임과 역할은 무엇일까?”

한국인터넷진흥원은 14일 ‘CISO 길라잡이(중급편)’을 발표했다. 이번 문서에는 △CISO의 기본 역량 △정보보호 관리체계의 수립 및 관리 운영 △정보보호 취약점 분석, 평가 및 개선 △침해사고 대응 등, CISO라면 꼭 알아야 할 주요 업무들에 대해 가이드하고 있다.

정보통신망법과 전자금융거래법 등에서는 정보보호최고책임자(CISO)를 임원급으로 지정하도록 규정하고 있다. 하지만 현실에서는 자격미달(?) 수준의 CISO를 임원으로 임명하는 경우도 많고, CISO 임명 자체를 여전히 하지 않고 버티고 있는 조직도 있다.

이번 ‘CISO 길라잡이 중급편’은 CISO의 역할을 명확히 규정하고 있고 CISO는 어떤 역량을 갖춰야 하는지 잘 설명하고 있다.

문서에 따르면, 정보보호 위험관리는 정보보호의 목표와 이에 수반하는 위험 사이에서 적절한 균형점을 찾아 위험관리의 비중을 조정하는 의사결정 행위이며, 이는 조직 내에서 CISO에게 부여된 중요한 임무 중 하나다. 아울러 CISO는 기업의 상위 위험관리 프로세스에 관여해 정보보호 위험관리가 기업의 전체적인 의사결정 과정에 적절하게 반영될 수 있도록 최고경영자를 비롯한 여타 영역의 책임자들과 소통하는 역할과 책임을 갖는다고 강조한다.

그러면서, 국내외 개인정보유출 및 해킹사고 사례를 소개하면서 CISO가 어떤 임무를 수행해야 하는지 자세히 설명하고 있다.

이번 CISO 길라잡이 중급편은 KISA 인터넷보호나라와 데일리시큐 자료실에서도 다운로드 가능하다.

이번 중급편 집필에는 박종섭 법무법인 광장 수석전문위원, 박나룡 보안전략연구소 소장, 서진원 이베이 글로벌 정보보호실 APAC 매니저, 강은성 CISO Lab 대표가 참여했다.

---

◈ 국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 개최(MPIS 2021)

-개최일: 2021년 7월 6일(화)

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-참석대상: 국내 모든 의료기관 개인정보보호·정보보안 책임자 및 실무자 / IT시스템 관리자 / 의료 관련 공공기관 담당자 등 300여 명

-보안교육이수: 7시간 인정

-비용: 병원 및 의료 관련 공무원은 무료 참관 (이외 유료)

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★