잘 알 수 도 있지만 생소한 분들도 계실 것 같아 관련 내용을 가져와 봤습니다.
요즘은 무엇보다 보안이 중요해 지고 있는 시기이죠. 회사에서도 정보보안, 고객정보보안을 더욱 더 강조하고 있는데요.
CISO(Chief Information security Officer)의 역할을 맡은 임직원은 비즈니스와 직결되지 않아 간과 할 수 정보보안을 준수 할 수 있도록 총괄의 역할을 맡으며, 다음과 같은 주요 업무를 수행해 나가야 합니다.
" CISO가 해야 할 일 (10가지 내외 요약) "
- 보안 전략 수립 및 실행
- 조직의 비즈니스 목표에 맞는 보안 전략을 수립하고 실행
- 사이버 보안 정책 및 절차 개발
- 보안 정책, 표준, 지침을 만들고 직원들에게 교육
- 위험 관리 및 평가
- 사이버 위협, 취약점 분석 및 리스크 평가 수행
- 보안 기술 도입 및 운영
- 방화벽, IDS/IPS, EDR, SIEM 등 보안 솔루션 도입 및 운영
- 법규 및 규제 준수 관리
- GDPR, ISO 27001, NIST, HIPAA 등 법적 요구사항 준수
- 사이버 공격 대응 및 사고 관리
- 침해사고 대응 계획 수립 및 보안 사고 대응
- 임직원 보안 인식 교육
- 내부 직원 대상 보안 교육 및 피싱 테스트 등 수행
- 벤더 및 공급망 보안 관리
- 협력업체 및 외부 서비스의 보안 수준 평가 및 관리
- 보안 예산 및 투자 계획 수립
- 보안 관련 예산 확보 및 효과적인 투자 계획 수립
- 이사회 및 경영진 보고
- 보안 리스크, 주요 지표 및 보안 전략을 경영진과 공유
이 외에도 조직의 보안 수준을 지속적으로 개선하고 최신 보안 동향을 파악하는 것이 CISO의 핵심 역할입니다.
저도 회사에서 관련 업무를 맡고 있는데요. 첫 째도 보안 둘째도 보안. 보안은 아무리 강조해도 지나치지 않습니다.
조금은 딱딱 할 수 있는 직무이지만, 회사에서는 반드시 필요한 직책입니다.
아래는 국내 법류에 따라 CISO와 CIO의 겸직 가능 여부에 대한 내용입니다.
국내 법률에 따르면, 정보보호 최고책임자(CISO)와 최고정보책임자(CIO)의 겸직 가능 여부는 조직의 규모와 자산 총액에 따라 다릅니다. 특히, 자산총액이 5조 원 이상인 기업이나 정보보호 관리체계 인증 의무 대상 중 자산총액이 5,000억 원 이상인 기업은 CISO의 겸직이 제한됩니다. 이러한 기업들은 CISO를 다른 직무와 겸하지 않는 전담 임원으로 지정해야 합니다.
반면, 이러한 기준에 해당하지 않는 중소규모 기업이나 자산총액이 5조 원 미만인 기업은 CISO와 CIO의 겸직이 가능합니다. 다만, CISO로 지정되는 임원은 정보보호 관련 업무를 총괄할 수 있는 자격과 경력을 갖추어야 합니다.
또한, CISO를 지정하고 신고해야 하는 의무는 모든 정보통신서비스 제공자에게 적용되며, 이를 위반할 경우 과태료 등의 행정처분을 받을 수 있습니다.
따라서, 기업은 자사의 자산 규모와 법적 요건을 고려하여 CISO와 CIO의 겸직 여부를 신중하게 결정해야 합니다.
'IT인으로 살아가기' 카테고리의 다른 글
| [IT지식] 클라우드(Cloud)가 뭐야? (0) | 2025.02.28 |
|---|---|
| MPLS에 대해서 쉽게 알려 드릴께요. (0) | 2025.02.23 |
