CISO / CPO Roles & Qualifications¶
Status: Draft v0.2
Owner: TBD
Last reviewed: 2026-05-29
CISO(정보보호 최고책임자)와 CPO(개인정보 보호책임자)의 법적 자격요건, 사내 R&R, 임명 절차를 정의한다.
1. CPO — 개인정보 보호책임자¶
근거: 개인정보보호법 §31, 시행령 §32
1.1 일반 CPO 요건 (emocog 현재 적용)¶
- 사업주 또는 대표자, 또는 임원
- 임원이 없으면 개인정보 처리업무 담당 부서장
- 학위·경력 요건 없음
- 5명 미만 소상공인: 대표자 자동 CPO
1.2 전문 CPO 강화 요건 (2024-03-15 시행)¶
지정 대상 (시행령 §32④ 어느 하나)¶
| 구분 | 기준 |
|---|---|
| 일반 기업 | 연 매출 1,500억 이상 + (개인정보 100만명 이상 OR 민감정보/고유식별정보 5만명 이상) |
| 학교 | 일정 규모 이상 |
| 의료기관 | 상급종합병원 등 |
| 공공기관 | 별도 기준 |
자격 요건¶
- 개인정보보호 + 정보보호 + 정보기술 경력 합산 4년 이상
- 그 중 개인정보보호 경력 최소 2년
- 학위 인정 (하나만):
- 박사 → 2년
- 석사 → 1년
- 학사 → 6개월
- 개인정보위 CPO 교육 이수 → 최대 3개월 추가
근거 고시¶
- 시행령 [별표 1] CPO 자격 (제32조제4항 관련)
- 「개인정보 보호책임자 경력 인정에 관한 고시」 (2024-04-02 시행)
1.3 CPO 책임·권한 (R&R)¶
- 개인정보 처리에 관한 사항 총괄
- 처리방침 수립·시행
- 처리 실태 정기 조사·개선
- 정보주체 권리 행사 대응
- 유출 사고 대응·신고
- 임직원 교육
- 위탁사·수탁자 관리·감독
- 개인정보 영향평가(DPIA) 수행
1.4 임명 절차¶
- 대표 결재 → 임명장 발급
- 처리방침 내 CPO 성명·연락처 게시
- 사내 공지 (조직도·이메일)
- CPO 자격 강화 대상 도달 시 자격 충족 인력으로 변경
2. CISO — 정보보호 최고책임자¶
근거: 정보통신망법 §45의3, 시행령 §36의7
2.1 지정·신고 의무¶
| 항목 | 내용 |
|---|---|
| 대상 | 정보통신서비스 제공자 (앱·웹 운영 = 사실상 전 IT 기업) |
| 신고 | 지정 후 180일 내 과학기술정보통신부에 신고 |
| 면제 | 자본금 1억 이하 또는 「중소기업기본법」상 소기업 → 대표자 자동 CISO (신고 불요) |
2.2 일반 자격요건 (6가지 중 1개)¶
- 정보보호/정보기술 분야 석사학위 이상
- 학사 + 정보보호/정보기술 3년 경력
- 전문학사 + 정보보호/정보기술 5년 경력
- 정보보호/정보기술 10년 경력
- ISMS 인증심사원 자격
- 해당 회사의 정보보호 부서장 1년 이상 근무
2.3 겸직금지 + 특별 자격요건 (대기업만)¶
- 대상: 자산총액 5조 이상, 또는 ISMS 의무 + 자산 5천억 이상
- 일반 자격 + 다음 중 하나:
- 정보보호 분야 4년 경력
- 정보보호+정보기술 합산 5년 (정보보호 2년 이상)
- 상근 의무 (다른 직책 겸직 불가)
2.4 CISO 책임·권한 (R&R)¶
법 제45조의3 제4항:
- 정보보호 관리체계 수립·운영
- 정보보호 취약점 분석·평가·개선
- 침해사고 예방·대응
- 사전 정보보호 대책 마련 (개발·운영 단계)
- 정보보호 사전 보안성 검토
- 중요 정보 암호화·보안서버 적합성 검토
- 정보보호 예산·인력 확보
2.5 임명 절차¶
- 대표 결재 → 임명장
- 자격 증빙 (학위증·경력증명서·자격증 사본) 보관
- 180일 내 과기정통부에 정보보호 최고책임자 지정·변경 신고
- 사내 공지
3. emocog 현재 적용 (2026-05-29 기준)¶
회사 분류 상태¶
- 「중소기업기본법」상 소기업 (CFO 확인, 2026-05-29)
- 자산총액 5조 미만, 5천억 미만 → 겸직금지 미해당
CPO¶
- 지정 의무 발동 (개보법 §31, 회사 규모 무관)
- 일반 CPO 요건 적용 (임원 또는 부서장 1명)
- 전문 CPO 강화 요건 미해당 (매출 1,500억 미달, 민감정보 5만명 미달)
- 즉시 임명 + 처리방침 공개 필요
CISO¶
- 정통망법 §45의3 ② → 소기업 면제 대상
- 시행령 §36의7 ③ → 대표자가 자동으로 CISO로 지정된 것으로 간주
- 행정기관 신고 의무: 없음
- 권장: 사내 책임 명확화를 위해 임명장 형태로 별도 명문화 (선택)
겸직 권장 구도 (선택)¶
- 임원 1인이 CPO·(사내) CISO 겸임 (예: CTO 또는 COO)
- 임명장에 두 역할 명시
- 실무 보조: 각 부서별 보안담당자 지정 (개발/인프라/CS)
분리·확장 시점 (모니터링 트리거)¶
다음 중 하나 도달 시 즉시 대응:
| # | 트리거 | 발동 의무 |
|---|---|---|
| 1 | 중기업 전환 (3년 평균 매출이 주된 업종 소기업 상한 초과) | CISO 지정·신고 (180일 내, 과기정통부) |
| 2 | ISMS 인증 의무 진입 (매출 100억 등) | CISO 지정·신고 + ISMS 인증 |
| 3 | 매출 1,500억 + 개인정보 100만명 OR 민감정보 5만명 | 전문 CPO 자격 요건자로 교체 |
| 4 | 자산 5조 또는 ISMS 의무 + 자산 5천억 | CISO 상근·겸직금지 적용 |
→ 트리거 점검은 00-roadmap.md "위험·이슈" 섹션에서 분기 1회 정보보호위원회 운영
사전 준비 (트리거 도달 전 권장)¶
- CISO 자격요건 6가지 중 1개를 충족할 사내 후보자 1~2명 식별
- 가장 빠른 경로: ISMS 인증심사원 자격 취득 (5번 요건)
- 매 회계연도 결산 후 중소기업 확인서 갱신 발급으로 분류 모니터링 (https://sminfo.mss.go.kr)
4. 정보보호위원회 (Steering Committee)¶
CISO·CPO 의사결정을 지원하는 사내 협의체.
- 위원장: CISO/CPO
- 위원: CTO, 각 부서장
- 운영 주기: 분기 1회 정기 + 사고 발생 시 수시
- 주요 안건: 정책 제·개정, 사고 사례, 위험 평가, 예산, 교육 계획
- 회의록 보관: 3년
5. 임명장 양식¶
templates/policy-template.md 기반으로 추후 templates/appointment-letter.md 추가 예정.
참고¶
- 법령 원문:
docs/reference/legal-links.md - 법정 의무 전체:
docs/overview/01-legal-baseline.md