제안이유 및 주요내용
현행법은 정보통신서비스 제공자에게 정보보호 최고책임자(CISO)를 지정하도록 규정하고 있으나, 해당 책임자의 조직 내 지위나 실질적 권한에 대한 구체적인 규정이 미비함.
최근 정보통신망 침해사고가 대규모화ㆍ지능화되고 있으나, 정보보호 최고책임자가 인력관리 및 예산편성 권한이 없어 필수적인 보안 인력 확보와 정보보호 분야에 대한 투자가 지연되고 있음. 또한, 경영진 의사결정 과정에서 배제되어 정보보호 정책이 실효성 있게 추진되지 못하는 상황임.
이에 일정 규모 이상의 정보통신서비스 제공자는 정보보호 최고책임자를 임원급으로 지정하고 인력관리 및 예산편성 권한을 부여하도록 하며, 정보보호위원회 설치를 의무화함으로써 기업의 정보보호 역량을 강화하고 건전한 정보통신망 이용환경을 조성하고자 함(안 제45조의3 및 제45조의4 신설 등).