※ 전자금융거래법 [시행 2025.12.16.] [법률 제21205호, 2025.12.16., 일부개정]
|
|---|
▣ 제21조의2(정보보호최고책임자 지정)
① 금융회사 또는 전자금융업자는 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 총괄하여 책임질 정보보호최고책임자를 지정하여야 한다. <개정 2013.5.22.>
----------------------------------------------------------------------------
② 총자산, 종업원 수 등을 감안하여 대통령령으로 정하는 금융회사 또는 전자금융업자는 정보보호최고책임자를 임원(「상법」 제401조의2제1항제3호에 따른 자를 포함한다)으로 지정하여야 한다. <개정 2013.5.22.>
----------------------------------------------------------------------------
③ 총자산, 종업원 수 등을 감안하여 대통령령으로 정하는 금융회사 또는 전자금융업자의 정보보호최고책임자는 제4항의 업무 외의 다른 정보기술부문 업무를 겸직할 수 없다. <신설 2014.10.15.>
----------------------------------------------------------------------------
④ 제1항에 따른 정보보호최고책임자는 다음 각 호의 업무를 수행한다. <개정 2014.10.15.>
1. 제21조제2항에 따른 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립
2. 정보기술부문의 보호
3. 정보기술부문의 보안에 필요한 인력관리 및 예산편성
4. 전자금융거래의 사고 예방 및 조치
5. 그 밖에 전자금융거래의 안정성 확보를 위하여 대통령령으로 정하는 사항
----------------------------------------------------------------------------
⑤ 정보보호최고책임자의 자격요건 등에 필요한 사항은 대통령령으로 정한다. [본조신설 2011.11.14.]
|
|
※ 전자금융거래법 시행령 [시행 2024. 12. 27.] [대통령령 제35038호, 2024. 12. 3., 타법개정]
|
|---|
▣ 제11조의4(정보보호최고책임자 지정대상 금융회사 등)
① 법 제21조의2제2항에서 “대통령령으로 정하는 금융회사 또는 전자금융업자”란 직전 사업연도 말을 기준으로 총자산이 2조원 이상이고,
상시 종업원 수가 300명 이상인 금융회사 또는 전자금융업자를 말한다.
이 경우 상시 종업원 수의 산정방식은 금융위원회가 정하여 고시한다. <개정 2013. 11. 22.>
----------------------------------------------------------------------------
② 법 제21조의2제3항에서 “대통령령으로 정하는 금융회사 또는 전자금융업자”란 직전 사업연도 말을 기준으로 총자산이 10조원 이상이고,
상시 종업원 수가 1,000명 이상인 금융회사를 말한다. 이 경우 상시 종업원 수의 산정방식은 제1항 후단을 준용한다. <신설 2015. 4. 14.>
----------------------------------------------------------------------------
③ 법 제21조의2제4항제5호에서 “대통령령으로 정하는 사항”이란 다음 각 호의 사항을 말한다. <신설 2013. 11. 22., 2015. 4. 14.>
1. 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 위한 자체심의에 관한 사항
2. 정보기술부문 보안에 관한 임직원 교육에 관한 사항
----------------------------------------------------------------------------
④ 법 제21조의2제5항에 따른 정보보호최고책임자의 자격요건은 별표 1과 같다. <개정 2013. 11. 22., 2015. 4. 14.>
[본조신설 2012. 5. 7.] [제목개정 2013. 11. 22.] [제11조의3에서 이동, 종전 제11조의4는 제11조의5로 이동 <2024. 9. 10.>]
----------------------------------------------------------------------------
▣ 전자금융거래법 시행령 <별표 1>
정보보호최고책임자의 자격(제11조의4제4항 관련)
1. 정보보호 또는 정보기술(IT) 분야의 학력 또는 기술자격을 가진 사람으로서 다음 각 목의 어느 하나에 해당하는 사람은 정보보호최고책임자의 자격을 가진다.
가. 정보보호 또는 정보기술(IT) 분야의 "전문학사" 학위를 취득한 후 4년 이상 정보보호 분야 업무 또는 5년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있는 사람
나. 정보보호 또는 정보기술(IT) 분야의 "학사" 학위 또는 다음 전문자격을 취득한 후 2년 이상 정보보호 분야 또는 3년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있는 사람
2. 다음 각 목의 어느 하나에 해당하는 사람은 정보보호최고책임자의 자격을 가진다.
가. 8년 이상 정보보호 분야 업무 또는 10년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있는 사람
나. "전문학사" 학위를 취득한 후 6년 이상 정보보호 분야 업무 또는 7년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있는 사람
다. "학사" 학위를 취득한 후 4년 이상 정보보호 분야 업무 또는 5년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있는 사람
라. "석사" 학위를 취득한 후 2년 이상 정보보호 분야 업무 또는 3년 이상 정보기술(IT) 분야 업무를 수행한 경력이 있는 사람
3.「농업협동조합법」에 따른 조합, 「수산업협동조합법」에 따른 조합, 「산림조합법」에 따른 조합, 「신용협동조합법」에 따른 신용협동조합 및 「새마을금고법」에 따른 지역금고의 경우에는 제1호 및 제2호에도 불구하고 다음 각 목의 어느 하나에 해당하는 사람도 정보보호최고책임자의 자격을 가진다.
가. 정보보호 또는 정보기술(IT) 분야의 학력 또는 기술자격을 가진 사람으로서 6년 이상 금융업에 종사한 사람
나. 금융위원회가 정하여 고시하는 교육을 이수한 사람으로서 조합ㆍ신용협동조합ㆍ지역금고의 장이나 그 장이 지정한 사람.
다만, 상시 종업원 수(금융위원회가 정하여 고시하는 산정방식에 따라 계산된 상시 종업원 수를 말한다)가 20명 이하인 조합ㆍ신용협동조합ㆍ지역금고의 경우로 한정한다.
----------------------------------------------------------------------------
<비고>
3. “정보보호 분야 업무”란 공공기관, 민간기업, 교육기관 등에서 수행하는 다음 각 목에 해당하는 분야의
계획ㆍ분석ㆍ설계ㆍ개발ㆍ운영ㆍ유지보수ㆍ컨설팅ㆍ감리 또는 연구개발 업무 등을 말한다.
가. 정보보호를 위한 공통기반기술 분야 : 암호 기술, 인증 기술 등
나. 시스템ㆍ네트워크 보호 분야 : 시스템 보호, 해킹ㆍ바이러스 대응, 네트워크 보호 등
다. 응용서비스 보호 분야 : 전자거래 보호, 응용서비스 보호, 정보보호 표준화 등
4. “정보기술(IT) 분야 업무”란 공공기관, 민간기업, 교육기관 등에서 수행하는 다음 각 목에 해당하는 분야의
계획ㆍ분석ㆍ설계ㆍ개발ㆍ운영ㆍ유지보수ㆍ컨설팅ㆍ감리 또는 연구개발 업무 등을 말한다.
가. 정보통신서비스 분야 : 기간통신, 별정통신, 부가통신, 방송서비스 등
나. 정보통신기기 분야 : 정보기기, 방송기기, 부품 등
다. 소프트웨어 및 컴퓨터 관련 서비스 분야 : 범용 패키지 소프트웨어, 특정 업무용 프로그램, 디지털콘텐츠, 데이터베이스의 개발ㆍ구축ㆍ운영ㆍ활용 및 컴퓨터 관련 서비스
5. 정보보호업무를 수행한 기간과 정보기술(IT)업무를 수행한 기간은 서로 중복하여 인정되지 아니한다.
다만, 정보기술(IT)업무를 수행한 기간이 인정요건에 미달하는 경우에는 정보보호업무를 수행한 기간을 다음 산식의 비율로 환산하여 정보기술(IT)업무를 수행한 기간으로 합산할 수 있다.
* 정보보호업무 수행기간 : 정보기술업무 수행기간 = 2 : 3
|
|
|
