CIO 와 CISO

CIO는 Chief Information Officer의 약어로 최고정보책임자를 말하며 CISO는 Chief Information Security Officer의 약어로 정보보호최고책임자라는 뜻이다.

CIO(최고정보책임자)는 경영진을 설득하고 직원들의 IT 이해도를 높이는 일이다. CIO(최고정보책임자)는 실질적으로 경영조직, 정보시스템부와 외부유관조직 간의 연결자적 역할을 하며 전사적 전략계획 수립에 주도적인 역할을 하는 정보시스템 담당 임원을 의미한다.

CISO(정보보호최고책임자)는 경영 전반에 걸친 정보 기술과 사이버 공간에서의 전반적인 위험관리자이다. CISO(정보보호최고책임자)와 보안 기능은 기업이 안전한 방법으로 비즈니스 목표를 달성할 수 있도록 돕는 조력자이다. CISO(정보보호최고책임자)에게는  전문성과 기업 보안전략 수립, 규제준수, 위험관리, 업무연속성, 재해복구, 침해사고 대응, IT 감사 등의 폭 넓은 전통적 역량이 필요하며 중재자, 리더의 역할 등이 매우 중요하다.

은행과 카드사 등 금융사들은 CISO(정보보호최고책임자)를 CIO(최고정보책임자)가 겸직하거나 조직 아래 두고 있어 정보보호 독립성을 확보하지 못했다. 최근 금융사의 개인정보유출 등 고객정보 관련 사고 등이 속출하고 있어 금융전산 보안 강화 대책으로 금융당국이 이의 겸직을 금지하라고 행정지도에 나섬으로 알려진 용어이다.

CISO(정보보호최고책임자)가 CIO(최고정보책임자)를 견제하는 역할을 하는데 겸직하게 되면 정보보호가 취약해 지는 등 부작용이 발생할 우려가 크고 CIO(최고정보책임자)와 CISO(정보보호최고책임자)를 겸직하게 되면 업무 경계가 모호하고 이해가 상충될 때 정보보호보다 비용 등 효율성이 우선시될 수 있다는 이유에서 CIO(최고정보책임자)와 CISO(정보보호최고책임자)의 겸직은 금지되어야 한다는 것이다.