CISO와 DPO의 역할, 어떻게 나누고 정해야 하나

CISO와 DPO의 역할, 어떻게 나누고 정해야 하나

- 기사 본문 : https://www.boannews.com/media/view.asp?idx=77292

CISO와 DPO의 역할, 어떻게 나누고 정해야 하나

 

- 기사 요약
유럽연합(EU)은 2년간의 유예기간을 거쳐 작년 5월 GDPR(General Data Protection Regulation) 정식 시행함에 따라 민감한 데이터를 관리하는 직책인 DPO(Data Protection Officer)가 새롭게 생겨났다. 그러나 프라이버시를 담당하는 DPO의 역할과 책임이 CISO와 충돌되는 상황이 발생했다.

해결책으로 등장하기 시작한 것은 바로 프라이버시 옵스(Privacy Ops) 이다. 개발의 모든 과정에 보안을 접목 시키는 데브섹 옵스(DevSec Ops)와 마찬가지로, 프라이버시 전문가들이 서비스 및 소프트웨어 개발 과정에 참여하는 것이다. 

즉, 보안 전문가는 보안 관련 경험과 기술을, 프라이버시 전문가는 관련 법 규정에 대하여 서로 협업을 통해 업무를 수행하는 것이 이상적이다.

 

- 개인의견
기업 입장에서 가장 좋은 방법은 가능하다면 CISO(또는 보안팀)이 DPO(또는 프라이버시 팀) 업무까지 함께 진행하는 것이다. 하지만 기업의 보안과 법을 모두 정확하게 숙지하고 있는 ​담당자를 찾는 것은 어려운 것이 현실이다. 
또한 금년도 6월부터는 CISO 겸직 금지가 공식적으로 시행됨에 따라 CISO와 DPO의 분리가 불가피 해졌으며, 법적으로 DPO를 선임해야 하는 공공기관 또는 정부기관에서는 CISO와 DPO의 권한과 책임에 대하여 생각해보고, 함께 협업하는 방법을 찾는 것이 중요할 것 같다.

 

- 관련 기사
· GDPR이 요구하는 새로운 직책 DPO, '어디서 찾아요?'

---