■최고경영자는 조직 내에서 정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄·관리할 수 있는 정보보호 최고책임자(CISO)를 인사발령 등의 공식적인 지정절차를 거쳐 지정하여야 한다.
- 정보보호 최고책임자는 정보보호와 관련된 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정
- 정보보호 최고책임자는 인사발령 등을 통하여 공식적으로 임명하고, 이를 과학기술정보통신부장관에게신고
- 정보보호 최고책임자는 정보통신망법에 따른 자격요건을 충족하여야 하며, 정보보호 최고책임자 겸직 제한요건에 해당될 경우 법에서 허용하는 정보보호 관련 업무 외 다른 업무의 겸직 금지

정보보호 최고 책임자(CISO)는 임원이어야 합니다.

임원은 통상적으로 "회사의 의사결정이 가능한" 책임과 권한이 있어야 하기 때문에 보통 전무,이사등 직급체계를 가지신 분이 지정되어야 합니다
(회사 직급체계에 따라 다를 수 있습니다.)

통상 중소기업은 "직급"에 의해 결정되어지기도 합니다만, 일정규모 이상의 회사는 "등기임원"이 존재할 수 도 있고 다양한 체계가 있기 때문에 법률적 검토를 받아 법 규정내에 있는 인력을 선발 하는 것이 유리합니다.

* 정보보호 시행령에는 다음과 같이 정의 되어 있습니다.

또한 "공식적으로 인사발령"하였는지도 심사대상입니다.

■최고경영자는 조직의 규모 및 클라우드서비스의 중요도에 따라 필요인력, 예산 등을 분석하여 정보보호 실무조직을 구성하여야 한다.
- 조직의 규모에 따라 정보보호 조직은 전담 또는 겸임조직으로 구성할 수 있으며 겸임조직으로 구성하더라도 정보보호 조직에 대한 공식적인 선언 또는 지정이 필요함
- 정보보호 담당자(실무 담당자)가 해당 업무를 충실히 수행할 수 있도록 제반 사항을 지원

-->회사 사정에 맞게 조직을 구성해야 합니다.

각 담당별로 책임과 역활을 정의해야 하며 이 또한 문서형태로 "증적"을 남겨야 합니다