CPO가 여러 명이면 안되나요?

조직 규모가 크거나 다양한 사업을 수행하다 보면, 혹은 정치적인 이유로.. CPO가 다수인 경우가 있다.
M&A를 다수 하는 경우에도 서비스마다 특성에 따라 CPO를 두는 경우가 있다.

CPO가 1명이여야 한다고 어떤 고집 센 심사원은 결함을 주려고 한다. 

하지만 법령에도 CPO가 1명이여야 한다는 규정은 없다.

고집 센 심사원은 생활법률 FAQ에서 공공기관을 대상으로 한 문답을 가지고 근거로 하는데...

일단 공공기관도 아니고, 생활법률도 유권 해석을 하는 기관도 아니다. 따라서 하나의 의견일 뿐이다.

심사가 자기가 보기에 문제가 있어 보아는 것을 결함으로 해서는 안된다.
법적 근거가 있거나, 인증 기준에 위배되거나, 내부 규정을 위반한 것이 결함이다.
주관적인 의견을 가지고 결함 보고서 쓰는 것은 올바른 방법은 아니다.

대신 다수 CPO로 인해 발생하는 보안 문제점에 대해서 결함을 줄 수는 있다고 생각한다.
즉 CPO 가 다수인 것 자체는 문제가 되지 않는다.
다만 CPO가 다수인 것으로 인해 발생하는 문제점은 결함으로 도출할 수 있을 것이다.

* KISA 공식 의견은 아니고 일개 심사원 개인 의견입니다.