1. 정보보호 공시 적용 대상
가. 자율 공시
-정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자 (정보보호산업법 제13조제1항)
※ 정보통신 서비스(유·무선통신 서비스, 방송 서비스 등), 쇼핑몰, 포털, 인터넷 뱅킹 등 인터넷을 통해 사업 활동을 하는 영리, 비영리 업체 모두 포함
나. 의무 공시
-사업분야, 매출액 및 서비스 이용자 수 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자 (정보보호산업법 제13조제2항)
| 사업분야 | 회선설비 보유 기간통신사업자(ISP) ※ 「전기통신사업법」 제6조제1항 |
| 집적정보통신시설 사업자(IDC) ※ 「정보통신망법」 제46조 |
|
| 상급종합병원 ※ 「의료법」 제3조의4 |
|
| 클라우드컴퓨팅 서비스제공자 ※ 「클라우드컴퓨팅법」 시행령 제3조제1호 |
|
| 매출액 | 정보보호 최고책임자(CISO) 지정·신고해야하는 유가증권시장 및 코스닥시장 상장법인 중 매출액 3,000억 원 이상 |
| 이용자 수 | 정보통신서비스 일일평균 이용자 수 100만 명 이상 (전년도말 직전 3개월간) |
다. 예외 기준
| 공공기관 | 공기업 및 준정부기관 등 ※ 「공공기관운영법」 |
| 소기업 | 평균매출액 120억 원 이하 기업 ※ 「중소기업기본법 시행령」 제8조제1항 - 업종별 매출액 기준 상이(10~120억원), 정보통신업은 50억원 이하 |
| 금융회사 | 은행, 보험, 카드 등 금융회사 ※ 「전자금융거래법」 제2조제3호 |
| 전자금융회사 | 정보통신업 또는 도·소매업을 주된 사업*으로 하지 않는 전자금융업자 ※ 「전자금융거래법」 제2조제4호, 한국표준산업분류 |
2. 정보보호 공시 절차 및 사후 검증
가. 정보보호 공시 절차
| 절차 | 설명 |
| 정보보호 현황 작성 | -정보보호 최고책임자(CISO)의 주관 하에 정보보호 전담부서/IT 부서 및 회계부서, 인사부서 등이 협업하여 「정보보호 공시에 관한 고시」의 [별표 3] 정보보호 공시내용 양식에 따라 정보보호 현황을 작성 |
| 정보보호 현황 승인 | -정보보호 공시자의 최고경영자는 확정된 정보보호 현황을 최종적으로 확인하고 승인·결재 -최고경영자의 승인·결재를 통하여 정보보호 최고책임자가 주관하여 공시하는 정보보호 현황은 기업의 책임 하에 제공 |
| 정보보호 현황 제출 | -정보보호 공시자의 최고경영자가 승인·결재한 정보보호 현황을 과학기술정보통신부 전자공시시스템(이하 ‘ISDS’)을 통하여 입력하며, 불가피한 경우에는 한국인터넷진흥원에 전자파일 형태로 제출 가능 -차후 사후 검증 대상에 선정되었을 경우를 대비하여 정보보호 현황 작성에 사용되었던 자료는 별도 보관 또는 기록이 필요 |
| 정보보호 현황 확인 및 게시 | -한국인터넷진흥원은 정보보호 공시자가 제출한 정보보호 현황을 확인함. 이때 정보보호 현황 내용 및 최고경영자의 승인 여부 누락 등을 확인하며, 누락된 정보가 있을 시 정보보호 공시자에게 알림 |
-공시내용 변동으로 수정이 필요한 경우에는 변동 내용에 대해 최고경영자 확인 후 변경 공시할 수 있음 (다만, 한국거래소 KIND 자율공시의 경우에 50%이상 변경 공시하게 되면 불성실 공시(공시 번복)로 인한 제재 조치(벌점 부과)를 받을 수 있음)
-공시를 이행한 기업은 이행을 확인한 날로부터 「정보보호 공시에 관한 고시」의 [별표 5]에 따른 정보보호 공시 이행 표시를 할 수 있음. 다만, 공시 이행 표시를 사용하는 경우에 공시 유효기간을 함께 표시하여야 함
나. 정보보호 공시 사후검증
-정보보호 공시 내용의 투명성, 신뢰성 확보를 위해 과학기술정보통신부는 한국인터넷진흥원을 통하여 공시 이행 기업의 공시 주요 내용의 정확성을 검증할 수 있음
| 사후검증 대상 선정 | -컨설팅을 받은 기업 또는 회계 법인이나 정보시스템 감리법인으로부터 공시 내용에 대해 사전점검을 받고 확인서를 제출한 기업을 제외한 기업은 사후 검증대상이 될 수 있음 |
| 공시 점검단 구성 | -공시 점검단은 공시제도에 대한 높은 이해도와 정보보호현황 자료에 대해 판단기준을 제시할 수 있는 전문가로 구성·운영함 |
| 사후 검증 실시 | -사후 검증 대상으로 선정된 기업은 정보보호현황 산정을 위해 사용되었던 자료들을 준비하여 사후 검증에 대비 -공시 점검단은 업체가 준비한 자료를 검토하여 기업이 「정보보호 공시에 대한 고시」에 따라 적정하게 정보보호현황을 산정하였는지를 확인하고 검토하며 그 결과를 보고서로 작성하여 한국인터넷진흥원에 제출 |
| 사후 검증 결과 확인 및 통보, 조치 | -한국인터넷진흥원에서는 사후 검증 결과보고서를 검토하여 기업에게 통보한다. 공시 점검단의 결과보고서에서 허위공시 등으로 판단한 경우는 그 내용을 심의위원회에 전달하여 최종심의 및 의결하도록 하고, 정정 공시가 이루어질 수 있도록 기업을 지원 -과학기술정보통신부장관은 심의위원회의 심의·의결 결과에 따라 정보보호 공시자의 고의 또는 과실로 허위 사실을 공시한 경우, 별도의 시정조치를 요구할 수 있음 |
3. 정보보호 공시 이행 혜택
-정보보호 및 개인정보보호 관리체계 인증 수수료 할인
-정보보호 투자 우수기업 표시
-정보보호 공시 우수기관 및 단체의 선정, 표창
'(부제) 나는 CISO 이다 > ISMS-P 인증심사' 카테고리의 다른 글
| (ISMS-P) 결합 전문기관 및 데이터 전문기관 지정 현황 (22년 5월) (0) | 2022.06.29 |
|---|---|
| (ISMS-P) ISO/IEC 27559 프라이버시 강화 데이터 비식별화 프레임워크 표준 (0) | 2022.06.29 |
| (ISMS-P) 개인정보처리자와 정보통신서비스 제공자 범위 (개보법) (0) | 2022.03.21 |
| (ISMS-P) 주요 정보시스템 패치관리 미흡 (0) | 2022.03.18 |
| (ISMS-P) 간편인증 사용 시 개인정보처리방침 내 고지 미흡 (0) | 2022.03.18 |
댓글