ISMS-P 인증 대상: Difference between revisions
(새 문서: == 요약 == '''의무 대상자'''는 ISMS 인증을 필수적으로 받아야 한다. ISMS-P를 받은 경우에도 ISMS를 받은 것으로 (당연)인정해 준다. * '''의무...) |
No edit summary |
||
Line 1: | Line 1: | ||
== 요약 == | ==요약== | ||
'''의무 대상자'''는 ISMS 인증을 필수적으로 받아야 한다. ISMS-P를 받은 경우에도 ISMS를 받은 것으로 (당연)인정해 준다. | '''의무 대상자'''는 ISMS 인증을 필수적으로 받아야 한다. ISMS-P를 받은 경우에도 ISMS를 받은 것으로 (당연)인정해 준다. | ||
* '''의무 대상자''' | *'''의무 대상자''' | ||
{| class="wikitable" | {| class="wikitable" | ||
!구분 | |||
!의무대상자 | !의무대상자 | ||
!비고 | !비고 | ||
|- | |- | ||
|① | |||
|「전기통신사업법」제6조제1항에 따른 등록을 한 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 | |「전기통신사업법」제6조제1항에 따른 등록을 한 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 | ||
|ISP | |'''ISP''' | ||
|- | |- | ||
|② | |||
|「정보통신망법」제46조에 따른 집적정보통신시설 사업자 | |「정보통신망법」제46조에 따른 집적정보통신시설 사업자 | ||
|IDC | |'''IDC''' | ||
|- | |- | ||
|③ | |||
|연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 | |연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 | ||
* 「의료법」제3조의4에 따른 상급종합볍원 | *「의료법」제3조의4에 따른 상급종합볍원 | ||
* 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인「고등교육법」제2조에 따른 학교 | *직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인「고등교육법」제2조에 따른 학교 | ||
| | | | ||
* '''대형병원''' | |||
* '''대학교''' | |||
|- | |- | ||
|④ | |||
|정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자 | |정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자 | ||
|[[정보통신서비스 제공자|정보통신서비스제공자]] | |[[정보통신서비스 제공자|'''정보통신서비스제공자''']] | ||
|- | |- | ||
|⑤ | |||
|전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자 | |전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자 | ||
|[[정보통신서비스 제공자|정보통신서비스제공자]] | |[[정보통신서비스 제공자|'''정보통신서비스제공자''']] | ||
|} | |} | ||
* | *아래의 경우 ④의 기준으로 본다. 즉 매출이 100억 이상인 경우만 해당된다. | ||
** | **①에서 서울특별시 및 광역시가 아닌 곳에서 정보통신망서비스를 제공하는 자 | ||
**직접정보통신시설 사업자가 아닌, 이들의 시설을 빌려서 서비스하는 VIDC | |||
== 임의 신청자 == | ==임의 신청자== | ||
ISMS-P를 구축·운영하여 적합성 여부를 판단하고자 하는 모든 개인정보처리자(공공기관, 민간기업, 법인, 단체 및 개인)와 정보통신서비스제공자는 자율적으로 인증을 신청할 수 있다. | ISMS-P를 구축·운영하여 적합성 여부를 판단하고자 하는 모든 개인정보처리자(공공기관, 민간기업, 법인, 단체 및 개인)와 정보통신서비스제공자는 자율적으로 인증을 신청할 수 있다. | ||
* 임의신청자의 경우 인증범위를 신청기관이 정하여 신청할 수 있으며, 심사기준 및 심사절차는 의무대상자와 동일하다. | *임의신청자의 경우 인증범위를 신청기관이 정하여 신청할 수 있으며, 심사기준 및 심사절차는 의무대상자와 동일하다. | ||
== 의무 대상자 == | ==의무 대상자== | ||
인증 의무대상자는 ①정보통신망서비스를 제공하는 자(ISP) ②집적정보통신시설사업자(IDC) ③연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문의 전년도 매출액이 100억원 이상 또는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자이다. | 인증 의무대상자는 ①정보통신망서비스를 제공하는 자(ISP) ②집적정보통신시설사업자(IDC) ③연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문의 전년도 매출액이 100억원 이상 또는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자이다. | ||
* 인증 의무대상자는 ISMS 인증을 받아야 하며 ISMS-P 인증을 받은 경우에도 인증의무를 이행한 것으로 본다. | *인증 의무대상자는 ISMS 인증을 받아야 하며 ISMS-P 인증을 받은 경우에도 인증의무를 이행한 것으로 본다. | ||
의무 대상자 기준<ref>「정보통신망법」제47조 제2항 및 같은 법 시행령 제49조</ref> | 의무 대상자 기준<ref>「정보통신망법」제47조 제2항 및 같은 법 시행령 제49조</ref> | ||
Line 58: | Line 67: | ||
|연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 | |연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 | ||
* 「의료법」 제3조의4에 따른 상급종합병원 | *「의료법」 제3조의4에 따른 상급종합병원 | ||
* 직전연도 12월 31일 기준으로 재학생 수가 1만 명 이상인 「고등교육법」 제2조에 따른 학교 | *직전연도 12월 31일 기준으로 재학생 수가 1만 명 이상인 「고등교육법」 제2조에 따른 학교 | ||
|} | |} | ||
=== 정보통신망서비스를 제공하는 자 === | ===정보통신망서비스를 제공하는 자=== | ||
정보통신망서비스를 제공하는 자(ISP)란 「전기통신사업법」 제6조 제1항에 따라 과학기술정보통신부 장관에게 등록을 하고 인터넷 서비스, 인터넷전화 서비스, 이동통신 서비스 등 정보통신망 서비스 제공 지역이 ‘서울특별시 및 모든 광역시’인 사업자를 말한다. | 정보통신망서비스를 제공하는 자(ISP)란 「전기통신사업법」 제6조 제1항에 따라 과학기술정보통신부 장관에게 등록을 하고 인터넷 서비스, 인터넷전화 서비스, 이동통신 서비스 등 정보통신망 서비스 제공 지역이 ‘서울특별시 및 모든 광역시’인 사업자를 말한다. | ||
{| class="wikitable" | {| class="wikitable" | ||
Line 69: | Line 78: | ||
|'''정보통신망법 제47조(정보보호 관리체계의 인증)''' ② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다. | |'''정보통신망법 제47조(정보보호 관리체계의 인증)''' ② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다. | ||
* 1. 「전기통신사업법」 제6조제1항에 따른 등록을 한 자로서 대통령령으로 정하는 바에 따라 정보통신망 서비스를 제공하는 자 | *1. 「전기통신사업법」 제6조제1항에 따른 등록을 한 자로서 대통령령으로 정하는 바에 따라 정보통신망 서비스를 제공하는 자 | ||
|- | |- | ||
|'''정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위)''' ① 법 제47조제2항제1호에서 “대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자”란 서울 특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자를 말한다. | |'''정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위)''' ① 법 제47조제2항제1호에서 “대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자”란 서울 특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자를 말한다. | ||
Line 75: | Line 84: | ||
※ 정보통신망서비스 제공자의 경우, 매출액과 이용자 수에 관계없이 인증 의무대상자에 해당함 | ※ 정보통신망서비스 제공자의 경우, 매출액과 이용자 수에 관계없이 인증 의무대상자에 해당함 | ||
* 정보통신망서비스(예시) | *정보통신망서비스(예시) | ||
{| class="wikitable" | {| class="wikitable" | ||
Line 91: | Line 100: | ||
|} | |} | ||
=== 집적정보통신시설사업자 === | ===집적정보통신시설사업자=== | ||
집적정보통신시설사업자(IDC)란 정보통신망법 제46조 제1항의 규정에 따라 타인의 정보통신 서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자를 말한다. | 집적정보통신시설사업자(IDC)란 정보통신망법 제46조 제1항의 규정에 따라 타인의 정보통신 서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자를 말한다. | ||
{| class="wikitable" | {| class="wikitable" | ||
Line 98: | Line 107: | ||
|'''제47조(정보보호 관리체계의 인증)''' ② 전기통신사업법 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다. | |'''제47조(정보보호 관리체계의 인증)''' ② 전기통신사업법 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다. | ||
* 2. 집적정보통신시설 사업자 | *2. 집적정보통신시설 사업자 | ||
|} | |} | ||
※ 집적정보통신시설사업자의 경우, 매출액과 이용자 수에 관계없이 인증 의무대상자에 해당함 | ※ 집적정보통신시설사업자의 경우, 매출액과 이용자 수에 관계없이 인증 의무대상자에 해당함 | ||
* 정보통신서비스 제공을 위해 자체적으로 시설을 구축하여 운영하는 자로서, 공간 임대서비스(Colocation) 또는 서버 임대(서버호스팅) 서비스 및 네트워크 서비스 등을 제공하는 사업자를 말한다. | *정보통신서비스 제공을 위해 자체적으로 시설을 구축하여 운영하는 자로서, 공간 임대서비스(Colocation) 또는 서버 임대(서버호스팅) 서비스 및 네트워크 서비스 등을 제공하는 사업자를 말한다. | ||
* 타인에 의해 구축된 집적정보통신시설의 일부를 임대하여 서비스를 재판매하는 사업자(이하 “VIDC” 이라 한다)의 경우에는 정보통신망법 시행령 제49조 제2항에 따라 연간 매출액 또는 이용자 수 기준을 적용한다. | *타인에 의해 구축된 집적정보통신시설의 일부를 임대하여 서비스를 재판매하는 사업자(이하 “VIDC” 이라 한다)의 경우에는 정보통신망법 시행령 제49조 제2항에 따라 연간 매출액 또는 이용자 수 기준을 적용한다. | ||
{| class="wikitable" | {| class="wikitable" | ||
Line 112: | Line 120: | ||
|'''제19조(정보보호 관리체계 인증 의무대상자)''' ① 정보보호 관리체계 인증 의무대상자(이하 "의무대상자"라 한다)란 정보통신망법 제47조제2항, 같은 법 시행령 제49조에 해당하는 자를 말한다. | |'''제19조(정보보호 관리체계 인증 의무대상자)''' ① 정보보호 관리체계 인증 의무대상자(이하 "의무대상자"라 한다)란 정보통신망법 제47조제2항, 같은 법 시행령 제49조에 해당하는 자를 말한다. | ||
* ② 제1항에 해당하는 자 중 집적정보통신시설 사업자가 마련한 시설의 일부를 임대하여 집적정보통신시설 사업을 하는 자에 대하여는 정보통신망법 시행령 제49조제2항의 기준을 준용한다. | *② 제1항에 해당하는 자 중 집적정보통신시설 사업자가 마련한 시설의 일부를 임대하여 집적정보통신시설 사업을 하는 자에 대하여는 정보통신망법 시행령 제49조제2항의 기준을 준용한다. | ||
|} | |} | ||
* 집적정보통신시설 서비스(예시) | *집적정보통신시설 서비스(예시) | ||
{| class="wikitable" | {| class="wikitable" | ||
Line 135: | Line 142: | ||
|} | |} | ||
=== 매출액, 이용자 수 기준 === | ===매출액, 이용자 수 기준=== | ||
{| class="wikitable" | {| class="wikitable" | ||
!정보통신망법 및 같은 법 시행령 | !정보통신망법 및 같은 법 시행령 | ||
Line 141: | Line 148: | ||
|'''정보통신망법 제47조(정보보호 관리체계의 인증)''' ② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다. | |'''정보통신망법 제47조(정보보호 관리체계의 인증)''' ② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다. | ||
* 3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자 | *3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자 | ||
|- | |- | ||
|'''정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위)''' ② 법 제47조제2항제3호에서 "대통령령으로 정하는 기준에 해당하는 자"란 다음 각 호의 어느 하나에 해당 하는 자를 말한다. | |'''정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위)''' ② 법 제47조제2항제3호에서 "대통령령으로 정하는 기준에 해당하는 자"란 다음 각 호의 어느 하나에 해당 하는 자를 말한다. | ||
* 1. 연간 매출액 또는 세입이 1,500억원 이상인 자로서 다음 각 목의 어느 하나에 해당하는 자 | *1. 연간 매출액 또는 세입이 1,500억원 이상인 자로서 다음 각 목의 어느 하나에 해당하는 자 | ||
** 가. 「의료법」 제3조의4에 따른 상급종합병원 | **가. 「의료법」 제3조의4에 따른 상급종합병원 | ||
** 나. 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교 | **나. 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교 | ||
* 2. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다. | *2. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다. | ||
* 3. 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다. | *3. 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다. | ||
|} | |} | ||
'''전년도 매출액 또는 세입 등이 1,500억원 이상인 자 중 대통령령으로 정하는 기준에 해당하는 자''' | '''전년도 매출액 또는 세입 등이 1,500억원 이상인 자 중 대통령령으로 정하는 기준에 해당하는 자''' | ||
* 전년도 매출액 또는 세입 등이 1,500억원 이상인 자 중 보건복지부장관에 의해 상급종합병원으로 지정된 ‘병원’과 재학생 수가 1만명 이상인 「고등교육법」상의 ‘학교’는 인증의무대상에 포함된다. | *전년도 매출액 또는 세입 등이 1,500억원 이상인 자 중 보건복지부장관에 의해 상급종합병원으로 지정된 ‘병원’과 재학생 수가 1만명 이상인 「고등교육법」상의 ‘학교’는 인증의무대상에 포함된다. | ||
** '상급종합병원'은 매 3년마다 평가를 실시하여 재지정 하거나 지정이 최소 될 수 있다. | **'상급종합병원'은 매 3년마다 평가를 실시하여 재지정 하거나 지정이 최소 될 수 있다. | ||
** 「고등교육법」상 '학교'의 종류에는 대학, 산업대학, 교육대학, 전문대학, 방송통신대학, 기술대학 등이 해당될 수 있다. | **「고등교육법」상 '학교'의 종류에는 대학, 산업대학, 교육대학, 전문대학, 방송통신대학, 기술대학 등이 해당될 수 있다. | ||
'''정보통신서비스 부문 전년도 매출액 100억원 이상인 자''' | '''정보통신서비스 부문 전년도 매출액 100억원 이상인 자''' | ||
* 정보통신서비스 부문 매출액은 정보통신서비스 제공을 통해 발생하는 연간 총 매출액의 합으로 산정 하며, 여러 가지 정보통신서비스를 제공할 경우에는 해당 서비스의 매출액을 모두 합하여 계산한다. | *정보통신서비스 부문 매출액은 정보통신서비스 제공을 통해 발생하는 연간 총 매출액의 합으로 산정 하며, 여러 가지 정보통신서비스를 제공할 경우에는 해당 서비스의 매출액을 모두 합하여 계산한다. | ||
** 매출액은 국세청 등에 신고된 금액 또는 내부적으로 결산자료 등을 마련하여 공인회계사 등의 검증을 거친 객관적 자료를 이용 하며, 이러한 자료가 없으면 내부 회계자료에 대해 대표이사의 승인을 거친 자료를 이용 | **매출액은 국세청 등에 신고된 금액 또는 내부적으로 결산자료 등을 마련하여 공인회계사 등의 검증을 거친 객관적 자료를 이용 하며, 이러한 자료가 없으면 내부 회계자료에 대해 대표이사의 승인을 거친 자료를 이용 | ||
* 주요 정보통신서비스 매출액 구분(예시) | *주요 정보통신서비스 매출액 구분(예시) | ||
** 정보통신서비스 온라인 판매, 광고, 콘텐츠 이용 등으로 발생한 매출액과 부가수익, 수수료, 세금 등을 포함한 총 합계액 | **정보통신서비스 온라인 판매, 광고, 콘텐츠 이용 등으로 발생한 매출액과 부가수익, 수수료, 세금 등을 포함한 총 합계액 | ||
** 정보통신서비스 제공을 통해 직·간접으로 발생하는 연간 국내·외 매출액 | **정보통신서비스 제공을 통해 직·간접으로 발생하는 연간 국내·외 매출액 | ||
{| class="wikitable" | {| class="wikitable" | ||
Line 216: | Line 223: | ||
|} | |} | ||
* 쇼핑몰 유형 별 매출 구분(예시) | *쇼핑몰 유형 별 매출 구분(예시) | ||
{| class="wikitable" | {| class="wikitable" | ||
Line 242: | Line 249: | ||
'''전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상''' | '''전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상''' | ||
* 일일평균 이용자 수는 일정 기간 동안의 정보통신서비스제공자의 홈페이지 방문자 수 등을 일평균 으로 환산한 이용자 수를 말하며, 여러 가지 정보통신서비스를 제공할 경우에는 해당 서비스의 이용자 수를 모두 합하여 계산한다. | *일일평균 이용자 수는 일정 기간 동안의 정보통신서비스제공자의 홈페이지 방문자 수 등을 일평균 으로 환산한 이용자 수를 말하며, 여러 가지 정보통신서비스를 제공할 경우에는 해당 서비스의 이용자 수를 모두 합하여 계산한다. | ||
** 자체적 또는 공식적으로 이용자 수 확인이 어려운 경우, 민간 통계기관 등의 데이터 활용 | **자체적 또는 공식적으로 이용자 수 확인이 어려운 경우, 민간 통계기관 등의 데이터 활용 | ||
== 인증 의무 대상자 유의사항 == | ==인증 의무 대상자 유의사항== | ||
* 인증 의무대상자 중 정보통신망서비스제공자와 집적정보통신시설 사업자는 매출액 및 이용자 수와 관계없이 인증 의무대상자에 해당된다. | *인증 의무대상자 중 정보통신망서비스제공자와 집적정보통신시설 사업자는 매출액 및 이용자 수와 관계없이 인증 의무대상자에 해당된다. | ||
** 집적정보통신시설의 일부를 임대하여 서비스를 재판매하는 사업자(VIDC)는 매출액 및 이용자 수 기준을 따르게 된다. | **집적정보통신시설의 일부를 임대하여 서비스를 재판매하는 사업자(VIDC)는 매출액 및 이용자 수 기준을 따르게 된다. | ||
* 인증 의무대상자 기준 중에서 정보통신망법 제47조제2항의 어느 한 가지 이상의 기준에 해당할 경우, 인증 의무대상자가 된다. | *인증 의무대상자 기준 중에서 정보통신망법 제47조제2항의 어느 한 가지 이상의 기준에 해당할 경우, 인증 의무대상자가 된다. | ||
* 인증 의무대상자는 스스로 법에서 정한 인증 의무대상자 기준에 해당하는지 여부를 확인하여 인증을 받아야 하며, 만약 의무대상자임에도 불구하고 인증을 취득하지 않은 사실이 확인되는 경우 과태료 부과 대상이 될 수 있다. | *인증 의무대상자는 스스로 법에서 정한 인증 의무대상자 기준에 해당하는지 여부를 확인하여 인증을 받아야 하며, 만약 의무대상자임에도 불구하고 인증을 취득하지 않은 사실이 확인되는 경우 과태료 부과 대상이 될 수 있다. | ||
* 관리체계 구축 및 운영에 필요한 소요기간을 확인하여 인증심사에 차질이 없도록 준비해야 한다. | *관리체계 구축 및 운영에 필요한 소요기간을 확인하여 인증심사에 차질이 없도록 준비해야 한다. | ||
** 준비부터 인증취득까지는 약 6개월 이상이 소요되고, 인증 신청을 위해서는 최소 2개월 이상의 운영 기간이 필요하다. | **준비부터 인증취득까지는 약 6개월 이상이 소요되고, 인증 신청을 위해서는 최소 2개월 이상의 운영 기간이 필요하다. | ||
인증 절차 및 소요기간(예시) | 인증 절차 및 소요기간(예시) | ||
Line 283: | Line 290: | ||
|인증위원회 심의·의결 후 2주 이내 | |인증위원회 심의·의결 후 2주 이내 | ||
|} | |} | ||
<references /> |
Latest revision as of 10:57, 25 June 2022
요약[edit | edit source]
의무 대상자는 ISMS 인증을 필수적으로 받아야 한다. ISMS-P를 받은 경우에도 ISMS를 받은 것으로 (당연)인정해 준다.
- 의무 대상자
구분 | 의무대상자 | 비고 |
---|---|---|
① | 「전기통신사업법」제6조제1항에 따른 등록을 한 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 | ISP |
② | 「정보통신망법」제46조에 따른 집적정보통신시설 사업자 | IDC |
③ | 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우
|
|
④ | 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자 | 정보통신서비스제공자 |
⑤ | 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자 | 정보통신서비스제공자 |
- 아래의 경우 ④의 기준으로 본다. 즉 매출이 100억 이상인 경우만 해당된다.
- ①에서 서울특별시 및 광역시가 아닌 곳에서 정보통신망서비스를 제공하는 자
- 직접정보통신시설 사업자가 아닌, 이들의 시설을 빌려서 서비스하는 VIDC
임의 신청자[edit | edit source]
ISMS-P를 구축·운영하여 적합성 여부를 판단하고자 하는 모든 개인정보처리자(공공기관, 민간기업, 법인, 단체 및 개인)와 정보통신서비스제공자는 자율적으로 인증을 신청할 수 있다.
- 임의신청자의 경우 인증범위를 신청기관이 정하여 신청할 수 있으며, 심사기준 및 심사절차는 의무대상자와 동일하다.
의무 대상자[edit | edit source]
인증 의무대상자는 ①정보통신망서비스를 제공하는 자(ISP) ②집적정보통신시설사업자(IDC) ③연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문의 전년도 매출액이 100억원 이상 또는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자이다.
- 인증 의무대상자는 ISMS 인증을 받아야 하며 ISMS-P 인증을 받은 경우에도 인증의무를 이행한 것으로 본다.
의무 대상자 기준[1]
구분 | 의무 대상자 기준 |
---|---|
정보통신망서비스 제공자(ISP) | 「전기통신사업법」 제6조 제1항에 따른 등록을 한 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 |
집적정보통신시설 사업자(IDC) | 정보통신망법 제46조에 따른 집적정보통신시설 사업자 |
매출액 또는 이용자수 요건에 따른 대상자 | 정보통신서비스 부문 전년도 매출액이 100억원 이상인 자 |
전년도 말 기준 직전 3개월간의 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자 | |
연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우
|
정보통신망서비스를 제공하는 자[edit | edit source]
정보통신망서비스를 제공하는 자(ISP)란 「전기통신사업법」 제6조 제1항에 따라 과학기술정보통신부 장관에게 등록을 하고 인터넷 서비스, 인터넷전화 서비스, 이동통신 서비스 등 정보통신망 서비스 제공 지역이 ‘서울특별시 및 모든 광역시’인 사업자를 말한다.
정보통신망법 및 같은 법 시행령 |
---|
정보통신망법 제47조(정보보호 관리체계의 인증) ② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.
|
정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위) ① 법 제47조제2항제1호에서 “대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자”란 서울 특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자를 말한다. |
※ 정보통신망서비스 제공자의 경우, 매출액과 이용자 수에 관계없이 인증 의무대상자에 해당함
- 정보통신망서비스(예시)
구분 | 서비스 | 세부 서비스 |
---|---|---|
정보통신망서비스 제공자(ISP)[2] | 기간통신서비스 | 인터넷 접속 서비스(초고속망 서비스) |
인터넷전화 서비스(VoIP) | ||
이동통신 서비스(셀룰라, PCS, 3G, 4G/LTE, 5G) |
집적정보통신시설사업자[edit | edit source]
집적정보통신시설사업자(IDC)란 정보통신망법 제46조 제1항의 규정에 따라 타인의 정보통신 서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자를 말한다.
정보통신망법 |
---|
제47조(정보보호 관리체계의 인증) ② 전기통신사업법 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.
|
※ 집적정보통신시설사업자의 경우, 매출액과 이용자 수에 관계없이 인증 의무대상자에 해당함
- 정보통신서비스 제공을 위해 자체적으로 시설을 구축하여 운영하는 자로서, 공간 임대서비스(Colocation) 또는 서버 임대(서버호스팅) 서비스 및 네트워크 서비스 등을 제공하는 사업자를 말한다.
- 타인에 의해 구축된 집적정보통신시설의 일부를 임대하여 서비스를 재판매하는 사업자(이하 “VIDC” 이라 한다)의 경우에는 정보통신망법 시행령 제49조 제2항에 따라 연간 매출액 또는 이용자 수 기준을 적용한다.
고시 |
---|
제19조(정보보호 관리체계 인증 의무대상자) ① 정보보호 관리체계 인증 의무대상자(이하 "의무대상자"라 한다)란 정보통신망법 제47조제2항, 같은 법 시행령 제49조에 해당하는 자를 말한다.
|
- 집적정보통신시설 서비스(예시)
구분 | 서비스 | 세부 서비스 |
---|---|---|
집적정보통신시설사업자 (IDC) | 부가통신서비스 | 서버 호스팅 |
스토리지 호스팅 | ||
코로케이션(Co-location) | ||
네트워크 제공 서비스(회선 임대 포함), 보안관리 서비스, 도메인관리 서비스 |
매출액, 이용자 수 기준[edit | edit source]
정보통신망법 및 같은 법 시행령 |
---|
정보통신망법 제47조(정보보호 관리체계의 인증) ② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.
|
정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위) ② 법 제47조제2항제3호에서 "대통령령으로 정하는 기준에 해당하는 자"란 다음 각 호의 어느 하나에 해당 하는 자를 말한다.
|
전년도 매출액 또는 세입 등이 1,500억원 이상인 자 중 대통령령으로 정하는 기준에 해당하는 자
- 전년도 매출액 또는 세입 등이 1,500억원 이상인 자 중 보건복지부장관에 의해 상급종합병원으로 지정된 ‘병원’과 재학생 수가 1만명 이상인 「고등교육법」상의 ‘학교’는 인증의무대상에 포함된다.
- '상급종합병원'은 매 3년마다 평가를 실시하여 재지정 하거나 지정이 최소 될 수 있다.
- 「고등교육법」상 '학교'의 종류에는 대학, 산업대학, 교육대학, 전문대학, 방송통신대학, 기술대학 등이 해당될 수 있다.
정보통신서비스 부문 전년도 매출액 100억원 이상인 자
- 정보통신서비스 부문 매출액은 정보통신서비스 제공을 통해 발생하는 연간 총 매출액의 합으로 산정 하며, 여러 가지 정보통신서비스를 제공할 경우에는 해당 서비스의 매출액을 모두 합하여 계산한다.
- 매출액은 국세청 등에 신고된 금액 또는 내부적으로 결산자료 등을 마련하여 공인회계사 등의 검증을 거친 객관적 자료를 이용 하며, 이러한 자료가 없으면 내부 회계자료에 대해 대표이사의 승인을 거친 자료를 이용
- 주요 정보통신서비스 매출액 구분(예시)
- 정보통신서비스 온라인 판매, 광고, 콘텐츠 이용 등으로 발생한 매출액과 부가수익, 수수료, 세금 등을 포함한 총 합계액
- 정보통신서비스 제공을 통해 직·간접으로 발생하는 연간 국내·외 매출액
구분 | 서비스 설명 | 정보통신서비스 부문 매출액 내역 |
---|---|---|
예약 서비스 | 정보통신망을 통해 서비스나 상품에 대한 예약 서비스를 제공하는 사업자 | 상품 및 서비스 판매매출, 수수료, 회원수익 매출, 광고매출, 부가수익 등 |
전자문서교환 (EDI)서비스 | 정보통신망을 통해 전자문서교환서비스를 제공 하는 사업자 | 콘텐츠 판매매출, 수수료, 광고매출, 회원 수익매출, 부가수익 등 |
전자지불 (PG)서비스 | 정보통신망을 통해 지불중계역무를 제공하는 사업자 | 지불중계수수료, 서비스매출, 회원수익매출, 부가수익 등 |
인터넷 포털 서비스 | 정보통신망 유·무선 포털 사이트를 제공하는 사업자 | 온라인 광고매출, 정보제공 수수료, 중계 수수료, 콘텐츠, 이용매출, 부가수익 등 |
인터넷 전자상거래 | 쇼핑몰 역무를 제공하는 사업자 | 판매 매출, 수수료, 광고매출, 부가수익 등 |
인터넷 방송 | 정보통신망을 통해 신문기사나 방송프로그램을 제공하는 사업자 | 콘텐츠 판매매출, 수수료, 광고매출, 회원 수익매출, 부가수익 등 |
인터넷 게임 | 인터넷게임서비스를 제공하는 사업자 | 게임이용매출, 아이템 판매매출, 광고매출, 수수료, 부가수익 등 |
금융 관련 서비스 | 정보통신망을 통한 금융업, 연금업, 보험관련 서비스업 등을 제공하는 사업자 | 인터넷 뱅킹·주식 거래·선물 거래 수수료, 인터넷 증권 중개, 홈트레이딩 기타 인터넷 금융 및 보험업 등 |
콘텐츠 제공 서비스 | 정보통신망을 통한 교육서비스, 실시간 음악 감상 서비스, 기타 콘텐츠제공 서비스를 제공하는 사업자 | 콘텐츠 이용매출, 수수료, 광고매출, 회원 수익매출, 부가수익 등 |
유선방송 서비스 (Cable-SO) | 종합유선 방송서비스와 종합유선전송 서비스를 제공하는 사업자 | 방송중계서비스 매출을 제외한 초고속인터넷 서비스 매출액 등 |
기타 | 정보통신망을 통한 기타 정보통신서비스를 제공 하는 사업자 |
- 쇼핑몰 유형 별 매출 구분(예시)
판매 유형 | 정보통신서비스 부문에 해당되는 매출액 |
---|---|
자체 쇼핑몰 운영 | 자체 쇼핑몰을 통한 제품 판매액 |
중개 쇼핑몰 이용 | 해당사항 없음 |
중개 쇼핑몰 운영 | 판매 중개수수료 + 입점료(해당하는 경우) |
자체 쇼핑몰 운영 + 중개 쇼핑몰 이용 | 자체 쇼핑몰을 통한 제품 판매액 |
중개 쇼핑몰 운영 + 자체 쇼핑몰 운영 | 판매 중개수수료 + 입점료(해당하는 경우) + 자체 쇼핑몰을 통한 제품 판매액 |
포인트 쇼핑몰 | 가맹점 수수료 + 고객 수수료 + 판매 수수료 + 기프티콘 |
전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상
- 일일평균 이용자 수는 일정 기간 동안의 정보통신서비스제공자의 홈페이지 방문자 수 등을 일평균 으로 환산한 이용자 수를 말하며, 여러 가지 정보통신서비스를 제공할 경우에는 해당 서비스의 이용자 수를 모두 합하여 계산한다.
- 자체적 또는 공식적으로 이용자 수 확인이 어려운 경우, 민간 통계기관 등의 데이터 활용
인증 의무 대상자 유의사항[edit | edit source]
- 인증 의무대상자 중 정보통신망서비스제공자와 집적정보통신시설 사업자는 매출액 및 이용자 수와 관계없이 인증 의무대상자에 해당된다.
- 집적정보통신시설의 일부를 임대하여 서비스를 재판매하는 사업자(VIDC)는 매출액 및 이용자 수 기준을 따르게 된다.
- 인증 의무대상자 기준 중에서 정보통신망법 제47조제2항의 어느 한 가지 이상의 기준에 해당할 경우, 인증 의무대상자가 된다.
- 인증 의무대상자는 스스로 법에서 정한 인증 의무대상자 기준에 해당하는지 여부를 확인하여 인증을 받아야 하며, 만약 의무대상자임에도 불구하고 인증을 취득하지 않은 사실이 확인되는 경우 과태료 부과 대상이 될 수 있다.
- 관리체계 구축 및 운영에 필요한 소요기간을 확인하여 인증심사에 차질이 없도록 준비해야 한다.
- 준비부터 인증취득까지는 약 6개월 이상이 소요되고, 인증 신청을 위해서는 최소 2개월 이상의 운영 기간이 필요하다.
인증 절차 및 소요기간(예시)
인증 절차 | ① 준비 | ② 심사 | ③ 인증 | |||||||
---|---|---|---|---|---|---|---|---|---|---|
관리체계 구축 후 운영 | 인증 신청 | 심사 준비 | 인증 심사 | 보완 조치 | 조치결과 확인 | 심사 결과보고서 작성 | 인증 위원회 심의 준비 | 인증 위원회 심의 | 인증서 교부 | |
소요 기간 | 2개월 이상 | 심사 8주전 | 심사 6주전 | 1~2주 | 100일 이내 | 30일 이내 | 2주~4주 | 1일 | 인증위원회 심의·의결 후 2주 이내 |