ISMS-P 인증 대상

From CS Wiki
Revision as of 10:57, 25 June 2022 by 심사보 (talk | contribs)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)

요약

의무 대상자는 ISMS 인증을 필수적으로 받아야 한다. ISMS-P를 받은 경우에도 ISMS를 받은 것으로 (당연)인정해 준다.

  • 의무 대상자
구분 의무대상자 비고
「전기통신사업법」제6조제1항에 따른 등록을 한 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 ISP
「정보통신망법」제46조에 따른 집적정보통신시설 사업자 IDC
연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우
  • 「의료법」제3조의4에 따른 상급종합볍원
  • 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인「고등교육법」제2조에 따른 학교
  • 대형병원
  • 대학교
정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자 정보통신서비스제공자
전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자 정보통신서비스제공자
  • 아래의 경우 ④의 기준으로 본다. 즉 매출이 100억 이상인 경우만 해당된다.
    • ①에서 서울특별시 및 광역시가 아닌 곳에서 정보통신망서비스를 제공하는 자
    • 직접정보통신시설 사업자가 아닌, 이들의 시설을 빌려서 서비스하는 VIDC

임의 신청자

ISMS-P를 구축·운영하여 적합성 여부를 판단하고자 하는 모든 개인정보처리자(공공기관, 민간기업, 법인, 단체 및 개인)와 정보통신서비스제공자는 자율적으로 인증을 신청할 수 있다.

  • 임의신청자의 경우 인증범위를 신청기관이 정하여 신청할 수 있으며, 심사기준 및 심사절차는 의무대상자와 동일하다.

의무 대상자

인증 의무대상자는 ①정보통신망서비스를 제공하는 자(ISP) ②집적정보통신시설사업자(IDC) ③연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문의 전년도 매출액이 100억원 이상 또는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자이다.

  • 인증 의무대상자는 ISMS 인증을 받아야 하며 ISMS-P 인증을 받은 경우에도 인증의무를 이행한 것으로 본다.

의무 대상자 기준[1]

구분 의무 대상자 기준
정보통신망서비스 제공자(ISP) 「전기통신사업법」 제6조 제1항에 따른 등록을 한 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자
집적정보통신시설 사업자(IDC) 정보통신망법 제46조에 따른 집적정보통신시설 사업자
매출액 또는 이용자수 요건에 따른 대상자 정보통신서비스 부문 전년도 매출액이 100억원 이상인 자
전년도 말 기준 직전 3개월간의 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자
연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우
  • 「의료법」 제3조의4에 따른 상급종합병원
  • 직전연도 12월 31일 기준으로 재학생 수가 1만 명 이상인 「고등교육법」 제2조에 따른 학교

정보통신망서비스를 제공하는 자

정보통신망서비스를 제공하는 자(ISP)란 「전기통신사업법」 제6조 제1항에 따라 과학기술정보통신부 장관에게 등록을 하고 인터넷 서비스, 인터넷전화 서비스, 이동통신 서비스 등 정보통신망 서비스 제공 지역이 ‘서울특별시 및 모든 광역시’인 사업자를 말한다.

정보통신망법 및 같은 법 시행령
정보통신망법 제47조(정보보호 관리체계의 인증) ② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.
  • 1. 「전기통신사업법」 제6조제1항에 따른 등록을 한 자로서 대통령령으로 정하는 바에 따라 정보통신망 서비스를 제공하는 자
정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위) ① 법 제47조제2항제1호에서 “대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자”란 서울 특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자를 말한다.

※ 정보통신망서비스 제공자의 경우, 매출액과 이용자 수에 관계없이 인증 의무대상자에 해당함

  • 정보통신망서비스(예시)
구분 서비스 세부 서비스
정보통신망서비스 제공자(ISP)[2] 기간통신서비스 인터넷 접속 서비스(초고속망 서비스)
인터넷전화 서비스(VoIP)
이동통신 서비스(셀룰라, PCS, 3G, 4G/LTE, 5G)

집적정보통신시설사업자

집적정보통신시설사업자(IDC)란 정보통신망법 제46조 제1항의 규정에 따라 타인의 정보통신 서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자를 말한다.

정보통신망법
제47조(정보보호 관리체계의 인증) ② 전기통신사업법 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.
  • 2. 집적정보통신시설 사업자

※ 집적정보통신시설사업자의 경우, 매출액과 이용자 수에 관계없이 인증 의무대상자에 해당함

  • 정보통신서비스 제공을 위해 자체적으로 시설을 구축하여 운영하는 자로서, 공간 임대서비스(Colocation) 또는 서버 임대(서버호스팅) 서비스 및 네트워크 서비스 등을 제공하는 사업자를 말한다.
  • 타인에 의해 구축된 집적정보통신시설의 일부를 임대하여 서비스를 재판매하는 사업자(이하 “VIDC” 이라 한다)의 경우에는 정보통신망법 시행령 제49조 제2항에 따라 연간 매출액 또는 이용자 수 기준을 적용한다.
고시
제19조(정보보호 관리체계 인증 의무대상자) ① 정보보호 관리체계 인증 의무대상자(이하 "의무대상자"라 한다)란 정보통신망법 제47조제2항, 같은 법 시행령 제49조에 해당하는 자를 말한다.
  • ② 제1항에 해당하는 자 중 집적정보통신시설 사업자가 마련한 시설의 일부를 임대하여 집적정보통신시설 사업을 하는 자에 대하여는 정보통신망법 시행령 제49조제2항의 기준을 준용한다.
  • 집적정보통신시설 서비스(예시)
구분 서비스 세부 서비스
집적정보통신시설사업자 (IDC) 부가통신서비스 서버 호스팅
스토리지 호스팅
코로케이션(Co-location)
네트워크 제공 서비스(회선 임대 포함), 보안관리 서비스, 도메인관리 서비스

매출액, 이용자 수 기준

정보통신망법 및 같은 법 시행령
정보통신망법 제47조(정보보호 관리체계의 인증) ② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.
  • 3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자
정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위) ② 법 제47조제2항제3호에서 "대통령령으로 정하는 기준에 해당하는 자"란 다음 각 호의 어느 하나에 해당 하는 자를 말한다.
  • 1. 연간 매출액 또는 세입이 1,500억원 이상인 자로서 다음 각 목의 어느 하나에 해당하는 자
    • 가. 「의료법」 제3조의4에 따른 상급종합병원
    • 나. 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교
  • 2. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다.
  • 3. 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다.

전년도 매출액 또는 세입 등이 1,500억원 이상인 자 중 대통령령으로 정하는 기준에 해당하는 자

  • 전년도 매출액 또는 세입 등이 1,500억원 이상인 자 중 보건복지부장관에 의해 상급종합병원으로 지정된 ‘병원’과 재학생 수가 1만명 이상인 「고등교육법」상의 ‘학교’는 인증의무대상에 포함된다.
    • '상급종합병원'은 매 3년마다 평가를 실시하여 재지정 하거나 지정이 최소 될 수 있다.
    • 「고등교육법」상 '학교'의 종류에는 대학, 산업대학, 교육대학, 전문대학, 방송통신대학, 기술대학 등이 해당될 수 있다.


정보통신서비스 부문 전년도 매출액 100억원 이상인 자

  • 정보통신서비스 부문 매출액은 정보통신서비스 제공을 통해 발생하는 연간 총 매출액의 합으로 산정 하며, 여러 가지 정보통신서비스를 제공할 경우에는 해당 서비스의 매출액을 모두 합하여 계산한다.
    • 매출액은 국세청 등에 신고된 금액 또는 내부적으로 결산자료 등을 마련하여 공인회계사 등의 검증을 거친 객관적 자료를 이용 하며, 이러한 자료가 없으면 내부 회계자료에 대해 대표이사의 승인을 거친 자료를 이용
  • 주요 정보통신서비스 매출액 구분(예시)
    • 정보통신서비스 온라인 판매, 광고, 콘텐츠 이용 등으로 발생한 매출액과 부가수익, 수수료, 세금 등을 포함한 총 합계액
    • 정보통신서비스 제공을 통해 직·간접으로 발생하는 연간 국내·외 매출액
구분 서비스 설명 정보통신서비스 부문 매출액 내역
예약 서비스 정보통신망을 통해 서비스나 상품에 대한 예약 서비스를 제공하는 사업자 상품 및 서비스 판매매출, 수수료, 회원수익 매출, 광고매출, 부가수익 등
전자문서교환 (EDI)서비스 정보통신망을 통해 전자문서교환서비스를 제공 하는 사업자 콘텐츠 판매매출, 수수료, 광고매출, 회원 수익매출, 부가수익 등
전자지불 (PG)서비스 정보통신망을 통해 지불중계역무를 제공하는 사업자 지불중계수수료, 서비스매출, 회원수익매출, 부가수익 등
인터넷 포털 서비스 정보통신망 유·무선 포털 사이트를 제공하는 사업자 온라인 광고매출, 정보제공 수수료, 중계 수수료, 콘텐츠, 이용매출, 부가수익 등
인터넷 전자상거래 쇼핑몰 역무를 제공하는 사업자 판매 매출, 수수료, 광고매출, 부가수익 등
인터넷 방송 정보통신망을 통해 신문기사나 방송프로그램을 제공하는 사업자 콘텐츠 판매매출, 수수료, 광고매출, 회원 수익매출, 부가수익 등
인터넷 게임 인터넷게임서비스를 제공하는 사업자 게임이용매출, 아이템 판매매출, 광고매출, 수수료, 부가수익 등
금융 관련 서비스 정보통신망을 통한 금융업, 연금업, 보험관련 서비스업 등을 제공하는 사업자 인터넷 뱅킹·주식 거래·선물 거래 수수료, 인터넷 증권 중개, 홈트레이딩 기타 인터넷 금융 및 보험업 등
콘텐츠 제공 서비스 정보통신망을 통한 교육서비스, 실시간 음악 감상 서비스, 기타 콘텐츠제공 서비스를 제공하는 사업자 콘텐츠 이용매출, 수수료, 광고매출, 회원 수익매출, 부가수익 등
유선방송 서비스 (Cable-SO) 종합유선 방송서비스와 종합유선전송 서비스를 제공하는 사업자 방송중계서비스 매출을 제외한 초고속인터넷 서비스 매출액 등
기타 정보통신망을 통한 기타 정보통신서비스를 제공 하는 사업자
  • 쇼핑몰 유형 별 매출 구분(예시)
판매 유형 정보통신서비스 부문에 해당되는 매출액
자체 쇼핑몰 운영 자체 쇼핑몰을 통한 제품 판매액
중개 쇼핑몰 이용 해당사항 없음
중개 쇼핑몰 운영 판매 중개수수료 + 입점료(해당하는 경우)
자체 쇼핑몰 운영 + 중개 쇼핑몰 이용 자체 쇼핑몰을 통한 제품 판매액
중개 쇼핑몰 운영 + 자체 쇼핑몰 운영 판매 중개수수료 + 입점료(해당하는 경우) + 자체 쇼핑몰을 통한 제품 판매액
포인트 쇼핑몰 가맹점 수수료 + 고객 수수료 + 판매 수수료 + 기프티콘

전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상

  • 일일평균 이용자 수는 일정 기간 동안의 정보통신서비스제공자의 홈페이지 방문자 수 등을 일평균 으로 환산한 이용자 수를 말하며, 여러 가지 정보통신서비스를 제공할 경우에는 해당 서비스의 이용자 수를 모두 합하여 계산한다.
    • 자체적 또는 공식적으로 이용자 수 확인이 어려운 경우, 민간 통계기관 등의 데이터 활용

인증 의무 대상자 유의사항

  • 인증 의무대상자 중 정보통신망서비스제공자와 집적정보통신시설 사업자는 매출액 및 이용자 수와 관계없이 인증 의무대상자에 해당된다.
    • 집적정보통신시설의 일부를 임대하여 서비스를 재판매하는 사업자(VIDC)는 매출액 및 이용자 수 기준을 따르게 된다.
  • 인증 의무대상자 기준 중에서 정보통신망법 제47조제2항의 어느 한 가지 이상의 기준에 해당할 경우, 인증 의무대상자가 된다.
  • 인증 의무대상자는 스스로 법에서 정한 인증 의무대상자 기준에 해당하는지 여부를 확인하여 인증을 받아야 하며, 만약 의무대상자임에도 불구하고 인증을 취득하지 않은 사실이 확인되는 경우 과태료 부과 대상이 될 수 있다.
  • 관리체계 구축 및 운영에 필요한 소요기간을 확인하여 인증심사에 차질이 없도록 준비해야 한다.
    • 준비부터 인증취득까지는 약 6개월 이상이 소요되고, 인증 신청을 위해서는 최소 2개월 이상의 운영 기간이 필요하다.

인증 절차 및 소요기간(예시)

인증 절차 ① 준비 ② 심사 ③ 인증
관리체계 구축 후 운영 인증 신청 심사 준비 인증 심사 보완 조치 조치결과 확인 심사 결과보고서 작성 인증 위원회 심의 준비 인증 위원회 심의 인증서 교부
소요 기간 2개월 이상 심사 8주전 심사 6주전 1~2주 100일 이내 30일 이내 2주~4주 1일 인증위원회 심의·의결 후 2주 이내
  1. 「정보통신망법」제47조 제2항 및 같은 법 시행령 제49조
  2. ‘서울특별시 및 모든 광역시’에서 서비스를 제공하지 않는 정보통신망서비스 제공자의 경우, 정보통신망법 제47조 제2항 제3호의 기준을 적용하며, 불특정 다수가 이용하는 정보통신망인 경우, 인증 의무대상자에 해당