정보보호 공시제도

From CS Wiki
Revision as of 07:27, 11 July 2023 by 심사언 (talk | contribs) (새 문서: 섬네일|정보보호 공시제도 개요도 '''정보보호 공시제도란 이용자의 안전한 인터넷 이용과 기업의 정보보호 투자 활성화를 위해 기업의 정보보호 투자 인력활동 등에 관한 정보를 공개하도록 하는 제도를 말한다.''' == 기대효과 == * (주주) 기업의 잠재적 재무상태 변화에 주요한 영향<ref>기업의 중요 정보 유출, 징벌적·법정...)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)

정보보호 공시제도 개요도 정보보호 공시제도란 이용자의 안전한 인터넷 이용과 기업의 정보보호 투자 활성화를 위해 기업의 정보보호 투자 인력활동 등에 관한 정보를 공개하도록 하는 제도를 말한다.

기대효과

  • (주주) 기업의 잠재적 재무상태 변화에 주요한 영향[1]을 미칠 수 있는 정보보호 현황에 대한 주주의 알권리 확보
  • (소비자·국민) 기업 등이 보유하고 있는 다양한 정보의 보호수준을 간접적으로 파악할 수 있도록 하여 소비자 선택권 강화
  • (기업) 기업 스스로 정보보호 수준을 객관적으로 파악하고, 이용자 등에게 정보보호 활동을 공시함으로써 법적 근거를 갖고 기업의 보안 투자 정도를 외부에 알릴 수 있는 기회

대상

자율 공시와 의무 공시

  • (자율 공시) 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자(정보보호산업법 제13조제1항)
  • (의무 공시) 사업분야, 매출액 및 서비스 이용자 수 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자(정보보호산업법 제13조제2항)
    • (법적 근거) 「정보보호산업의 진흥에 관한 법률」 제13조(정보보호 공시) ② 제1항에도 불구[2]하고 정보통신서비스를 이용하는 자의 안전한 인터넷이용을 위하여 정보보호 공시를 도입할 필요성이 있는 자로서 사업 분야, 매출액 및 서비스 이용자 수 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자는 제1항에 따른 정보보호 현황을 공시하여야 한다. 다만, 다른 법률의 규정에 따라 정보보호 현황을 공시하는 자는 제외한다.

의무 공시 대상 기준

구분 대상자 비고
사업 분야 회선설비 보유 기간통신사업자(ISP) 「전기통신사업법」 제6조제1항
집적정보통신시설 사업자(IDC) 「정보통신망법」 제46조
상급종합병원 「의료법」 제3조의4
클라우드컴퓨팅 서비스제공자 「클라우드컴퓨팅법」 시행령 제3조제1호
매출액 정보보호 최고책임자(CISO) 지정·신고해야하는 유가증권시장 및 코스닥시장 상장법인 중 매출액 3,000억 원 이상
이용자 수 정보통신서비스 일일평균 이용자 수 100만 명 이상 (전년도말 직전 3개월간) 순방문자수(Unique View : IP 기준 1일 방문자 수) 기준

예외 기준

의무 대상자에 해당함에도 의무적으로 공시하지 않아도 되는 경우

구분 대상자 비고
공공기관 공기업 및 준정부기관 등 「공공기관운영법」
소기업 평균매출액 120억 원 이하 기업
  • 업종별 매출액 기준 상이(10~120억원), 정보통신업은 50억원 이하
  • 「중소기업 범위 및 확인에 관한 규정」에 따라 중소기업현황정보시스템을 통해 발급받은 확인서 제출 필요
「중소기업기본법 시행령」 제8조제1항
금융회사 은행, 보험, 카드 등 금융회사 「전자금융거래법」 제2조제3호
전자금융업자 정보통신업 또는 도·소매업을 주된 사업으로 하지 않는 전자금융업자
  • 하나의 기업이 둘 이상의 서로 다른 업종을 영위하는 경우에 직전 사업연도의 매출액 비중이 가장 큰 업종을 기준으로 해당 기업의 주된 업종을 판단함
「전자금융거래법」 제2조제4호, 한국표준산업분류
매출액 정보보호 최고책임자(CISO) 지정·신고해야하는 유가증권시장 및 코스닥시장 상장법인 중 매출액 3,000억 원 이상
이용자 수 정보통신서비스 일일평균 이용자 수 100만 명 이상 (전년도말 직전 3개월간) 순방문자수(Unique View : IP 기준 1일 방문자 수) 기준

공시 내용

주요 항목

정보보호 투자현황

  • 정보보호 공시자가 공시대상연도의 투자액에서 정보기술부문 투자액과 정보보호부문 투자액을 산정하여 산출한 자료

정보기술부문 투자액

  • IT 기획·개발·운영·유지·보수 및 정보보호 등에 소요되는 모든 경비의 합계로서 기업회계기준에 따라 발생주의[3]에 의한 비용

정보보호부문 투자액

  • 정보보호 등에 소요되는 모든 경비의 합계로서 기업회계기준에 따라 발생주의[3]에 의한 비용
    • ▶ 정보기술부문으로 분류된 자산(감가상각비)·인건비·비용 중에서 정보보호와 관련된 자산·인건비·비용을 분류하여 산출

정보보호 인력현황

  • 정보보호 공시자가 공시대상연도의 인력에서 정보기술부문 인력과 정보 보호부문 인력을 집계하여 산출한 자료

정보기술부문 인력

  • 정보기술부문 인력은 정보기술 및 정보보호 업무를 전담하는 내부인력 (정규직, 계약직)과 외부인력(사내파견, 외부전담)의 공시대상연도 월평균 인원

정보보호부문 전담인력

  • 정보보호부문 전담인력은 정보보호 업무를 전담하는 내부인력(정규직, 계약직)과 외부인력(사내파견, 외부전담)의 공시대상연도 월평균 인원

정보보호 관련 인증· 평가·점검 등에 관한 사항

  • 정보보호 공시자가 공시대상연도 내에 취득하거나, 인증 기간이 공시대상 연도 내에 유효한 인증, 평가, 점검 현황

정보보호를 위한 활동

  • 정보보호 공시자가 공시대상연도 내에 수행한 정보보호 관련 내·외부 활동

정보보호 현황 서식

(예시) 경상국립대학교병원 정보보호 현황(우수기업, 2023-07-04 기준)
1. 정보보호 투자 현황 정보기술부문 투자액(A) 5,234,131,514 원
정보보호부문 투자액(B) 408,493,080 원
주요 투자 항목 DRM 고도화
B / A 7.8 %
특기사항
2. 정보보호 인력 현황 총임직원 2450.10명
정보기술부문 인력(C) 25.00 명
정보보호부문 전담인력(D)
내부인력
2.00 명
외주인력
0.00 명
2.00 명
D / C 8.0 %
CISO

CPO 지정현황

[CISO]
직책
과장
임원여부
X
겸직여부
O / 의료정보과장
주요활동(건)
3 건

[CPO]

직책
처장
임원여부
O
겸직여부
O / 진료처장
주요활동(건)
2 건
특기사항 ○ CISO 주요 활동 :

- 정보보호관리체계 수립 및 관리 - 정보보호에 관련된 조직 관리 - 정보보안 인증 유지 및 관리 ○ CPO 주요 활동 : - 개인정보보호 관련 정책 및 규정 수립 - 개인정보보호 관련 교육 및 훈련 진행

3. 정보보호 관련 인증, 평가, 점검 등에 관한 사항 ○ 정보보호 관리체계(ISMS) 인증
4. 정보통신서비스를 이용하는 자의 정보보호를 위한 활동 현황 ○ 개발자 개발보안 교육

○ 임직원/부서별정보보안관리자 정보보호 교육 ○ 정보시스템 및 용역업체 정보보호 교육 ○ 개인정보보호위원회 운영 ○ 수탁사 개인정보보호 실태 점검 ○ 개인정보유출 사고 대응 매뉴얼 배포 ○ 악성메일 주의 안내 ○ 정보보안 모의훈련 ○ 개인정보보호 및 보안 수칙 홍보

  1. 기업의 중요 정보 유출, 징벌적·법정 손해배상제도 도입에 따른 강화된 배상책임, 소비자 신뢰도 저하 등으로 인한 큰 재무적 변동이 발생 가능
  2. 제1항은 자유롭게 공시할 수 있다는 내용
  3. 3.0 3.1 발생주의는 회계처리를 하는 방법의 하나로 현금 유출입 시점에 관계없이 거래나 그 밖에 경제적 가치가 창출, 변형, 교환, 이전 또는 소멸되는 시점에 거래를 기록하고 표시하는 것을 말한다.