정보보호 공시제도
From CS Wiki
Revision as of 07:27, 11 July 2023 by 심사언 (talk | contribs) (새 문서: 섬네일|정보보호 공시제도 개요도 '''정보보호 공시제도란 이용자의 안전한 인터넷 이용과 기업의 정보보호 투자 활성화를 위해 기업의 정보보호 투자 인력활동 등에 관한 정보를 공개하도록 하는 제도를 말한다.''' == 기대효과 == * (주주) 기업의 잠재적 재무상태 변화에 주요한 영향<ref>기업의 중요 정보 유출, 징벌적·법정...)
정보보호 공시제도란 이용자의 안전한 인터넷 이용과 기업의 정보보호 투자 활성화를 위해 기업의 정보보호 투자 인력활동 등에 관한 정보를 공개하도록 하는 제도를 말한다.
기대효과
- (주주) 기업의 잠재적 재무상태 변화에 주요한 영향[1]을 미칠 수 있는 정보보호 현황에 대한 주주의 알권리 확보
- (소비자·국민) 기업 등이 보유하고 있는 다양한 정보의 보호수준을 간접적으로 파악할 수 있도록 하여 소비자 선택권 강화
- (기업) 기업 스스로 정보보호 수준을 객관적으로 파악하고, 이용자 등에게 정보보호 활동을 공시함으로써 법적 근거를 갖고 기업의 보안 투자 정도를 외부에 알릴 수 있는 기회
대상
자율 공시와 의무 공시
- (자율 공시) 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자(정보보호산업법 제13조제1항)
- (의무 공시) 사업분야, 매출액 및 서비스 이용자 수 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자(정보보호산업법 제13조제2항)
- (법적 근거) 「정보보호산업의 진흥에 관한 법률」 제13조(정보보호 공시) ② 제1항에도 불구[2]하고 정보통신서비스를 이용하는 자의 안전한 인터넷이용을 위하여 정보보호 공시를 도입할 필요성이 있는 자로서 사업 분야, 매출액 및 서비스 이용자 수 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자는 제1항에 따른 정보보호 현황을 공시하여야 한다. 다만, 다른 법률의 규정에 따라 정보보호 현황을 공시하는 자는 제외한다.
의무 공시 대상 기준
구분 | 대상자 | 비고 |
---|---|---|
사업 분야 | 회선설비 보유 기간통신사업자(ISP) | 「전기통신사업법」 제6조제1항 |
집적정보통신시설 사업자(IDC) | 「정보통신망법」 제46조 | |
상급종합병원 | 「의료법」 제3조의4 | |
클라우드컴퓨팅 서비스제공자 | 「클라우드컴퓨팅법」 시행령 제3조제1호 | |
매출액 | 정보보호 최고책임자(CISO) 지정·신고해야하는 유가증권시장 및 코스닥시장 상장법인 중 매출액 3,000억 원 이상 | |
이용자 수 | 정보통신서비스 일일평균 이용자 수 100만 명 이상 (전년도말 직전 3개월간) | 순방문자수(Unique View : IP 기준 1일 방문자 수) 기준 |
예외 기준
의무 대상자에 해당함에도 의무적으로 공시하지 않아도 되는 경우
구분 | 대상자 | 비고 |
---|---|---|
공공기관 | 공기업 및 준정부기관 등 | 「공공기관운영법」 |
소기업 | 평균매출액 120억 원 이하 기업
|
「중소기업기본법 시행령」 제8조제1항 |
금융회사 | 은행, 보험, 카드 등 금융회사 | 「전자금융거래법」 제2조제3호 |
전자금융업자 | 정보통신업 또는 도·소매업을 주된 사업으로 하지 않는 전자금융업자
|
「전자금융거래법」 제2조제4호, 한국표준산업분류 |
매출액 | 정보보호 최고책임자(CISO) 지정·신고해야하는 유가증권시장 및 코스닥시장 상장법인 중 매출액 3,000억 원 이상 | |
이용자 수 | 정보통신서비스 일일평균 이용자 수 100만 명 이상 (전년도말 직전 3개월간) | 순방문자수(Unique View : IP 기준 1일 방문자 수) 기준 |
공시 내용
주요 항목
정보보호 투자현황
- 정보보호 공시자가 공시대상연도의 투자액에서 정보기술부문 투자액과 정보보호부문 투자액을 산정하여 산출한 자료
정보기술부문 투자액
- IT 기획·개발·운영·유지·보수 및 정보보호 등에 소요되는 모든 경비의 합계로서 기업회계기준에 따라 발생주의[3]에 의한 비용
정보보호부문 투자액
- 정보보호 등에 소요되는 모든 경비의 합계로서 기업회계기준에 따라 발생주의[3]에 의한 비용
- ▶ 정보기술부문으로 분류된 자산(감가상각비)·인건비·비용 중에서 정보보호와 관련된 자산·인건비·비용을 분류하여 산출
정보보호 인력현황
- 정보보호 공시자가 공시대상연도의 인력에서 정보기술부문 인력과 정보 보호부문 인력을 집계하여 산출한 자료
정보기술부문 인력
- 정보기술부문 인력은 정보기술 및 정보보호 업무를 전담하는 내부인력 (정규직, 계약직)과 외부인력(사내파견, 외부전담)의 공시대상연도 월평균 인원
정보보호부문 전담인력
- 정보보호부문 전담인력은 정보보호 업무를 전담하는 내부인력(정규직, 계약직)과 외부인력(사내파견, 외부전담)의 공시대상연도 월평균 인원
정보보호 관련 인증· 평가·점검 등에 관한 사항
- 정보보호 공시자가 공시대상연도 내에 취득하거나, 인증 기간이 공시대상 연도 내에 유효한 인증, 평가, 점검 현황
정보보호를 위한 활동
- 정보보호 공시자가 공시대상연도 내에 수행한 정보보호 관련 내·외부 활동
정보보호 현황 서식
1. 정보보호 투자 현황 | 정보기술부문 투자액(A) | 5,234,131,514 원 |
---|---|---|
정보보호부문 투자액(B) | 408,493,080 원 | |
주요 투자 항목 | DRM 고도화 | |
B / A | 7.8 % | |
특기사항 | ||
2. 정보보호 인력 현황 | 총임직원 | 2450.10명 |
정보기술부문 인력(C) | 25.00 명 | |
정보보호부문 전담인력(D) |
| |
D / C | 8.0 % | |
CISO
CPO 지정현황 |
[CISO]
[CPO]
| |
특기사항 | ○ CISO 주요 활동 :
- 정보보호관리체계 수립 및 관리 - 정보보호에 관련된 조직 관리 - 정보보안 인증 유지 및 관리 ○ CPO 주요 활동 : - 개인정보보호 관련 정책 및 규정 수립 - 개인정보보호 관련 교육 및 훈련 진행 | |
3. 정보보호 관련 인증, 평가, 점검 등에 관한 사항 | ○ 정보보호 관리체계(ISMS) 인증 | |
4. 정보통신서비스를 이용하는 자의 정보보호를 위한 활동 현황 | ○ 개발자 개발보안 교육
○ 임직원/부서별정보보안관리자 정보보호 교육 ○ 정보시스템 및 용역업체 정보보호 교육 ○ 개인정보보호위원회 운영 ○ 수탁사 개인정보보호 실태 점검 ○ 개인정보유출 사고 대응 매뉴얼 배포 ○ 악성메일 주의 안내 ○ 정보보안 모의훈련 ○ 개인정보보호 및 보안 수칙 홍보 |