시행령, 시행규칙 주요개정 내용
가. 정보보호 관리체계 인증 대상자의 범위(시행령안 제49조)
연간 매출액 또는 세입, 연간 정보통신서비스 부문 매출액 또는 일일평균 이용자 수 등에 따른 정보보호 관리체계 인증 의무대상의 기준을 구체적으로 규정함 .
나. 정보보호 관리체계 인증심사의 일부 생략(시행규칙안 제9조의3)
정보보호 관리체계 인증심사의 일부 생략을 위한 전제 조건은 국제표준 정보보호 인증, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 따른 개인정보보호 관리체계 인증, 「정보통신기반 보호법」에 따른 취약점의 분석․평가로 하고, 인증심사의 일부 생략을 위한 제출서류 등 절차를 구체적으로 정함
시행령
제49조제2항제3호를 다음과 같이 신설한다.
3. 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액 또는 세입 등이 1,500억원 이상인 자로서 다음 각 목의 어느 하나에 해당하는 자
가. 「의료법」 제3조제2항에 따른 의료기관
나. 「전자금융거래법」 제2조의3에 따른 금융회사
다. 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 1만명 이상인 자
별표 9 제2호의 위반행위 서목의 위반횟수별 과태료 금액 1회, 2회, 3회 이상 각각“1,000”을“3,000”으로 하고, 어목의 “법 제47조제7항”을 “법 제47조제9항”으로 한다.
시행규칙
제9조의3을 다음과 같이 신설한다.
제9조의3(정보보호 관리체계 인증심사 일부의 생략) ① 다음 각 호의 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 (이하 "법"이라 한다) 제47조제3항에 따라 정보보호 관리체계 인증심사의 일부를 생략할 수 있다.
1. 국제인정기관협력기구에 가입된 인정기관이 인정한 인증기관으로부터 받은 정보보호경영시스템(ISO/IEC 27001) 인증
2. 법 제47조의3에 따른 개인정보보호 관리체계 인증
3.「정보통신기반 보호법」제9조에 따른 취약점의 분석ㆍ평가
② 제1항에 따라 정보보호 관리체계 인증심사의 일부를 생략하기 위해서는 다음 각 호의 요건을 충족하여야 한다.
1. 해당 국제표준 정보보호 인증 또는 정보보호 조치의 범위가 영 제47조제2항에 따른 정보보호 관리체계 인증의 범위와 동일하거나 범위를 포함할 것
2. 정보보호 관리체계 인증 신청 및 심사 시에 국제표준 정보보호 인증 또는 정보보호 조치가 유효할 것
③ 법 제47조제3항에 따라 정보보호 관리체계 인증심사의 일부 생략을 신청하려는 자는 영 제47조제1항에 따라 정보보호 관리체계 인증신청서를 제출할 때에 인증심사의 일부 생략 대상임을 증명할 수 있는 서류를 첨부하여 제출하여야 한다.
출처 : CONCERT사무국
댓글