과학기술정보통신부고시
(과학기술정보통신부) 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 일부개정고시안
| 기 관 명 (부서명) |
과학기술정보통신부 (사이버침해대응과) |
| 연 월 일 | 2020. 11 . . |
1. 개정이유
정보보호 및 개인정보보호 관리체계 인증심사 시 유사・중복점검 해소, 심사품질 향상 , 재난・재해 상황 발생 시 예외 조항 신설 등 관련 조항 정비를 위해 제도를 개선하려는 것임
2. 주요내용
가. 심사 품질 향상
ㅇ (인증・심사기관 관리) 심사기관 상시 지정, 현장실사 등 사후관리 강화, 지정 취소・정지 사실 공고 기준 신설(안 제6조, 제8조, 제11조)
ㅇ (분야별 세부점검항목) 가상자산, 의료, 공공 등 분야별 특성・신기술을 고려한 세부점검항목 마련(안 제23조)
나. 유사・중복 점검제도의 부담 해소(안 제20조)
ㅇ (상호 인정) 교육부가 주관하는 정보보호 수준진단에서 우수(80점 이상) 등급을 획득한 대학은 ISMS 인증의무를 이행한 것으로 인정
ㅇ (심사 생략) 수탁회사가 ISMS-P 인증을 획득한 경우, 위탁사에서의 ISMS-P 인증심사에 부수되는 수탁사의 현장점검 면제
다. 인증 인센티브 확대
ㅇ 「정보보호산업의 진흥에 관한 법률」제13조에 따른 정보보호공시기업의 ISMS-P 인증수수료 할인(30%) 적용(안 제21조)
라. 코로나19 등 재난・재해 상황 발생 시 예외 조항 신설
ㅇ 심사원 자격 유효기간 유예(안 제15조), 인증 의무대상자 이행 기한 연장(안 제19조), 유사 시 비대면 원격 심사 병행(안 제25조)
마. 기타 개정 사항
ㅇ 심사원이 인증위원회 소속된 경우 자격 유지 의무 유예(안 제15조)
ㅇ 심사원 지급수수료 기준 및 출장경비 지급 기준을 인터넷진흥원에서 정하여 공고하도록 개정(안 별표 6)
ㅇ 관계법 개정 사항 반영(안 제21조)
ㅇ 문구 및 용어 수정(안 제2조, 제20조)
3. 주요토의과제
없 음
4. 참고사항
가. 관계법령 : 생 략
나. 예산조치 : 별도조치 필요 없음
다. 합 의 : 교육과학부 등과 합의되었음
라. 기 타 : 신・구조문 대비표
신ㆍ구조문 대비표
현 행 |
개 정 안 |
|
제2조(용어의 정의) 이 고시에서 사용하는 용어의 정의는 다음 각 호와 같다. |
제2조(용어의 정의) --------------------------------------------. |
|
1. ∼ 8. (생 략) |
1. ∼ 8. (현행과 같음) |
|
<신 설> |
8의2. “심사팀장”이란 인증심사를 수행하기 위해 구성한 팀의 책임자를 말한다. |
|
9. ∼ 11. (생 략) |
9. ∼ 11. (현행과 같음) |
|
제6조(지정공고) ① 과학기술정보통신부장관과 보호위원회는 인증기관 또는 심사기관을 지정할 필요가 있는 때에는 협의회에서 지정대상 기관의 수, 업무의 범위, 신청방법 등을 미리 협의하고, 관보 또는 인터넷 홈페이지에 20일 이상 공고하여야 한다. |
제6조(지정공고) ① ------------------------------- 인증기관------------------------------------------------------------------------------------------------------------------------------------------. |
|
② 제1항에 따라 인증기관 또는 심사기관으로 지정받으려는 자는 다음 각 호의 서류를 과학기술정보통신부장관과 보호위원회에 제출하여야 한다. |
② 인증기관 -------------------------------------------------------------------------------------------------------. |
|
1. ∼ 3. (생 략) |
1. ∼ 3. (현행과 같음) |
|
<신 설> |
③ 심사기관 지정 신청일을 기준으로 다음 각 호의 어느 하나에 해당하는 자는 심사기관으로 지정받을 수 없다. |
|
③ (생 략) |
④ (현행 제3항과 같음) |
|
제7조(지정기준 및 지정절차) ① ∼ ④ (생 략) |
제7조(지정기준 및 지정절차) ① ∼ ④ (현행과 같음) |
|
<신 설> |
⑤ 과학기술정보통신부장관과 보호위원회는 제4항에 따라 지정서를 발급받은 자를 관보 또는 인터넷 홈페이지에 공고하여야 한다. |
|
제8조(인증기관 및 심사기관의 사후관리) ①ㆍ② (생 략) |
제8조(인증기관 및 심사기관의 사후관리) ①ㆍ② (현행과 같음) |
|
<신 설> |
③ 과학기술정보통신부장관과 보호위원회는 제2항에 따른 지정기준의 충족여부 심사, 자료제출 요구 또는 현장심사에 관한 업무를 인터넷진흥원에 위탁할 수 있다. |
|
<신 설> |
④ 과학기술정보통신부장관과 보호위원회는 사후관리 결과 지정기준의 충족여부 등에 결격사유가 확인될 경우 보완을 요구할 수 있다. |
|
제11조(인증기관 및 심사기관의 지정취소 등) ① 인증기관 및 심사기관이 다음 각 호의 어느 하나에 해당하면 그 지정을 취소하거나 1년 이내의 기간을 정하여 해당 업무의 전부 또는 일부의 정지를 명할 수 있다. 다만, 제1호나 제2호에 해당하는 경우에는 그 지정을 취소하여야 한다. |
제11조(인증기관 및 심사기관의 지정취소 등) ① -------------------------------------------------------------------------------------------------------------------------------. ------------------------------------------------------. |
|
1. ∼ 3. (생 략) |
1. ∼ 3. (현행과 같음) |
|
4. 정보통신망법 제47조제11항을 위반하여 인증 또는 인증심사를 한 경우 |
4. 정보통신망법 제47조제11항 및 개인정보보호법 제32조의2제5항------- |
|
5. 정보통신망법 제47조제12항에 따른 지정기준에 적합하지 아니하게 된 경우 |
5. 정보통신망법 제47조제12항 및 개인정보보호법 시행령 제34조의6제1항제2호--------------------- |
|
② (생 략) |
② (현행과 같음) |
|
<신 설> |
③ 과학기술정보통신부장관과 보호위원회는 제1항에 따라 지정을 취소하거나 업무정지를 명한 사실을 관보 또는 인터넷 홈페이지에 공고 하여야 한다. |
|
제15조(인증심사원 자격 유지 및 갱신) ① ∼ ⑤ (생 략) |
제15조(인증심사원 자격 유지 및 갱신) ① ∼ ⑤ (현행과 같음) |
|
<신 설> |
⑥ 제5항에도 불구하고 인터넷진흥원은 다음 각 호의 어느 하나에 해당하면 인증심사원 자격의 유효기간을 연장할 수 있다. |
|
제17조(신청인의 사전 준비사항) ① (생 략) |
제17조(신청인의 사전 준비사항) ① (현행과 같음) |
|
② 신청인은 인증심사를 위하여 다음 각 호의 사항을 인증심사 실시 전에 준비하여야 한다. |
② -------------------------------------------------------------------. |
|
1. 인증심사를 위한 문서 및 증적자료 |
1. ------------------- 증거자료 |
|
2.ㆍ3. (생 략) |
2.ㆍ3. (현행과 같음) |
|
제19조(정보보호 관리체계 인증 의무대상자) ① ∼ ④ (생 략) |
제19조(정보보호 관리체계 인증 의무대상자) ① ∼ ④ (현행과 같음) |
|
<신 설> |
⑤ 「재난 및 안전관리 기본법」제3조에 따른 재난의 발생 등 협의회가 인정하는 불가피한 사유로 제4항의 기한까지 인증을 받지 못한 경우 의무대상자의 인증 의무 이행 기한을 협의회가 정하는 바에 따라 연장할 수 있다. |
|
제20조(인증심사의 일부 생략 신청 등) ① 제18조제1항제2호의 정보보호 관리체계 인증을 신청한 자가 다음 각 호의 어느 하나에 해당하는 인증을 받거나 정보보호 조치를 취한 경우 별표 5의 인증심사 일부 생략의 범위 내에서 인증심사의 일부를 생략할 수 있다. |
제20조(인증심사의 일부 생략 신청 등) ① 신청인이 --------------------------------------------------------------------------------------------------------------------------------------------------------------------. |
|
1.ㆍ2. (생 략) |
1.ㆍ2. (현행과 같음) |
|
② ∼ ④ (생 략) |
② ∼ ④ (현행과 같음) |
|
<신 설> |
⑤ 정보통신망법 시행규칙 제3조제4항에서 “과학기술정보통신부장관이 고시하는 결과”란 「교육부 정보보안 기본지침」 제94조제1항에 따른 정보보안 수준에 대한 해당 연도의 평가결과가 만점의 100분의 80 이상인 것을 말한다. |
|
<신 설> |
⑥ 심사수행기관은 신청인의 인증범위 내에서 업무를 위탁받아 처리하는 자가 제18조제1항 각 호의 인증을 받은 범위의 현장심사를 생략할 수 있다. |
|
제21조(수수료의 산정) ①ㆍ② (생 략) |
제21조(수수료의 산정) ①ㆍ② (현행과 같음) |
|
③ 심사수행기관은 신청인이 다음 각 호에 해당하는 경우 수수료를 감면 또는 조정할 수 있다. |
③ ------------------------- 호의 어느 하나--------------------------------. |
|
1. 「중소기업기본법」제2조에 따른 소기업에 해당되는 경우 |
1. 「중소기업기본법」제2조제2항에 따른 소기업 |
|
2. (생 략) |
2. (현행과 같음) |
|
<신 설> |
3. 「정보보호산업의 진흥에 관한 법률」제13조에 따라 정보보호 현황을 공시한 자 |
|
3. (생 략) |
4. (현행 제3호와 같음) |
|
제23조(인증심사 기준) ① 인증기준은 별표 7과 같다. 다만, 제18조제1항제2호의 정보보호 관리체계 인증을 받는 경우 별표 7의 인증기준 중에서 “가. 관리체계 수립 및 운영”, “나. 보호대책 요구사항”의 기준을 적용한다. |
제23조(인증심사 기준) ① 다음 각 호의 인증의 구분에 따라 별표 7의 인증기준을 적용한다. |
|
② 심사수행기관은 신청인과 협의를 통해 별표 7의 인증기준 내에서 인증범위, 업무특성 등을 고려하여 인증심사 항목을 조정할 수 있다. |
② 과학기술정보통신부장관과 보호위원회는 -------------------------- 업무특성, 기업규모 --- 구체적인 확인사항을 관보 또는 인터넷 홈페이지에 공고-----. |
|
제24조(인증심사팀 구성) ① (생 략) |
제24조(인증심사팀 구성) ① (현행과 같음) |
|
② 인증심사팀 구성 시 신청인의 인증범위, 사업유형, 기술의 다양성 등을 고려하여 심사팀원을 구성하고 심사팀장은 심사수행기관 소속의 심사원 이상으로 선정하여야 한다. |
② ------------------------------------------------------------------------ 구성------------------------------------------------------. |
|
③ 인증심사원은 신청인의 정보보호 또는 개인정보보호 컨설팅에 참여하였거나 소속직원 등 신청인과 이해관계를 가지는 경우 사전에 소명하여야 하며, 심사수행기관은 해당 심사원을 인증심사팀의 구성원에서 배제하여야 한다. |
③ -------------------------------------------------------------------------------------------------------------------------------- 인증심사원------------------------------------. |
|
제25조(인증심사 방법 및 보완조치) ① (생 략) |
제25조(인증심사 방법 및 보완조치) ① (현행과 같음) |
|
② 서면심사는 별표 7의 인증기준에 적합한지에 대하여 정보보호 및 개인정보보호 관리체계 구축ㆍ운영 관련 정책, 지침, 절차 및 이행의 증적자료 검토, 정보보호대책 및 개인정보 처리단계별 요구사항 적용 여부 확인 등의 방법으로 관리적 요소를 심사한다. |
② ------------------------------------------------------------------------------------------------------- 증거자료 -------------------------------------------------------------------------------------. |
|
③ ∼ ⑤ (생 략) |
③ ∼ ⑤ (현행과 같음) |
|
⑥ 심사수행기관은 보완조치 결과를 확인하기 위하여 필요한 때에는 현장 확인을 할 수 있다. |
⑥ 제1항에도 불구하고 「재난 및 안전관리 기본법」 제3조에 따른 재난의 발생 등 협의회가 인정하는 불가피한 경우 원격심사를 병행할 수 있다. |
|
제26조(심사중단) ① 심사수행기관은 다음 각 호의 사유가 발생한 경우에는 인증심사를 중단할 수 있다. |
제26조(심사중단) ① --------------------------------------------------------------. |
|
1. ∼ 3. (생 략) |
1. ∼ 3. (현행과 같음) |
|
4. 천재지변 및 경영환경 변화 등으로 인하여 인증심사 진행이 불가능하다고 판단되는 경우 |
4. 「재난 및 안전관리 기본법」제3조에 따른 재난의 발생 또는 ------------------ |
|
②ㆍ③ (생 략) |
②ㆍ③ (현행과 같음) |
(과학기술정보통신부) 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 바로가기
출처 : 과학기술정보통신부
댓글