본문 바로가기
정보보호 (Security)

정보보호 및 개인정보보호 관리체계 인증 고시 일부개정안

by 날으는물고기 2021. 1. 20.

정보보호 및 개인정보보호 관리체계 인증 고시 일부개정안

과학기술정보통신부고시

(과학기술정보통신부) 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 일부개정고시안

기 관 명
(부서명)
과학기술정보통신부
(사이버침해대응과)
연 월 일 2020.  11 .    .

 

1. 개정이유

정보보호 및 개인정보보호 관리체계 인증심사 시 유사・중복점검 해소, 심사품질 향상 , 재난・재해 상황 발생 시 예외 조항 신설 등 관련 조항 정비를 위해 제도를 개선하려는 것임

 

2. 주요내용

가. 심사 품질 향상
 ㅇ (인증・심사기관 관리) 심사기관 상시 지정, 현장실사 등 사후관리 강화, 지정 취소・정지 사실 공고 기준 신설(안 제6조, 제8조, 제11조)
 ㅇ (분야별 세부점검항목) 가상자산, 의료, 공공 등 분야별 특성・신기술을 고려한 세부점검항목 마련(안 제23조)

나. 유사・중복 점검제도의 부담 해소(안 제20조)
 ㅇ (상호 인정) 교육부가 주관하는 정보보호 수준진단에서 우수(80점 이상) 등급을 획득한 대학은 ISMS 인증의무를 이행한 것으로 인정
 ㅇ (심사 생략) 수탁회사가 ISMS-P 인증을 획득한 경우, 위탁사에서의 ISMS-P 인증심사에 부수되는 수탁사의 현장점검 면제

다. 인증 인센티브 확대
 ㅇ 「정보보호산업의 진흥에 관한 법률」제13조에 따른 정보보호공시기업의 ISMS-P 인증수수료 할인(30%) 적용(안 제21조)

라. 코로나19 등 재난・재해 상황 발생 시 예외 조항 신설
 ㅇ 심사원 자격 유효기간 유예(안 제15조), 인증 의무대상자 이행 기한 연장(안 제19조), 유사 시 비대면 원격 심사 병행(안 제25조)

마. 기타 개정 사항
 ㅇ 심사원이 인증위원회 소속된 경우 자격 유지 의무 유예(안 제15조)
 ㅇ 심사원 지급수수료 기준 및 출장경비 지급 기준을 인터넷진흥원에서 정하여 공고하도록 개정(안 별표 6)
 ㅇ 관계법 개정 사항 반영(안 제21조)
 ㅇ 문구 및 용어 수정(안 제2조, 제20조)

 

3. 주요토의과제

  없    음

 

4. 참고사항

가. 관계법령 : 생    략

나. 예산조치 : 별도조치 필요 없음

다. 합    의 : 교육과학부 등과 합의되었음

라. 기    타 : 신・구조문 대비표

 

신ㆍ구조문 대비표

현        행

개   정   안

제2조(용어의 정의) 이 고시에서 사용하는 용어의 정의는 다음 각 호와 같다.

제2조(용어의 정의) --------------------------------------------.

  1. ∼ 8. (생  략)

  1. ∼ 8. (현행과 같음)

  <신  설>

  8의2. “심사팀장”이란 인증심사를 수행하기 위해 구성한 팀의 책임자를 말한다.

  9. ∼ 11. (생  략)

  9. ∼ 11. (현행과 같음)

제6조(지정공고) ① 과학기술정보통신부장관과 보호위원회는 인증기관 또는 심사기관을 지정할 필요가 있는 때에는 협의회에서 지정대상 기관의 수, 업무의 범위, 신청방법 등을 미리 협의하고, 관보 또는 인터넷 홈페이지에 20일 이상 공고하여야 한다.

제6조(지정공고) ① ------------------------------- 인증기관------------------------------------------------------------------------------------------------------------------------------------------.

  ② 제1항에 따라 인증기관 또는 심사기관으로 지정받으려는 자는 다음 각 호의 서류를 과학기술정보통신부장관과 보호위원회에 제출하여야 한다.

  ② 인증기관 -------------------------------------------------------------------------------------------------------.

  1. ∼ 3. (생  략)

  1. ∼ 3. (현행과 같음)

  <신  설>

  ③ 심사기관 지정 신청일을 기준으로 다음 각 호의 어느 하나에 해당하는 자는 심사기관으로 지정받을 수 없다.
  1. 최근 6개월 이내에 제7조제2항에 따른 심사에서 지정기준을 충족하지 못한 자
  2. 최근 1년 이내에 정보통신망 제47조의2제1항에 따라 지정이 취소된 자

  ③ (생  략)

  ④ (현행 제3항과 같음)

제7조(지정기준 및 지정절차) ① ∼ ④ (생  략)

제7조(지정기준 및 지정절차) ① ∼ ④ (현행과 같음)

  <신  설>

  ⑤ 과학기술정보통신부장관과 보호위원회는 제4항에 따라 지정서를 발급받은 자를 관보 또는 인터넷 홈페이지에 공고하여야 한다.

제8조(인증기관 및 심사기관의 사후관리) ①ㆍ② (생  략)

제8조(인증기관 및 심사기관의 사후관리) ①ㆍ② (현행과 같음)

  <신  설>

  ③ 과학기술정보통신부장관과 보호위원회는 제2항에 따른 지정기준의 충족여부 심사, 자료제출 요구 또는 현장심사에 관한 업무를 인터넷진흥원에 위탁할 수 있다.

  <신  설>

  ④ 과학기술정보통신부장관과 보호위원회는 사후관리 결과 지정기준의 충족여부 등에 결격사유가 확인될 경우 보완을 요구할 수 있다.

제11조(인증기관 및 심사기관의 지정취소 등) ① 인증기관 및 심사기관이 다음 각 호의 어느 하나에 해당하면 그 지정을 취소하거나 1년 이내의 기간을 정하여 해당 업무의 전부 또는 일부의 정지를 명할 수 있다. 다만, 제1호나 제2호에 해당하는 경우에는 그 지정을 취소하여야 한다.

제11조(인증기관 및 심사기관의 지정취소 등) ① -------------------------------------------------------------------------------------------------------------------------------. ------------------------------------------------------.

  1. ∼ 3. (생  략)

  1. ∼ 3. (현행과 같음)

  4. 정보통신망법 제47조제11항을 위반하여 인증 또는 인증심사를 한 경우

  4. 정보통신망법 제47조제11항 및 개인정보보호법 제32조의2제5항-------

  5. 정보통신망법 제47조제12항에 따른 지정기준에 적합하지 아니하게 된 경우

  5. 정보통신망법 제47조제12항 및 개인정보보호법 시행령 제34조의6제1항제2호---------------------

  ② (생  략)

  ② (현행과 같음)

  <신  설>

  ③ 과학기술정보통신부장관과 보호위원회는 제1항에 따라 지정을 취소하거나 업무정지를 명한 사실을 관보 또는 인터넷 홈페이지에 공고 하여야 한다.

제15조(인증심사원 자격 유지 및 갱신) ① ∼ ⑤ (생  략)

제15조(인증심사원 자격 유지 및 갱신) ① ∼ ⑤ (현행과 같음)

  <신  설>

  ⑥ 제5항에도 불구하고 인터넷진흥원은 다음 각 호의 어느 하나에 해당하면 인증심사원 자격의 유효기간을 연장할 수 있다.
  1. 제29조제2항에 따른 인증위원회 위원으로 인정된 자
  2. 「재난 및 안전관리 기본법」 제3조에 따른 재난의 발생 등 협의회가 인정하는 불가피한 경우

제17조(신청인의 사전 준비사항) ① (생  략)

제17조(신청인의 사전 준비사항) ① (현행과 같음)

  ② 신청인은 인증심사를 위하여 다음 각 호의 사항을 인증심사 실시 전에 준비하여야 한다.

  ② -------------------------------------------------------------------.

  1. 인증심사를 위한 문서 및 증적자료

  1. ------------------- 증거자료

  2.ㆍ3. (생  략)

  2.ㆍ3. (현행과 같음)

제19조(정보보호 관리체계 인증 의무대상자) ① ∼ ④ (생  략)

제19조(정보보호 관리체계 인증 의무대상자) ① ∼ ④ (현행과 같음)

  <신  설>

  ⑤ 「재난 및 안전관리 기본법」제3조에 따른 재난의 발생 등 협의회가 인정하는 불가피한 사유로 제4항의 기한까지 인증을 받지 못한 경우 의무대상자의 인증 의무 이행 기한을 협의회가 정하는 바에 따라 연장할 수 있다.

제20조(인증심사의 일부 생략 신청 등) ① 제18조제1항제2호의 정보보호 관리체계 인증을 신청한 자가 다음 각 호의 어느 하나에 해당하는 인증을 받거나 정보보호 조치를 취한 경우 별표 5의 인증심사 일부 생략의 범위 내에서 인증심사의 일부를 생략할 수 있다.

제20조(인증심사의 일부 생략 신청 등) ① 신청인이 --------------------------------------------------------------------------------------------------------------------------------------------------------------------.

  1.ㆍ2. (생  략)

  1.ㆍ2. (현행과 같음)

  ② ∼ ④ (생  략)

  ② ∼ ④ (현행과 같음)

  <신  설>

  ⑤ 정보통신망법 시행규칙 제3조제4항에서 “과학기술정보통신부장관이 고시하는 결과”란 「교육부 정보보안 기본지침」 제94조제1항에 따른 정보보안 수준에 대한 해당 연도의 평가결과가 만점의 100분의 80 이상인 것을 말한다.

  <신  설>

  ⑥ 심사수행기관은 신청인의 인증범위 내에서 업무를 위탁받아 처리하는 자가 제18조제1항 각 호의 인증을 받은 범위의 현장심사를 생략할 수 있다.

제21조(수수료의 산정) ①ㆍ② (생  략)

제21조(수수료의 산정) ①ㆍ② (현행과 같음)

  ③ 심사수행기관은 신청인이 다음 각 호에 해당하는 경우 수수료를 감면 또는 조정할 수 있다.

  ③ ------------------------- 호의 어느 하나--------------------------------.

  1. 「중소기업기본법」제2조에 따른 소기업에 해당되는 경우

  1. 「중소기업기본법」제2조제2항에 따른 소기업

  2. (생  략)

  2. (현행과 같음)

  <신  설>

  3. 「정보보호산업의 진흥에 관한 법률」제13조에 따라 정보보호 현황을 공시한 자

  3. (생  략)

  4. (현행 제3호와 같음)

제23조(인증심사 기준) ① 인증기준은 별표 7과 같다. 다만, 제18조제1항제2호의 정보보호 관리체계 인증을 받는 경우 별표 7의 인증기준 중에서 “가. 관리체계 수립 및 운영”, “나. 보호대책 요구사항”의 기준을 적용한다.

제23조(인증심사 기준) ① 다음 각 호의 인증의 구분에 따라 별표 7의 인증기준을 적용한다.
  1. 정보보호 및 개인정보보호 관리체계 인증 : 별표 7 가목부터 다목
  2. 정보보호 관리체계 인증 : 별표 7 가목 및 나목

  ② 심사수행기관은 신청인과 협의를 통해 별표 7의 인증기준 내에서 인증범위, 업무특성 등을 고려하여 인증심사 항목을 조정할 수 있다.

  ② 과학기술정보통신부장관과 보호위원회는 -------------------------- 업무특성, 기업규모 --- 구체적인 확인사항을 관보 또는 인터넷 홈페이지에 공고-----.

제24조(인증심사팀 구성) ① (생  략)

제24조(인증심사팀 구성) ① (현행과 같음)

  ② 인증심사팀 구성 시 신청인의 인증범위, 사업유형, 기술의 다양성 등을 고려하여 심사팀원을 구성하고 심사팀장은 심사수행기관 소속의 심사원 이상으로 선정하여야 한다.

  ② ------------------------------------------------------------------------ 구성------------------------------------------------------.

  ③ 인증심사원은 신청인의 정보보호 또는 개인정보보호 컨설팅에 참여하였거나 소속직원 등 신청인과 이해관계를 가지는 경우 사전에 소명하여야 하며, 심사수행기관은 해당 심사원을 인증심사팀의 구성원에서 배제하여야 한다.

  ③ -------------------------------------------------------------------------------------------------------------------------------- 인증심사원------------------------------------.

제25조(인증심사 방법 및 보완조치) ① (생  략)

제25조(인증심사 방법 및 보완조치) ① (현행과 같음)

  ② 서면심사는 별표 7의 인증기준에 적합한지에 대하여 정보보호 및 개인정보보호 관리체계 구축ㆍ운영 관련 정책, 지침, 절차 및 이행의 증적자료 검토, 정보보호대책 및 개인정보 처리단계별 요구사항 적용 여부 확인 등의 방법으로 관리적 요소를 심사한다.

  ② ------------------------------------------------------------------------------------------------------- 증거자료 -------------------------------------------------------------------------------------.

  ③ ∼ ⑤ (생  략)

  ③ ∼ ⑤ (현행과 같음)

  ⑥ 심사수행기관은 보완조치 결과를 확인하기 위하여 필요한 때에는 현장 확인을 할 수 있다.

  ⑥ 제1항에도 불구하고 「재난 및 안전관리 기본법」 제3조에 따른 재난의 발생 등 협의회가 인정하는 불가피한 경우 원격심사를 병행할 수 있다.

제26조(심사중단) ① 심사수행기관은 다음 각 호의 사유가 발생한 경우에는 인증심사를 중단할 수 있다.

제26조(심사중단) ① --------------------------------------------------------------.

  1. ∼ 3. (생  략)

  1. ∼ 3. (현행과 같음)

  4. 천재지변 및 경영환경 변화 등으로 인하여 인증심사 진행이 불가능하다고 판단되는 경우

  4. 「재난 및 안전관리 기본법」제3조에 따른 재난의 발생 또는 ------------------

  ②ㆍ③ (생  략)

  ②ㆍ③ (현행과 같음)

(과학기술정보통신부) 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 바로가기

출처 : 과학기술정보통신부

728x90

댓글