반응형
KISA 정보보호 및 개인정보보호관리체계 인증 ISMS-P 인증대상
KISA 정보보호 및 개인정보보호관리체계 인증 ISMS-P 인증대상
자율신청자 의무대상자 기준에 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축·운영하는 기업·기관은 임의신청자로 분류되며, 임의신청자가 인증 취득을 희망할 경
isms.kisa.or.kr
정보통신망 이용촉진 및 정보보호 등에 관한 법률 ( 약칭: 정보통신망법 )
제47조(정보보호 관리체계의 인증)
① 과학기술정보통신부장관은 정보통신망의 안정성ㆍ신뢰성 확보를 위하여 관리적ㆍ기술적ㆍ물리적 보호조치를 포함한 종합적 관리체계(이하 “정보보호 관리체계”라 한다)를 수립ㆍ운영하고 있는 자에 대하여 제4항에 따른 기준에 적합한지에 관하여 인증을 할 수 있다.
② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.
1. 「전기통신사업법」 제6조제1항에 따른 등록을 한 자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자(이하 “주요정보통신서비스 제공자”라 한다)
2. 집적정보통신시설 사업자
3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자
③ 과학기술정보통신부장관은 제2항에 따라 인증을 받아야 하는 자가 과학기술정보통신부령으로 정하는 바에 따라 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에는 제1항에 따른 인증 심사의 일부를 생략할 수 있다. 이 경우 인증 심사의 세부 생략 범위에 대해서는 과학기술정보통신부장관이 정하여 고시한다.
④ 과학기술정보통신부장관은 제1항에 따른 정보보호 관리체계 인증을 위하여 관리적ㆍ기술적ㆍ물리적 보호대책을 포함한 인증기준 등 그 밖에 필요한 사항을 정하여 고시할 수 있다.
⑤ 제1항에 따른 정보보호 관리체계 인증의 유효기간은 3년으로 한다. 다만, 제47조의5제1항에 따라 정보보호 관리등급을 받은 경우 그 유효기간 동안 제1항의 인증을 받은 것으로 본다.
⑥ 과학기술정보통신부장관은 한국인터넷진흥원 또는 과학기술정보통신부장관이 지정한 기관(이하 “정보보호 관리체계 인증기관”이라 한다)으로 하여금 제1항 및 제2항에 따른 인증에 관한 업무로서 다음 각 호의 업무를 수행하게 할 수 있다.
1. 인증 신청인이 수립한 정보보호 관리체계가 제4항에 따른 인증기준에 적합한지 여부를 확인하기 위한 심사(이하 “인증심사”라 한다)
2. 인증심사 결과의 심의
3. 인증서 발급ㆍ관리
4. 인증의 사후관리
5. 정보보호 관리체계 인증심사원의 양성 및 자격관리
6. 그 밖에 정보보호 관리체계 인증에 관한 업무
⑦ 과학기술정보통신부장관은 인증에 관한 업무를 효율적으로 수행하기 위하여 필요한 경우 인증심사 업무를 수행하는 기관(이하 “정보보호 관리체계 심사기관”이라 한다)을 지정할 수 있다.
⑧ 한국인터넷진흥원, 정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관은 정보보호 관리체계의 실효성 제고를 위하여 연 1회 이상 사후관리를 실시하고 그 결과를 과학기술정보통신부장관에게 통보하여야 한다.
⑨ 제1항 및 제2항에 따라 정보보호 관리체계의 인증을 받은 자는 대통령령으로 정하는 바에 따라 인증의 내용을 표시하거나 홍보할 수 있다.
⑩ 과학기술정보통신부장관은 다음 각 호의 어느 하나에 해당하는 사유를 발견한 경우에는 인증을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 인증을 취소하여야 한다.
1. 거짓이나 그 밖의 부정한 방법으로 정보보호 관리체계 인증을 받은 경우
2. 제4항에 따른 인증기준에 미달하게 된 경우
3. 제8항에 따른 사후관리를 거부 또는 방해한 경우
⑪ 제1항 및 제2항에 따른 인증의 방법ㆍ절차ㆍ범위ㆍ수수료, 제8항에 따른 사후관리의 방법ㆍ절차, 제10항에 따른 인증취소의 방법ㆍ절차, 그 밖에 필요한 사항은 대통령령으로 정한다.
⑫ 정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관 지정의 기준ㆍ절차ㆍ유효기간 등에 필요한 사항은 대통령령으로 정한다.
ISMS 인증 의무대상자(정보통신망법 제47조 2항)
인증 의무대상자는 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 표에서 기술한 의무대상자 기준에 하나라도 해당되는 자이다.
ISMS 인증 의무대상자
| 구분 | 의무대상자 기준 |
| ISP | 「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 |
| IDC | 정보통신망법 제46조에 따른 집적정보통신시설 사업자 |
| 다음의 조건 중 하나라도 해당하는 자 |
연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 - 「의료법」 제3조의4에 따른 상급종합병원 - 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교 |
| 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자 | |
| 전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자 |
아~ 이것도 외워야 하네요.
ISMS 인증 의무대상자
ISP, IDC는 우선 포함되고,
천오상만학 정백
천오 : 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 ~
상 : 상급종합병원
만학 : 직전연도 ~ 재학생 수 1만명 이상 ~ 학교
정백 : 정보통신서비스 부문 ~ 매출액 100억원 이상인 자,
~ 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자
반응형
'CPPG > 개인정보 관리체계' 카테고리의 다른 글
| APEC CBPR 인증 (0) | 2022.12.11 |
|---|---|
| ISMS-P 인증심사 일부 생략의 범위 - "정인외물재" (0) | 2022.11.13 |
| 개인정보 관리체계 - ② 주요 개인정보 관리체계 (비공개) (0) | 2022.11.13 |
| 개인정보 관리체계 - ① 개인정보 관리체계 개요 (0) | 2022.11.13 |
| 개인정보 영향평가 (PIA) 개념, 의무 대상, 처리 절차 및 평가 절차 (0) | 2022.11.13 |
댓글