올해 4월 정보보호 공시제도 (이하 '공시제도' 라 함)의무화 기업 업체수가 최종 확정됐다. 대기업, IDC, 플랫폼 등이 망라
되어 총 603개 기업으로 확정된 것이 주요 골자다.
공시 제도가 무엇이며, 해당 제도가 왜 도입 되고, 도입취지가 무엇인지 알아야 하기에 관련 글을 정리해 본다.
또한, 이젠 정보보호 전문가라면 정보보호 관련 법률을 숙지 해야 하는 것이 필수 요소다. 모르면?? 쪽팔리자나~~
소위 전문가라면 말이다.
○ 의무대상 기준, 공시제도 신고 의무 기간
첫번째로 대상 기준을 알 필요성이 있다. 다음의 기사를 확인해 보자.
정보보호 공시 의무 603개 기업 확정...대기업·IDC·플랫폼 망라
정보보호 투자, 인력, 활동 등에 관한 정보를 의무적으로 공시해야 하는 정보보호 공시 의무 대상 기업이 603개로 최종 확정됐다. 이에 따라 603개 기업은 6월 30일까지 정보보호 공시 현황 자료를
www.etnews.com
맨 첫머리의 대상 기준이 표로 잘 정리 되어 있다. 이미지를 확인하면 다음과 같다.
또한, 신고 의무기간이 "매년 6월 30일까지 전자공시시스템에 입력해야 한다" 라고 법률에 명시되어 있다.
○ 정보보호 공시 종합 포털 안내
4월 대상기업 확정 후, 22년 6월 공시 이행을 위한 공시 종합 포털이 구축되어 KISA 공지사항으로 공지 되었다.
공지내용에도 언급되었지만, 현재는 일부 기능만 오픈한 상태다. 점차 단계적으로 개발이 이뤄질 것으로 보인다.
공지 내용에 담긴 URL은 아래 링크를 클릭해 이동해 보자. 주요사항으로는 아래 2가지로 요약해 볼 수 있다.
- 정보보호산업진흥포털이 아님(X) → 정보보호 공시 종합 포털을 이용하여 공시 완료 필요
- 매년 6월 30일까지 정보보호 현황을 공시 시스템 입력해야 함
KISA 한국인터넷진흥원
과학기술정보통신부와 한국인터넷진흥원은 정보보호 공시 이행을 희망하는 기업들의 원활한 공시이행을 위하여, 정보보호 공시를 위한 전자공시시스템인 「정보보호 공시 종합 포털」을 구축
www.kisa.or.kr
공지사항 안내의 내용에 포털 안내서가 첨부되어 있다.
안내서에는 종합포털 가입, 공시 현황 입력 방법 등이 수록 되어 있다. 참고해 보시기 바란다.
○ 관련 법률 사항
대한민국의 제정되고, 공포된 모든 법률은 여기 국가법령정보센터에 모두 공개되어 있다. 정보보안 전문가가 법률 등을 모두 알 수는 없다. 그러나, 법률이 연관된 사항이 어떤 것인지 파악하고, 확인하고, 숙지해야 한다.
우리나라 모든 법률의 체계는 법률 > 시행령 > 시행규칙 으로 이뤄져 있다. 부차적으로 고시도 존재한다.
기업의 정보보호 규정 > 지침 > 절차 의 3단 논법도 법률체계처럼 유사한 형태를 띄고 있다.
우선 정보보호 공시 제도는 다음 법률과 연관되어 있다.
- 정보보호산업의 진흥에 관한 법률 (약칭 : 정보보호 산업법)
| 정보보호 산업법 LINK 모음 | |||
| 법률 | 시행령 | 시행규칙 | 관련고시 |
| 3단 비교 | |||
아래 그림을 보면 상하위 법이 어떻게 이뤄져 있는지 쉽게 이해 될 것이다.
3단 논법으로 공시제도 관련 법률을 정리해 보았다. 시행 규칙에는 공시제도와 연관사항이 없어 제외하였다.
해당법률의 주관부처는 과학기술정보통신부 소관이다. 참고하기 바란다.
| 정보보호산업의 진흥에 관한 법률 [시행 2021. 12. 9.] [법률 제18200호, 2021. 6. 8., 일부개정] |
정보보호산업의 진흥에 관한 법률 시행령 [시행 2022. 3. 8.] [대통령령 제32528호, 2022. 3. 8., 타법개정] |
정보보호 공시에 관한 고시 [시행 2021. 12. 9.] [과학기술정보통신부고시 제2021-91호, 2021. 12. 9., 일부개정] |
| 제13조(정보보호 공시) ① 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 이용하는 자의 안전한 인터넷이용을 위하여 정보보호 투자 및 인력 현황, 정보보호 관련 인증 등 정보보호 현황을 대통령령으로 정하는 바에 따라 공개할 수 있다. 이 경우 「자본시장과 금융투자업에 관한 법률」 제159조에 따른 사업보고서 제출대상 법인은 같은 법 제391조에 따라 정보보호 준비도 평가 결과 등 정보보호 관련 인증 현황을 포함하여 공시할 수 있다. ② 제1항에도 불구하고 정보통신서비스를 이용하는 자의 안전한 인터넷이용을 위하여 정보보호 공시를 도입할 필요성이 있는 자로서 사업 분야, 매출액 및 서비스 이용자 수 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자는 제1항에 따른 정보보호 현황을 공시하여야 한다. 다만, 다른 법률의 규정에 따라 정보보호 현황을 공시하는 자는 제외한다. <신설 2021. 6. 8.> ③ 제1항에 따라 정보보호 현황을 공개한 자가 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조제1항에 따른 정보보호 관리체계 인증을 받고자 하는 경우에는 납부하여야 할 수수료의 100분의 30에 해당하는 금액을 할인받을 수 있다. <개정 2021. 6. 8.> |
제8조(정보보호 공시) ① 법 제13조제2항 본문에서 “대통령령으로 정하는 기준에 해당하는 자”란 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자(이하 “정보보호공시의무자”라 한다)를 말한다. <신설 2021. 12. 9.> 1. 다음 각 목의 어느 하나에 해당하는 자 가. 「전기통신사업법」 제6조제1항에 따라 등록한 기간통신사업자 중 같은 법 시행령 제11조에 따른 회선설비 보유사업을 경영하는 자 나. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제46조제1항에 따른 집적정보통신시설 사업자 다. 「의료법」 제3조의4제1항에 따른 상급종합병원 라. 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 시행령」 제3조제1호의 클라우드컴퓨팅서비스를 제공하는 자 2. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제45조의3제1항 본문에 따라 정보보호 최고책임자를 지정하고 과학기술정보통신부장관에게 신고해야 하는 자로서 유가증권시장(「자본시장과 금융투자업에 관한 법률 시행령」 제176조의9제1항에 따른 유가증권시장을 말한다) 또는 코스닥시장(대통령령 제24697호 자본시장과 금융투자업에 관한 법률 시행령 일부개정령 부칙 제8조에 따른 코스닥시장을 말한다)에 상장된 주권을 발행한 법인 중 직전 사업연도의 매출액이 3,000억원 이상인 자 3. 전년도 말 기준 직전 3개월간 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 따른 정보통신서비스(이하 “정보통신서비스”라 한다)의 일일평균 이용자 수가 100만명 이상인 자 ② 제1항에도 불구하고 다음 각 호의 어느 하나에 해당하는 자는 정보보호공시의무자에서 제외한다. <신설 2021. 12. 9.> 1. 공공기관 2. 제1항제1호 또는 제3호에 해당하는 자 중 「중소기업기본법 시행령」 제8조제1항에 따른 소기업 3. 「전자금융거래법」에 따른 금융회사 4. 「전자금융거래법」에 따른 전자금융업자로서 「통계법」 제22조제1항에 따라 통계청장이 고시하는 한국표준산업분류에 따른 정보통신업이나 도매 및 소매업을 주된 업종으로 하지 않는 자 ③ 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자가 법 제13조제1항 또는 제2항에 따라 정보보호 공시를 하는 경우에는 다음 각 호의 내용을 포함해야 한다. <개정 2021. 12. 9.> 1. 정보기술부문 투자 현황 대비 정보보호부문 투자 현황 2. 정보기술부문 인력 대비 정보보호부문 전담인력 현황 3. 정보보호 관련 인증ㆍ평가ㆍ점검 등에 관한 사항(해당하는 경우로 한정한다) 4. 그 밖에 정보통신서비스를 이용하는 자의 정보보호를 위한 활동 현황 ④ 법 제13조제1항 또는 제2항에 따라 정보보호 공시를 하는 경우에는 공시 주체의 정보보호 최고책임자가 주관하여 공시하여야 하며, 공시내용에 대해서는 미리 최고경영자의 확인을 거쳐야 한다. <개정 2021. 12. 9.> ⑤ 과학기술정보통신부장관은 법 제13조제1항 또는 제2항에 따른 정보보호 공시를 효과적으로 운영하기 위하여 전자공시시스템(이하 이 조에서 “전자공시시스템”이라 한다)을 구축ㆍ운영할 수 있다. <개정 2017. 7. 26., 2021. 12. 9.> ⑥ 법 제13조제1항 또는 제2항에 따라 정보보호 공시를 하려는 자는 매년 6월 30일까지 정보보호 현황을 전자공시시스템에 입력해야 한다. <신설 2021. 12. 9.> ⑦ 제1항부터 제6항까지에서 규정한 사항 외에 정보보호 공시내용의 작성기준, 공시 방법 및 절차 등에 필요한 사항은 과학기술정보통신부장관이 정하여 고시한다. <신설 2019. 4. 2., 2021. 12. 9.> [제목개정 2021. 12. 9.] |
제1조(목적) 이 고시는 「정보보호산업의 진흥에 관한 법률」(이하 "법"이라 한다) 제13조와 같은 법 시행령(이하 "영"이라 한다) 제8조에 따라 정보보호 공시 내용의 작성 기준, 공시방법 및 절차 등에 필요한 사항을 정함을 목적으로 한다. (이하 생략) |
이하 생략된 법조문을 포함한 정보보호 공시에 관한 고시는 다음 URL을 클릭하면 상세히 확인이 가능하다.
- 제1조(목적) 부터 15조(재검토기한) 까지 조문이 수록됨.
정보보호 공시에 관한 고시 | 국가법령정보센터 | 행정규칙
www.law.go.kr
옆의 이미지는 정보보호 공시에 필요한 세부사항을 어떤방식으로 작성해야 하는지 알려주는 가이드 역할을 하는 자료이니 Link로 이동해 참고하기 바란다.
법률 체계가 이해하기 어렵지만, 자주 보면 볼수록 법률도 친근해진다. 어려워 말고 지속적이고, 틈틈이 법률 공부가 필요하다.
'눈빛::SEC-DATA' 카테고리의 다른 글
| 디도스 공격, 이렇게 대응하세요! (0) | 2022.05.18 |
|---|---|
| [한국판 뉴딜정책 - 정부] 법제도 개혁 및 주요과제 (20.09) (0) | 2020.10.05 |
| [KRCERT,6/27] 2014년 5월 악성코드 은닉사이트 탐지 동향보고 (0) | 2014.06.30 |
| [CONCERT] Weekly News Tracking & Commentary(Vol.97) (0) | 2014.06.24 |
| [CONCERT] Weekly News Tracking & Commentary(Vol.96) (0) | 2014.06.11 |
