정보보호 공시제도 편집하기

[[파일:정보보호 공시제도 개요도.png|섬네일|정보보호 공시제도 개요도]]
'''정보보호 공시제도란 이용자의 안전한 인터넷 이용과 기업의 정보보호 투자 활성화를 위해 기업의 정보보호 투자 인력활동 등에 관한 정보를 공개하도록 하는 제도를 말한다.'''

== 기대효과 ==

* (주주) 기업의 잠재적 재무상태 변화에 주요한 영향<ref>기업의 중요 정보 유출, 징벌적·법정 손해배상제도 도입에 따른 강화된 배상책임, 소비자 신뢰도 저하 등으로 인한 큰 재무적 변동이 발생 가능</ref>을 미칠 수 있는 정보보호 현황에 대한 주주의 알권리 확보 
* (소비자·국민) 기업 등이 보유하고 있는 다양한 정보의 보호수준을 간접적으로 파악할 수 있도록 하여 소비자 선택권 강화
* (기업) 기업 스스로 정보보호 수준을 객관적으로 파악하고, 이용자 등에게 정보보호 활동을 공시함으로써 법적 근거를 갖고 기업의 보안 투자 정도를 외부에 알릴 수 있는 기회

== 대상 ==

=== 자율 공시와 의무 공시 ===

* '''(자율 공시)''' 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자(정보보호산업법 제13조제1항)
* '''(의무 공시)''' 사업분야, 매출액 및 서비스 이용자 수 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자(정보보호산업법 제13조제2항)
** '''(법적 근거)''' 「정보보호산업의 진흥에 관한 법률」 제13조(정보보호 공시) ② 제1항에도 불구<ref>제1항은 자유롭게 공시할 수 있다는 내용</ref>하고 정보통신서비스를 이용하는 자의 안전한 인터넷이용을 위하여 정보보호 공시를 도입할 필요성이 있는 자로서 사업 분야, 매출액 및 서비스 이용자 수 등을 고려하여 '''대통령령으로 정하는 기준에 해당하는 자는 제1항에 따른 정보보호 현황을 공시하여야 한다.''' 다만, 다른 법률의 규정에 따라 정보보호 현황을 공시하는 자는 제외한다.

=== 의무 공시 대상 기준 ===
{| class="wikitable"
!구분
!대상자
!비고
|-
| rowspan="4" |'''사업 분야'''
|회선설비 보유 기간통신사업자(ISP)
|「전기통신사업법」 제6조제1항
|-
|집적정보통신시설 사업자(IDC) 
|「정보통신망법」 제46조 
|-
|상급종합병원 
|「의료법」 제3조의4
|-
|클라우드컴퓨팅 서비스제공자 
|「클라우드컴퓨팅법」 시행령 제3조제1호 
|-
|'''매출액'''
|[[정보보호 최고책임자|정보보호 최고책임자(CISO)]] 지정·신고해야하는 유가증권시장 및 코스닥시장 상장법인 중 매출액 3,000억 원 이상
|
|-
|'''이용자 수'''
|정보통신서비스 일일평균 이용자 수 100만 명 이상 (전년도말 직전 3개월간)
|순방문자수(Unique View : IP 기준 1일 방문자 수) 기준
|}

=== 예외 기준 ===
의무 대상자에 해당함에도 의무적으로 공시하지 않아도 되는 경우
{| class="wikitable"
!구분
!대상자
!비고
|-
|'''공공기관'''
|공기업 및 준정부기관 등
|「공공기관운영법」
|-
|'''소기업'''
|평균매출액 120억 원 이하 기업

* 업종별 매출액 기준 상이(10~120억원), 정보통신업은 50억원 이하
* 「중소기업 범위 및 확인에 관한 규정」에 따라 중소기업현황정보시스템을 통해 발급받은 확인서 제출 필요
|「중소기업기본법 시행령」 제8조제1항
|-
|'''금융회사'''
|은행, 보험, 카드 등 금융회사
|「전자금융거래법」 제2조제3호
|-
|'''전자금융업자'''
|정보통신업 또는 도·소매업을 주된 사업으로 하지 않는 전자금융업자

* 하나의 기업이 둘 이상의 서로 다른 업종을 영위하는 경우에 직전 사업연도의 매출액 비중이 가장 큰 업종을 기준으로 해당 기업의 주된 업종을 판단함
|「전자금융거래법」 제2조제4호, 한국표준산업분류
|-
|'''매출액'''
|[[정보보호 최고책임자|정보보호 최고책임자(CISO)]] 지정·신고해야하는 유가증권시장 및 코스닥시장 상장법인 중 매출액 3,000억 원 이상
|
|-
|'''이용자 수'''
|정보통신서비스 일일평균 이용자 수 100만 명 이상 (전년도말 직전 3개월간)
|순방문자수(Unique View : IP 기준 1일 방문자 수) 기준
|}

== 공시 내용 ==

=== 주요 항목 ===
'''정보보호 투자현황''' 

* 정보보호 공시자가 공시대상연도의 투자액에서 정보기술부문 투자액과 정보보호부문 투자액을 산정하여 산출한 자료 

'''정보기술부문 투자액''' 

* IT 기획·개발·운영·유지·보수 및 정보보호 등에 소요되는 모든 경비의 합계로서 기업회계기준에 따라 발생주의<ref name=":0">발생주의는 회계처리를 하는 방법의 하나로 현금 유출입 시점에 관계없이 거래나 그 밖에 경제적 가치가 창출, 변형, 교환, 이전 또는 소멸되는 시점에 거래를 기록하고 표시하는 것을 말한다.</ref>에 의한 비용 

'''정보보호부문 투자액'''

* 정보보호 등에 소요되는 모든 경비의 합계로서 기업회계기준에 따라 발생주의<ref name=":0" />에 의한 비용 
** ▶ 정보기술부문으로 분류된 자산(감가상각비)·인건비·비용 중에서 정보보호와 관련된 자산·인건비·비용을 분류하여 산출 

'''정보보호 인력현황''' 

* 정보보호 공시자가 공시대상연도의 인력에서 정보기술부문 인력과 정보 보호부문 인력을 집계하여 산출한 자료 

'''정보기술부문 인력''' 

* 정보기술부문 인력은 정보기술 및 정보보호 업무를 전담하는 내부인력 (정규직, 계약직)과 외부인력(사내파견, 외부전담)의 공시대상연도 월평균 인원 

'''정보보호부문 전담인력''' 

* 정보보호부문 전담인력은 정보보호 업무를 전담하는 내부인력(정규직, 계약직)과 외부인력(사내파견, 외부전담)의 공시대상연도 월평균 인원 

'''정보보호 관련 인증· 평가·점검 등에 관한 사항''' 

* 정보보호 공시자가 공시대상연도 내에 취득하거나, 인증 기간이 공시대상 연도 내에 유효한 인증, 평가, 점검 현황 

'''정보보호를 위한 활동''' 

* 정보보호 공시자가 공시대상연도 내에 수행한 정보보호 관련 내·외부 활동

=== 정보보호 현황 서식 ===
{| class="wikitable"
|+(예시) 경상국립대학교병원 정보보호 현황(우수기업, 2023-07-04 기준)
! rowspan="5" |1. 정보보호 투자 현황
!정보기술부문 투자액(A)
|5,234,131,514 원
|-
!정보보호부문 투자액(B)
|408,493,080 원
|-
!주요 투자 항목
|DRM 고도화
|-
!B / A
|7.8 %
|-
!특기사항
|
|-
! rowspan="6" |2. 정보보호 인력 현황
!총임직원
|2450.10명
|-
!정보기술부문 인력(C)
|25.00 명
|-
!정보보호부문 전담인력(D)
|
; 내부인력
: 2.00 명
; 외주인력
: 0.00 명
; 계
: 2.00 명
|-
!D / C
|8.0 %
|-
!CISO 
CPO 
지정현황
|[CISO]

; 직책
: 과장
; 임원여부
: X
; 겸직여부
: O  / 의료정보과장
; 주요활동(건)
: 3 건

[CPO]

; 직책
: 처장
; 임원여부
: O
; 겸직여부
: O  / 진료처장
; 주요활동(건)
: 2 건
|-
!특기사항
|○ CISO 주요 활동 :
- 정보보호관리체계 수립 및 관리
- 정보보호에 관련된 조직 관리
- 정보보안 인증 유지 및 관리
○ CPO 주요 활동 :
- 개인정보보호 관련 정책 및 규정 수립
- 개인정보보호 관련 교육 및 훈련 진행
|-
! colspan="2" |3. 정보보호 관련 인증, 평가, 점검 등에 관한 사항
|○ 정보보호 관리체계(ISMS) 인증
|-
! colspan="2" |4. 정보통신서비스를 이용하는 자의 정보보호를 위한 활동 현황
|○ 개발자 개발보안 교육
○ 임직원/부서별정보보안관리자 정보보호 교육
○ 정보시스템 및 용역업체 정보보호 교육
○ 개인정보보호위원회 운영
○ 수탁사 개인정보보호 실태 점검
○ 개인정보유출 사고 대응 매뉴얼 배포
○ 악성메일 주의 안내
○ 정보보안 모의훈련
○ 개인정보보호 및 보안 수칙 홍보
|}

== 자주 묻는 질문 ==

* '''정보보호 공시는 언제까지 해야 하나요?'''
** 정보보호산업의 진흥에 관한 법률(이하 ‘정보보호산업법’) 시행령 제8조제6항에 따라 매년 6월 30일까지 과학기술정보통신부장관이 운영하는 전자공시시스템(ISDS)에 정보보호 현황을 제출해야 합니다. 
** 정보보호 현황은 공시년도의 직전년도(공시대상연도)에 해당하는 회계 및 인증 내용을 바탕으로 작성하며, 매년 정기적으로 공시를 이행하고 이용자, 투자자 보호를 목적으로 신속하게 정보를 전달하기 위해 신속하게 이행하는 것이 바람직합니다.
* '''모든 기업은 반드시 공시를 해야 하나요?'''
** 정보보호산업법 시행령 제8조제1항의 기준을 충족하는 기업은 의무공시 대상으로 반드시 정보보호 공시를 해야 합니다.
** 의무공시 대상이 아니더라도 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자라면 누구나 자율적으로 정보보호 공시를 할 수 있습니다. 자율적으로 정보보호 현황 공시 이행한 기업은 정보보호 관리체계(ISMS) 인증수수료 30% 할인 혜택을 받을 수 있습니다.
* '''글로벌 기업의 경우 공시 주체는 누구인가요?'''
** 글로벌 기업 본사 또는 국내 법인 중 국내 서비스의 제공 주체가 누구인지 판단하여 정보보호 공시 의무대상이 결정됩니다. 의무공시 대상이 아닌 글로벌 기업도 자율적으로 정보보호 공시를 할 수 있습니다.
* '''ISDS와 KIND 두 곳에 같이 공시를 해야 하나요?'''
** 정보보호 공시는 과학기술정보통신부장관이 운영하는 전자공시시스템(이하 ‘ISDS’)에 하는 것이 원칙입니다.
** 다만, 자율적으로 정보보호 공시를 하는 자가 유가증권·코스닥·코넥스시장 상장법인일 경우에는 ISDS 및 한국거래소 상장공시시스템(KIND)에 각각 공시 가능하며, 원하는 곳 한곳에만 공시도 가능합니다.
* '''정보보호 현황을 허위로 공시할 경우 어떤 불이익을 받나요?'''
** 정보보호 공시자의 고의 또는 과실로 허위 사실을 공시할 경우, 불성실 공시로 판단하여 「정보보호 산업의 진흥에 관한 법률」 제13조제3항에 따른 정보보호 관리체계인증(ISMS) 수수료 감면 금액의 환수 조치 등 불이익 조치를 취할 수 있습니다.
** 또한 KIND에 자율공시한 경우, 한국거래소 공시 규정에 따라 공시위반 제재조치를 받을 수 있습니다.
* '''투자액 산정을 위한 감가상각 적용 시, 내용연수에 대한 기준이 있나요?'''
** 내용연수에 대한 기준은 기업의 사규에 있는 기준을 적용하시면 됩니다. 또한 자산에 대한 감가상각 적용은 유·무형의 자산 모두를 포함합니다.
* '''사무실에서 사용하는 PC나 네트워크, 스위치 같은 자산도 정보기술 관련 자산에 포함되나요?'''
** 공시 기관의 정보처리 시스템을 이용하거나 관리하기 위한 모든 IT 자산 및 비용은 정보기술부문자산/ 비용에 포함된다고 할 수 있습니다. 즉 사무실 출입을 위한 출입관리시스템이나 사무실 내외의 보안을 위한 영상정보처리 시스템(CCTV)도 정보기술/정보보호 부문투자로 볼 수 있습니다. 그리고 보안문서를 별도의 통제된 공간, 즉 문서고를 조성하고 여기에 CCTV, 출입통제 시스템, 문서 반출입관리 시스템 등을 운영하면 이 시스템은 정보기술/정보보호부문 투자로 인정할 수 있습니다.
** (참고로,  통신사 또는 전국에 지사를 보유한 기업들의 경우는 전산실에 설치된 출입관리시스템과 CCTV만 정보보호 투자로 인정)
* '''정보처리 시스템을 외부 데이터센터에 위탁하여 운영하는 경우는 어떻게 투자비용을 구분하나요?'''
** 정보처리 시스템을 외부 데이터센터에 두고 있을 경우 지불하는 비용을 정보기술 투자액으로 산정 하면 됩니다. 이중 보안에 관련된 비용이 명확히 구분된다면 보안 관련 비용 부분을 정보보호부문 투자액으로도 산정할 수 있습니다.
** 보안관련 비용을 구분할 수 없더라도, 데이터센터를 서비스하는 기업이 정보보호 현황을 공시한 경우에는 그 기업의 정보보호부문에 대한 투자비율 만큼 전체 지불비용에서 정보보호 투자액으로 간주하여 산정할 수 있습니다.
* '''정보보호부문 관련 비용은 정보기술 관련 비용에 포함되나요?'''
** 정보보호 비용은 모두 정보기술 비용에 포함됩니다. 예를 들면 물리보안서비스가 정보보호비용으로 인정되므로 이 비용은 당연히 정보기술비용으로도 인정됩니다. 그리고 인건비 산정에서도 정보보호 인력의 인건비는 정보기술 인력의 인건비에 포함됩니다. 인력 산정 또한 마찬가지로 정보보호 인력은 정보기술 인력에 포함됩니다.
* '''보안 전문업체로서 당사가 판매하고 있는 보안제품이나 서비스를 이용하는 경우, 이를 정보보호 투자액으로 산정할 수 있나요?'''
** 비용원장이나 자산대장에 해당 제품이나 서비스 비용이 표시되어 있는 경우에는 인정됩니다. 그러나 표시되지 않는다면 정보보호 투자로 인정할 수 없습니다. 개발비 또한 자산대장이나 비용원장에 표시된다면 정보보호 투자로 인정됩니다. 단, 판매를 위한 생산비용, 용역계약에 의해 개발한 비용 등은 투자액으로 산정 불가능 합니다.
* '''라우터를 네트워크 접근 통제(방화벽처럼 활용) 전용으로 활용하고 있습니다. 정보보호 전용제품으로 인정받을 수 있나요?'''
** 라우터의 본래의 기능은 정보보호 전용제품으로 볼 수 없기 때문에 정보보호 투자비용으로 인정하고 있지 않습니다.
* '''회사 지원으로 정보보안 관련 자격증을 취득하여 정보보안 업무에 투입한 직원들도 정보보호부문 인력으로 산정할 수 있나요?'''
** 정보보호부문 인력 대상은 자격증 취득 유무와는 상관없습니다. 대상기업의 정보처리 시스템에 대하여 정보기술 또는 정보보호 관련 업무를 전담하는데 투입되었다면 정보기술/정보보호부문 인력으로 산정합니다.
** 그러나 대상기업의 정보시스템이 아닌 외주 용역에 의한 인력 파견으로 타 기업의 정보시스템을 위한 정보기술/보호 업무를 수행하고 있다면 대상기업의 정보기술/보호업무를 전담한다고 볼 수 없어 정보기술/보호부문 인력으로 산정할 수 없습니다. 다만 자격증 취득을 위한 회사의 지원에 대해서는 정보보호를 위한 활동으로 명기할 수 있습니다.
* '''보안담당자가 전산실이 아닌 타 부서에 배치되어 있을 경우에도 정보보호부문 인력으로 포함될 수 있나요?'''
** 보안(정보보호) 업무를 명백하게 전담하고 있다면 소속된 부서 명칭은 상관없습니다. 다만 향후 사후검증에서 이를 입증하려면 대표자나 그에 상응하는 임원 (CISO 또는 CPO)의 서명이 있는 직무기술서를 준비하면 됩니다.
* '''국내에 한정하여 정보보호 투자나 인력을 산정하기 어려운 경우, 어떻게 내용을 작성할 수 있나요?'''
** 재무제표, 자산대장 및 비용원장 등을 활용하여 정보기술/정보보호부문 투자 산정이 가능합니다. 인력 또한 국내 지사를 지원하는 인력에 대하여도 내부 산정 비율을 인정하여 산정이 가능합니다.
** 다만 해당 인력이 정보기술 또는 정보보호 업무를 전담하여야 하고, 단지 국내지사와 국외지사를 동시 지원하는 경우 회사 내부에서 산정하고 있는 지원 비율을 인정하여 산정할 수 있습니다.
** 일부 기업의 경우 글로벌 차원에서 정보보호 체계를 구축 및 운영 중에 있어 기업이 국내에 한정된 정보를 취합하는 것이 어려운 경우 정보보호 투자, 인력 수치를 작성하지 않아도 무방하나, ‘특기사항’ 항목을 통해 정보보호에 대한 기업의 노력을 작성해야 합니다.
* '''정보시스템을 외부 데이터센터에 위탁하여 운영하는 경우, 외주 인력들은 정보기술/보호 부문 인력 으로 포함할 수 있나요?'''
** 정보처리 시스템을 외부 데이터센터에 두고 있을 경우, 해당 정보처리 시스템을 관리하는 인력 (외주인력)도 대상기업의 정보시스템만 전담한다면 정보기술부문 인력으로 포함시킬 수 있습니다. 또한 보안담당은 정보보호부문 인력으로도 포함 가능합니다.
** 다만 대상 인력이 타 기업의 시스템도 공동으로 관리할 경우는 정보보호 현황 인력에 투입공수를 산정하여 대상기업을 위한 투입공수만을 포함시킬 수 있습니다. 이를 입증하기 위하여 위탁계약서 (계약서상에 업무별로 투입공수가 명시되어 있을 경우) 등을 준비하면 됩니다.
* '''당사는 정보기술 인력과 정보보호 인력을 일정 기간 고객사에 파견하고 있습니다. 예를 들어, 3-5월까지 정보보호 인력을 외주용역으로 파견했다면 나머지 기간은 당사의 정보보호 인력으로 인정받을 수 있을까요?'''
** 정보처리의 정보보호 인력으로 활용되다가 외주용역으로 활용되었다면 외주용역으로 활용된 기간을 제외한 기간은 정보보호 인원수로 인정될 수 있으며 연평균 인원수로 계산됩니다. 물론 그 해당기간의 인건비는 정보보호 투자액으로 인정받을 수 있습니다.
* '''정보기술부문 업무를 수행하는 인력이 타 업무(영업, 마케팅 등)를 겸임하고 있습니다. 주요 업무가 정보기술부문 업무라면(직무 기술서 상 정보기술부문 업무 비중이 90% 이상을 차지) 정보기술부문 인력에 포함되나요?'''
** 정보기술부문 전담조직에 소속된 인원 또는 정보기술부분 업무를 전담(100%)하고 있는 인력에 대해서만 정보기술부문 인력으로 인정합니다. 위와 같은 경우에는 정보기술부문 인력에 포함되지 않습니다.
* '''우수정보보호 제품, 정보보호제품 성능평가 등도 정보보호 관련 인증, 평가, 점검 등에 관한 사항에 포함되나요?'''
** 우수정보보호 제품, 정보보호제품 성능평가 등은 기업에서 생산하는 제품 및 서비스 등에 대한 인증이기 때문에 이를 기업 전체의 정보보호 관련 인증, 평가, 점검으로 보기에는 한계가 있습니다.
** 따라서, 제품 및 서비스에 대한 평가·인증은 정보보호 관련 인증, 평가, 점검 등에 관한 사항에 포함되지 않지만, 우수정보보호 제품, 정보보호제품 성능평가 제품을 개발 및 구매한 비용은 정보보호부문 투자 비용으로 인정됩니다.
* '''디자이너 인력은 정보기술부문 인력인가요?'''
** IT 기획·개발·운영·정보보호 등 정보기술 전담조직을 운영하는 경우에는 해당 부서 전체 인력을 정보기술부문 인력으로 산정합니다.
** 따라서, 제품팀, 개발팀 등 정보기술부문 조직에서 기획자, 개발자들과 함께 일하는 디자이너 직군은 정보기술부문 인력으로 분류합니다.
* '''의무대상 기준 中 이용자 수 100만은 어떻게 산정하나요?'''
** 이용자수에 대한 의무대상 기준은 전년도 말 기준 직전 3개월간의 정보통신서비스 일일 평균 이용자 수 100만 명 이상입니다. 여러 가지 정보통신서비스(홈페이지 및 어플 등)를 제공할 경우에는 해당 서비스의 이용자 수를 모두 합하여 계산합니다. 산정 기준은 전년도 10월~12월의 순방문자수(UV)의 일일 평균입니다.
* '''의무대상 여부는 어떻게 알 수 있나요?'''
** 매년 3월 첫째 주에 의무대상에 해당하는 기업리스트를 한국인터넷진흥원 대표 홈페이지 공지사항 등에 게시할 예정입니다. 해당 리스트를 확인하시면 됩니다.
** 확인 후, 의무대상에 해당하지 않는다고 생각하시는 기업은 의무 제외에 대한 소명자료를 3월 31일까지 정보보호 공시 담당자 메일로 제출해주시면 됩니다.

== 참고 문헌 ==

* 정보보호 공시 가이드라인(2021.12.)

== 각주 ==