최신판 |
당신의 편집 |
197번째 줄: |
197번째 줄: |
| * 개인정보보호 및 보안 수칙 홍보 | | * 개인정보보호 및 보안 수칙 홍보 |
| |} | | |} |
|
| |
| == 자주 묻는 질문 ==
| |
|
| |
| * '''정보보호 공시는 언제까지 해야 하나요?'''
| |
| ** 정보보호산업의 진흥에 관한 법률(이하 ‘정보보호산업법’) 시행령 제8조제6항에 따라 매년 6월 30일까지 과학기술정보통신부장관이 운영하는 전자공시시스템(ISDS)에 정보보호 현황을 제출해야 합니다.
| |
| ** 정보보호 현황은 공시년도의 직전년도(공시대상연도)에 해당하는 회계 및 인증 내용을 바탕으로 작성하며, 매년 정기적으로 공시를 이행하고 이용자, 투자자 보호를 목적으로 신속하게 정보를 전달하기 위해 신속하게 이행하는 것이 바람직합니다.
| |
| * '''모든 기업은 반드시 공시를 해야 하나요?'''
| |
| ** 정보보호산업법 시행령 제8조제1항의 기준을 충족하는 기업은 의무공시 대상으로 반드시 정보보호 공시를 해야 합니다.
| |
| ** 의무공시 대상이 아니더라도 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자라면 누구나 자율적으로 정보보호 공시를 할 수 있습니다. 자율적으로 정보보호 현황 공시 이행한 기업은 정보보호 관리체계(ISMS) 인증수수료 30% 할인 혜택을 받을 수 있습니다.
| |
| * '''글로벌 기업의 경우 공시 주체는 누구인가요?'''
| |
| ** 글로벌 기업 본사 또는 국내 법인 중 국내 서비스의 제공 주체가 누구인지 판단하여 정보보호 공시 의무대상이 결정됩니다. 의무공시 대상이 아닌 글로벌 기업도 자율적으로 정보보호 공시를 할 수 있습니다.
| |
| * '''ISDS와 KIND 두 곳에 같이 공시를 해야 하나요?'''
| |
| ** 정보보호 공시는 과학기술정보통신부장관이 운영하는 전자공시시스템(이하 ‘ISDS’)에 하는 것이 원칙입니다.
| |
| ** 다만, 자율적으로 정보보호 공시를 하는 자가 유가증권·코스닥·코넥스시장 상장법인일 경우에는 ISDS 및 한국거래소 상장공시시스템(KIND)에 각각 공시 가능하며, 원하는 곳 한곳에만 공시도 가능합니다.
| |
| * '''정보보호 현황을 허위로 공시할 경우 어떤 불이익을 받나요?'''
| |
| ** 정보보호 공시자의 고의 또는 과실로 허위 사실을 공시할 경우, 불성실 공시로 판단하여 「정보보호 산업의 진흥에 관한 법률」 제13조제3항에 따른 정보보호 관리체계인증(ISMS) 수수료 감면 금액의 환수 조치 등 불이익 조치를 취할 수 있습니다.
| |
| ** 또한 KIND에 자율공시한 경우, 한국거래소 공시 규정에 따라 공시위반 제재조치를 받을 수 있습니다.
| |
| * '''투자액 산정을 위한 감가상각 적용 시, 내용연수에 대한 기준이 있나요?'''
| |
| ** 내용연수에 대한 기준은 기업의 사규에 있는 기준을 적용하시면 됩니다. 또한 자산에 대한 감가상각 적용은 유·무형의 자산 모두를 포함합니다.
| |
| * '''사무실에서 사용하는 PC나 네트워크, 스위치 같은 자산도 정보기술 관련 자산에 포함되나요?'''
| |
| ** 공시 기관의 정보처리 시스템을 이용하거나 관리하기 위한 모든 IT 자산 및 비용은 정보기술부문자산/ 비용에 포함된다고 할 수 있습니다. 즉 사무실 출입을 위한 출입관리시스템이나 사무실 내외의 보안을 위한 영상정보처리 시스템(CCTV)도 정보기술/정보보호 부문투자로 볼 수 있습니다. 그리고 보안문서를 별도의 통제된 공간, 즉 문서고를 조성하고 여기에 CCTV, 출입통제 시스템, 문서 반출입관리 시스템 등을 운영하면 이 시스템은 정보기술/정보보호부문 투자로 인정할 수 있습니다.
| |
| ** (참고로, 통신사 또는 전국에 지사를 보유한 기업들의 경우는 전산실에 설치된 출입관리시스템과 CCTV만 정보보호 투자로 인정)
| |
| * '''정보처리 시스템을 외부 데이터센터에 위탁하여 운영하는 경우는 어떻게 투자비용을 구분하나요?'''
| |
| ** 정보처리 시스템을 외부 데이터센터에 두고 있을 경우 지불하는 비용을 정보기술 투자액으로 산정 하면 됩니다. 이중 보안에 관련된 비용이 명확히 구분된다면 보안 관련 비용 부분을 정보보호부문 투자액으로도 산정할 수 있습니다.
| |
| ** 보안관련 비용을 구분할 수 없더라도, 데이터센터를 서비스하는 기업이 정보보호 현황을 공시한 경우에는 그 기업의 정보보호부문에 대한 투자비율 만큼 전체 지불비용에서 정보보호 투자액으로 간주하여 산정할 수 있습니다.
| |
| * '''정보보호부문 관련 비용은 정보기술 관련 비용에 포함되나요?'''
| |
| ** 정보보호 비용은 모두 정보기술 비용에 포함됩니다. 예를 들면 물리보안서비스가 정보보호비용으로 인정되므로 이 비용은 당연히 정보기술비용으로도 인정됩니다. 그리고 인건비 산정에서도 정보보호 인력의 인건비는 정보기술 인력의 인건비에 포함됩니다. 인력 산정 또한 마찬가지로 정보보호 인력은 정보기술 인력에 포함됩니다.
| |
| * '''보안 전문업체로서 당사가 판매하고 있는 보안제품이나 서비스를 이용하는 경우, 이를 정보보호 투자액으로 산정할 수 있나요?'''
| |
| ** 비용원장이나 자산대장에 해당 제품이나 서비스 비용이 표시되어 있는 경우에는 인정됩니다. 그러나 표시되지 않는다면 정보보호 투자로 인정할 수 없습니다. 개발비 또한 자산대장이나 비용원장에 표시된다면 정보보호 투자로 인정됩니다. 단, 판매를 위한 생산비용, 용역계약에 의해 개발한 비용 등은 투자액으로 산정 불가능 합니다.
| |
| * '''라우터를 네트워크 접근 통제(방화벽처럼 활용) 전용으로 활용하고 있습니다. 정보보호 전용제품으로 인정받을 수 있나요?'''
| |
| ** 라우터의 본래의 기능은 정보보호 전용제품으로 볼 수 없기 때문에 정보보호 투자비용으로 인정하고 있지 않습니다.
| |
| * '''회사 지원으로 정보보안 관련 자격증을 취득하여 정보보안 업무에 투입한 직원들도 정보보호부문 인력으로 산정할 수 있나요?'''
| |
| ** 정보보호부문 인력 대상은 자격증 취득 유무와는 상관없습니다. 대상기업의 정보처리 시스템에 대하여 정보기술 또는 정보보호 관련 업무를 전담하는데 투입되었다면 정보기술/정보보호부문 인력으로 산정합니다.
| |
| ** 그러나 대상기업의 정보시스템이 아닌 외주 용역에 의한 인력 파견으로 타 기업의 정보시스템을 위한 정보기술/보호 업무를 수행하고 있다면 대상기업의 정보기술/보호업무를 전담한다고 볼 수 없어 정보기술/보호부문 인력으로 산정할 수 없습니다. 다만 자격증 취득을 위한 회사의 지원에 대해서는 정보보호를 위한 활동으로 명기할 수 있습니다.
| |
| * '''보안담당자가 전산실이 아닌 타 부서에 배치되어 있을 경우에도 정보보호부문 인력으로 포함될 수 있나요?'''
| |
| ** 보안(정보보호) 업무를 명백하게 전담하고 있다면 소속된 부서 명칭은 상관없습니다. 다만 향후 사후검증에서 이를 입증하려면 대표자나 그에 상응하는 임원 (CISO 또는 CPO)의 서명이 있는 직무기술서를 준비하면 됩니다.
| |
| * '''국내에 한정하여 정보보호 투자나 인력을 산정하기 어려운 경우, 어떻게 내용을 작성할 수 있나요?'''
| |
| ** 재무제표, 자산대장 및 비용원장 등을 활용하여 정보기술/정보보호부문 투자 산정이 가능합니다. 인력 또한 국내 지사를 지원하는 인력에 대하여도 내부 산정 비율을 인정하여 산정이 가능합니다.
| |
| ** 다만 해당 인력이 정보기술 또는 정보보호 업무를 전담하여야 하고, 단지 국내지사와 국외지사를 동시 지원하는 경우 회사 내부에서 산정하고 있는 지원 비율을 인정하여 산정할 수 있습니다.
| |
| ** 일부 기업의 경우 글로벌 차원에서 정보보호 체계를 구축 및 운영 중에 있어 기업이 국내에 한정된 정보를 취합하는 것이 어려운 경우 정보보호 투자, 인력 수치를 작성하지 않아도 무방하나, ‘특기사항’ 항목을 통해 정보보호에 대한 기업의 노력을 작성해야 합니다.
| |
| * '''정보시스템을 외부 데이터센터에 위탁하여 운영하는 경우, 외주 인력들은 정보기술/보호 부문 인력 으로 포함할 수 있나요?'''
| |
| ** 정보처리 시스템을 외부 데이터센터에 두고 있을 경우, 해당 정보처리 시스템을 관리하는 인력 (외주인력)도 대상기업의 정보시스템만 전담한다면 정보기술부문 인력으로 포함시킬 수 있습니다. 또한 보안담당은 정보보호부문 인력으로도 포함 가능합니다.
| |
| ** 다만 대상 인력이 타 기업의 시스템도 공동으로 관리할 경우는 정보보호 현황 인력에 투입공수를 산정하여 대상기업을 위한 투입공수만을 포함시킬 수 있습니다. 이를 입증하기 위하여 위탁계약서 (계약서상에 업무별로 투입공수가 명시되어 있을 경우) 등을 준비하면 됩니다.
| |
| * '''당사는 정보기술 인력과 정보보호 인력을 일정 기간 고객사에 파견하고 있습니다. 예를 들어, 3-5월까지 정보보호 인력을 외주용역으로 파견했다면 나머지 기간은 당사의 정보보호 인력으로 인정받을 수 있을까요?'''
| |
| ** 정보처리의 정보보호 인력으로 활용되다가 외주용역으로 활용되었다면 외주용역으로 활용된 기간을 제외한 기간은 정보보호 인원수로 인정될 수 있으며 연평균 인원수로 계산됩니다. 물론 그 해당기간의 인건비는 정보보호 투자액으로 인정받을 수 있습니다.
| |
| * '''정보기술부문 업무를 수행하는 인력이 타 업무(영업, 마케팅 등)를 겸임하고 있습니다. 주요 업무가 정보기술부문 업무라면(직무 기술서 상 정보기술부문 업무 비중이 90% 이상을 차지) 정보기술부문 인력에 포함되나요?'''
| |
| ** 정보기술부문 전담조직에 소속된 인원 또는 정보기술부분 업무를 전담(100%)하고 있는 인력에 대해서만 정보기술부문 인력으로 인정합니다. 위와 같은 경우에는 정보기술부문 인력에 포함되지 않습니다.
| |
| * '''우수정보보호 제품, 정보보호제품 성능평가 등도 정보보호 관련 인증, 평가, 점검 등에 관한 사항에 포함되나요?'''
| |
| ** 우수정보보호 제품, 정보보호제품 성능평가 등은 기업에서 생산하는 제품 및 서비스 등에 대한 인증이기 때문에 이를 기업 전체의 정보보호 관련 인증, 평가, 점검으로 보기에는 한계가 있습니다.
| |
| ** 따라서, 제품 및 서비스에 대한 평가·인증은 정보보호 관련 인증, 평가, 점검 등에 관한 사항에 포함되지 않지만, 우수정보보호 제품, 정보보호제품 성능평가 제품을 개발 및 구매한 비용은 정보보호부문 투자 비용으로 인정됩니다.
| |
| * '''디자이너 인력은 정보기술부문 인력인가요?'''
| |
| ** IT 기획·개발·운영·정보보호 등 정보기술 전담조직을 운영하는 경우에는 해당 부서 전체 인력을 정보기술부문 인력으로 산정합니다.
| |
| ** 따라서, 제품팀, 개발팀 등 정보기술부문 조직에서 기획자, 개발자들과 함께 일하는 디자이너 직군은 정보기술부문 인력으로 분류합니다.
| |
| * '''의무대상 기준 中 이용자 수 100만은 어떻게 산정하나요?'''
| |
| ** 이용자수에 대한 의무대상 기준은 전년도 말 기준 직전 3개월간의 정보통신서비스 일일 평균 이용자 수 100만 명 이상입니다. 여러 가지 정보통신서비스(홈페이지 및 어플 등)를 제공할 경우에는 해당 서비스의 이용자 수를 모두 합하여 계산합니다. 산정 기준은 전년도 10월~12월의 순방문자수(UV)의 일일 평균입니다.
| |
| * '''의무대상 여부는 어떻게 알 수 있나요?'''
| |
| ** 매년 3월 첫째 주에 의무대상에 해당하는 기업리스트를 한국인터넷진흥원 대표 홈페이지 공지사항 등에 게시할 예정입니다. 해당 리스트를 확인하시면 됩니다.
| |
| ** 확인 후, 의무대상에 해당하지 않는다고 생각하시는 기업은 의무 제외에 대한 소명자료를 3월 31일까지 정보보호 공시 담당자 메일로 제출해주시면 됩니다.
| |
|
| |
| == 참고 문헌 ==
| |
|
| |
| * 정보보호 공시 가이드라인(2021.12.)
| |
|
| |
| == 각주 ==
| |