ISMS-P 인증 대상: Difference between revisions

From IT Wiki
(새 문서: == 요약 == '''의무 대상자'''는 ISMS 인증을 필수적으로 받아야 한다. ISMS-P를 받은 경우에도 ISMS를 받은 것으로 (당연)인정해 준다. * '''의무...)
 
No edit summary
 
Line 1: Line 1:
== 요약 ==
==요약==
'''의무 대상자'''는 ISMS 인증을 필수적으로 받아야 한다. ISMS-P를 받은 경우에도 ISMS를 받은 것으로 (당연)인정해 준다.
'''의무 대상자'''는 ISMS 인증을 필수적으로 받아야 한다. ISMS-P를 받은 경우에도 ISMS를 받은 것으로 (당연)인정해 준다.


* '''의무 대상자'''
*'''의무 대상자'''


{| class="wikitable"
{| class="wikitable"
!구분
!의무대상자
!의무대상자
!비고
!비고
|-
|-
|①
|「전기통신사업법」제6조제1항에 따른 등록을 한 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자
|「전기통신사업법」제6조제1항에 따른 등록을 한 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자
|ISP
|'''ISP'''
|-
|-
|②
|「정보통신망법」제46조에 따른 집적정보통신시설 사업자
|「정보통신망법」제46조에 따른 집적정보통신시설 사업자
|IDC
|'''IDC'''
|-
|-
|③
|연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우  
|연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우  


* 「의료법」제3조의4에 따른 상급종합볍원  
*「의료법」제3조의4에 따른 상급종합볍원
* 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인「고등교육법」제2조에 따른 학교
*직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인「고등교육법」제2조에 따른 학교
|병원, 학교
|
* '''대형병원'''
* '''대학교'''
|-
|-
|④
|정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자
|정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자
|[[정보통신서비스 제공자|정보통신서비스제공자]]
|[[정보통신서비스 제공자|'''정보통신서비스제공자''']]
|-
|-
|⑤
|전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자
|전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자
|[[정보통신서비스 제공자|정보통신서비스제공자]]
|[[정보통신서비스 제공자|'''정보통신서비스제공자''']]
|}
|}


* '''임의 신청자'''
*아래의 경우 ④의 기준으로 본다. 즉 매출이 100억 이상인 경우만 해당된다.
** 의무 대상자가 아니라도 기업·기관에선 자율적으로 ISMS든 ISMS-P든 신청해서 인증받을 수 있다.
**①에서 서울특별시 및 광역시가 아닌 곳에서 정보통신망서비스를 제공하는 자
**직접정보통신시설 사업자가 아닌, 이들의 시설을 빌려서 서비스하는 VIDC


== 임의 신청자 ==
==임의 신청자==
ISMS-P를 구축·운영하여 적합성 여부를 판단하고자 하는 모든 개인정보처리자(공공기관, 민간기업, 법인, 단체 및 개인)와 정보통신서비스제공자는 자율적으로 인증을 신청할 수 있다.  
ISMS-P를 구축·운영하여 적합성 여부를 판단하고자 하는 모든 개인정보처리자(공공기관, 민간기업, 법인, 단체 및 개인)와 정보통신서비스제공자는 자율적으로 인증을 신청할 수 있다.  


* 임의신청자의 경우 인증범위를 신청기관이 정하여 신청할 수 있으며, 심사기준 및 심사절차는 의무대상자와 동일하다.
*임의신청자의 경우 인증범위를 신청기관이 정하여 신청할 수 있으며, 심사기준 및 심사절차는 의무대상자와 동일하다.


== 의무 대상자 ==
==의무 대상자==
인증 의무대상자는 ①정보통신망서비스를 제공하는 자(ISP) ②집적정보통신시설사업자(IDC) ③연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문의 전년도 매출액이 100억원 이상 또는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자이다.
인증 의무대상자는 ①정보통신망서비스를 제공하는 자(ISP) ②집적정보통신시설사업자(IDC) ③연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문의 전년도 매출액이 100억원 이상 또는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자이다.


* 인증 의무대상자는 ISMS 인증을 받아야 하며 ISMS-P 인증을 받은 경우에도 인증의무를 이행한 것으로 본다.
*인증 의무대상자는 ISMS 인증을 받아야 하며 ISMS-P 인증을 받은 경우에도 인증의무를 이행한 것으로 본다.


의무 대상자 기준<ref>「정보통신망법」제47조 제2항 및 같은 법 시행령 제49조</ref>
의무 대상자 기준<ref>「정보통신망법」제47조 제2항 및 같은 법 시행령 제49조</ref>
Line 58: Line 67:
|연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우
|연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우


* 「의료법」 제3조의4에 따른 상급종합병원
*「의료법」 제3조의4에 따른 상급종합병원
* 직전연도 12월 31일 기준으로 재학생 수가 1만 명 이상인 「고등교육법」 제2조에 따른 학교
*직전연도 12월 31일 기준으로 재학생 수가 1만 명 이상인 「고등교육법」 제2조에 따른 학교
|}
|}


=== 정보통신망서비스를 제공하는 자 ===
===정보통신망서비스를 제공하는 자===
정보통신망서비스를 제공하는 자(ISP)란 「전기통신사업법」 제6조 제1항에 따라 과학기술정보통신부 장관에게 등록을 하고 인터넷 서비스, 인터넷전화 서비스, 이동통신 서비스 등 정보통신망 서비스 제공 지역이 ‘서울특별시 및 모든 광역시’인 사업자를 말한다.
정보통신망서비스를 제공하는 자(ISP)란 「전기통신사업법」 제6조 제1항에 따라 과학기술정보통신부 장관에게 등록을 하고 인터넷 서비스, 인터넷전화 서비스, 이동통신 서비스 등 정보통신망 서비스 제공 지역이 ‘서울특별시 및 모든 광역시’인 사업자를 말한다.
{| class="wikitable"
{| class="wikitable"
Line 69: Line 78:
|'''정보통신망법 제47조(정보보호 관리체계의 인증)''' ② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.  
|'''정보통신망법 제47조(정보보호 관리체계의 인증)''' ② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.  


* 1. 「전기통신사업법」 제6조제1항에 따른 등록을 한 자로서 대통령령으로 정하는 바에 따라 정보통신망 서비스를 제공하는 자  
*1. 「전기통신사업법」 제6조제1항에 따른 등록을 한 자로서 대통령령으로 정하는 바에 따라 정보통신망 서비스를 제공하는 자
|-
|-
|'''정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위)''' ① 법 제47조제2항제1호에서 “대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자”란 서울 특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자를 말한다.
|'''정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위)''' ① 법 제47조제2항제1호에서 “대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자”란 서울 특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자를 말한다.
Line 75: Line 84:
※ 정보통신망서비스 제공자의 경우, 매출액과 이용자 수에 관계없이 인증 의무대상자에 해당함
※ 정보통신망서비스 제공자의 경우, 매출액과 이용자 수에 관계없이 인증 의무대상자에 해당함


* 정보통신망서비스(예시)
*정보통신망서비스(예시)


{| class="wikitable"
{| class="wikitable"
Line 91: Line 100:
|}
|}


=== 집적정보통신시설사업자 ===
===집적정보통신시설사업자===
집적정보통신시설사업자(IDC)란 정보통신망법 제46조 제1항의 규정에 따라 타인의 정보통신 서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자를 말한다.
집적정보통신시설사업자(IDC)란 정보통신망법 제46조 제1항의 규정에 따라 타인의 정보통신 서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자를 말한다.
{| class="wikitable"
{| class="wikitable"
Line 98: Line 107:
|'''제47조(정보보호 관리체계의 인증)''' ② 전기통신사업법 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.  
|'''제47조(정보보호 관리체계의 인증)''' ② 전기통신사업법 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.  


* 2. 집적정보통신시설 사업자
*2. 집적정보통신시설 사업자
 


|}
|}
※ 집적정보통신시설사업자의 경우, 매출액과 이용자 수에 관계없이 인증 의무대상자에 해당함
※ 집적정보통신시설사업자의 경우, 매출액과 이용자 수에 관계없이 인증 의무대상자에 해당함


* 정보통신서비스 제공을 위해 자체적으로 시설을 구축하여 운영하는 자로서, 공간 임대서비스(Colocation) 또는 서버 임대(서버호스팅) 서비스 및 네트워크 서비스 등을 제공하는 사업자를 말한다.  
*정보통신서비스 제공을 위해 자체적으로 시설을 구축하여 운영하는 자로서, 공간 임대서비스(Colocation) 또는 서버 임대(서버호스팅) 서비스 및 네트워크 서비스 등을 제공하는 사업자를 말한다.
* 타인에 의해 구축된 집적정보통신시설의 일부를 임대하여 서비스를 재판매하는 사업자(이하 “VIDC” 이라 한다)의 경우에는 정보통신망법 시행령 제49조 제2항에 따라 연간 매출액 또는 이용자 수 기준을 적용한다.
*타인에 의해 구축된 집적정보통신시설의 일부를 임대하여 서비스를 재판매하는 사업자(이하 “VIDC” 이라 한다)의 경우에는 정보통신망법 시행령 제49조 제2항에 따라 연간 매출액 또는 이용자 수 기준을 적용한다.


{| class="wikitable"
{| class="wikitable"
Line 112: Line 120:
|'''제19조(정보보호 관리체계 인증 의무대상자)''' ① 정보보호 관리체계 인증 의무대상자(이하 "의무대상자"라 한다)란 정보통신망법 제47조제2항, 같은 법 시행령 제49조에 해당하는 자를 말한다.  
|'''제19조(정보보호 관리체계 인증 의무대상자)''' ① 정보보호 관리체계 인증 의무대상자(이하 "의무대상자"라 한다)란 정보통신망법 제47조제2항, 같은 법 시행령 제49조에 해당하는 자를 말한다.  


* ② 제1항에 해당하는 자 중 집적정보통신시설 사업자가 마련한 시설의 일부를 임대하여 집적정보통신시설 사업을 하는 자에 대하여는 정보통신망법 시행령 제49조제2항의 기준을 준용한다.
*② 제1항에 해당하는 자 중 집적정보통신시설 사업자가 마련한 시설의 일부를 임대하여 집적정보통신시설 사업을 하는 자에 대하여는 정보통신망법 시행령 제49조제2항의 기준을 준용한다.
 


|}
|}


* 집적정보통신시설 서비스(예시)
*집적정보통신시설 서비스(예시)


{| class="wikitable"
{| class="wikitable"
Line 135: Line 142:
|}
|}


=== 매출액, 이용자 수 기준 ===
===매출액, 이용자 수 기준===
{| class="wikitable"
{| class="wikitable"
!정보통신망법 및 같은 법 시행령
!정보통신망법 및 같은 법 시행령
Line 141: Line 148:
|'''정보통신망법 제47조(정보보호 관리체계의 인증)''' ② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.  
|'''정보통신망법 제47조(정보보호 관리체계의 인증)''' ② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.  


* 3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자
*3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자
|-
|-
|'''정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위)''' ② 법 제47조제2항제3호에서 "대통령령으로 정하는 기준에 해당하는 자"란 다음 각 호의 어느 하나에 해당 하는 자를 말한다.  
|'''정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위)''' ② 법 제47조제2항제3호에서 "대통령령으로 정하는 기준에 해당하는 자"란 다음 각 호의 어느 하나에 해당 하는 자를 말한다.  


* 1. 연간 매출액 또는 세입이 1,500억원 이상인 자로서 다음 각 목의 어느 하나에 해당하는 자  
*1. 연간 매출액 또는 세입이 1,500억원 이상인 자로서 다음 각 목의 어느 하나에 해당하는 자  
** 가. 「의료법」 제3조의4에 따른 상급종합병원  
**가. 「의료법」 제3조의4에 따른 상급종합병원
** 나. 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교  
**나. 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교
* 2. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다.  
*2. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다.
* 3. 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다.
*3. 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다.
|}
|}
'''전년도 매출액 또는 세입 등이 1,500억원 이상인 자 중 대통령령으로 정하는 기준에 해당하는 자'''
'''전년도 매출액 또는 세입 등이 1,500억원 이상인 자 중 대통령령으로 정하는 기준에 해당하는 자'''


* 전년도 매출액 또는 세입 등이 1,500억원 이상인 자 중 보건복지부장관에 의해 상급종합병원으로 지정된 ‘병원’과 재학생 수가 1만명 이상인 「고등교육법」상의 ‘학교’는 인증의무대상에 포함된다.  
*전년도 매출액 또는 세입 등이 1,500억원 이상인 자 중 보건복지부장관에 의해 상급종합병원으로 지정된 ‘병원’과 재학생 수가 1만명 이상인 「고등교육법」상의 ‘학교’는 인증의무대상에 포함된다.  
** '상급종합병원'은 매 3년마다 평가를 실시하여 재지정 하거나 지정이 최소 될 수 있다.  
**'상급종합병원'은 매 3년마다 평가를 실시하여 재지정 하거나 지정이 최소 될 수 있다.
** 「고등교육법」상 '학교'의 종류에는 대학, 산업대학, 교육대학, 전문대학, 방송통신대학, 기술대학 등이 해당될 수 있다.
**「고등교육법」상 '학교'의 종류에는 대학, 산업대학, 교육대학, 전문대학, 방송통신대학, 기술대학 등이 해당될 수 있다.




'''정보통신서비스 부문 전년도 매출액 100억원 이상인 자'''
'''정보통신서비스 부문 전년도 매출액 100억원 이상인 자'''


* 정보통신서비스 부문 매출액은 정보통신서비스 제공을 통해 발생하는 연간 총 매출액의 합으로 산정 하며, 여러 가지 정보통신서비스를 제공할 경우에는 해당 서비스의 매출액을 모두 합하여 계산한다.  
*정보통신서비스 부문 매출액은 정보통신서비스 제공을 통해 발생하는 연간 총 매출액의 합으로 산정 하며, 여러 가지 정보통신서비스를 제공할 경우에는 해당 서비스의 매출액을 모두 합하여 계산한다.  
** 매출액은 국세청 등에 신고된 금액 또는 내부적으로 결산자료 등을 마련하여 공인회계사 등의 검증을 거친 객관적 자료를 이용 하며, 이러한 자료가 없으면 내부 회계자료에 대해 대표이사의 승인을 거친 자료를 이용
**매출액은 국세청 등에 신고된 금액 또는 내부적으로 결산자료 등을 마련하여 공인회계사 등의 검증을 거친 객관적 자료를 이용 하며, 이러한 자료가 없으면 내부 회계자료에 대해 대표이사의 승인을 거친 자료를 이용
* 주요 정보통신서비스 매출액 구분(예시)
*주요 정보통신서비스 매출액 구분(예시)
** 정보통신서비스 온라인 판매, 광고, 콘텐츠 이용 등으로 발생한 매출액과 부가수익, 수수료, 세금 등을 포함한 총 합계액
**정보통신서비스 온라인 판매, 광고, 콘텐츠 이용 등으로 발생한 매출액과 부가수익, 수수료, 세금 등을 포함한 총 합계액
** 정보통신서비스 제공을 통해 직·간접으로 발생하는 연간 국내·외 매출액
**정보통신서비스 제공을 통해 직·간접으로 발생하는 연간 국내·외 매출액


{| class="wikitable"
{| class="wikitable"
Line 216: Line 223:
|}
|}


* 쇼핑몰 유형 별 매출 구분(예시)
*쇼핑몰 유형 별 매출 구분(예시)


{| class="wikitable"
{| class="wikitable"
Line 242: Line 249:
'''전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상'''
'''전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상'''


* 일일평균 이용자 수는 일정 기간 동안의 정보통신서비스제공자의 홈페이지 방문자 수 등을 일평균 으로 환산한 이용자 수를 말하며, 여러 가지 정보통신서비스를 제공할 경우에는 해당 서비스의 이용자 수를 모두 합하여 계산한다.  
*일일평균 이용자 수는 일정 기간 동안의 정보통신서비스제공자의 홈페이지 방문자 수 등을 일평균 으로 환산한 이용자 수를 말하며, 여러 가지 정보통신서비스를 제공할 경우에는 해당 서비스의 이용자 수를 모두 합하여 계산한다.  
** 자체적 또는 공식적으로 이용자 수 확인이 어려운 경우, 민간 통계기관 등의 데이터 활용
**자체적 또는 공식적으로 이용자 수 확인이 어려운 경우, 민간 통계기관 등의 데이터 활용


== 인증 의무 대상자 유의사항 ==
==인증 의무 대상자 유의사항==


* 인증 의무대상자 중 정보통신망서비스제공자와 집적정보통신시설 사업자는 매출액 및 이용자 수와 관계없이 인증 의무대상자에 해당된다.
*인증 의무대상자 중 정보통신망서비스제공자와 집적정보통신시설 사업자는 매출액 및 이용자 수와 관계없이 인증 의무대상자에 해당된다.
** 집적정보통신시설의 일부를 임대하여 서비스를 재판매하는 사업자(VIDC)는 매출액 및 이용자 수 기준을 따르게 된다.  
**집적정보통신시설의 일부를 임대하여 서비스를 재판매하는 사업자(VIDC)는 매출액 및 이용자 수 기준을 따르게 된다.
* 인증 의무대상자 기준 중에서 정보통신망법 제47조제2항의 어느 한 가지 이상의 기준에 해당할 경우, 인증 의무대상자가 된다.  
*인증 의무대상자 기준 중에서 정보통신망법 제47조제2항의 어느 한 가지 이상의 기준에 해당할 경우, 인증 의무대상자가 된다.
* 인증 의무대상자는 스스로 법에서 정한 인증 의무대상자 기준에 해당하는지 여부를 확인하여 인증을 받아야 하며, 만약 의무대상자임에도 불구하고 인증을 취득하지 않은 사실이 확인되는 경우 과태료 부과 대상이 될 수 있다.  
*인증 의무대상자는 스스로 법에서 정한 인증 의무대상자 기준에 해당하는지 여부를 확인하여 인증을 받아야 하며, 만약 의무대상자임에도 불구하고 인증을 취득하지 않은 사실이 확인되는 경우 과태료 부과 대상이 될 수 있다.
* 관리체계 구축 및 운영에 필요한 소요기간을 확인하여 인증심사에 차질이 없도록 준비해야 한다.
*관리체계 구축 및 운영에 필요한 소요기간을 확인하여 인증심사에 차질이 없도록 준비해야 한다.
** 준비부터 인증취득까지는 약 6개월 이상이 소요되고, 인증 신청을 위해서는 최소 2개월 이상의 운영 기간이 필요하다.
**준비부터 인증취득까지는 약 6개월 이상이 소요되고, 인증 신청을 위해서는 최소 2개월 이상의 운영 기간이 필요하다.


인증 절차 및 소요기간(예시)
인증 절차 및 소요기간(예시)
Line 283: Line 290:
|인증위원회 심의·의결 후 2주 이내
|인증위원회 심의·의결 후 2주 이내
|}
|}
<references />

Latest revision as of 00:57, 26 June 2022

요약[edit | edit source]

의무 대상자는 ISMS 인증을 필수적으로 받아야 한다. ISMS-P를 받은 경우에도 ISMS를 받은 것으로 (당연)인정해 준다.

  • 의무 대상자
구분 의무대상자 비고
「전기통신사업법」제6조제1항에 따른 등록을 한 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 ISP
「정보통신망법」제46조에 따른 집적정보통신시설 사업자 IDC
연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우
  • 「의료법」제3조의4에 따른 상급종합볍원
  • 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인「고등교육법」제2조에 따른 학교
  • 대형병원
  • 대학교
정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자 정보통신서비스제공자
전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자 정보통신서비스제공자
  • 아래의 경우 ④의 기준으로 본다. 즉 매출이 100억 이상인 경우만 해당된다.
    • ①에서 서울특별시 및 광역시가 아닌 곳에서 정보통신망서비스를 제공하는 자
    • 직접정보통신시설 사업자가 아닌, 이들의 시설을 빌려서 서비스하는 VIDC

임의 신청자[edit | edit source]

ISMS-P를 구축·운영하여 적합성 여부를 판단하고자 하는 모든 개인정보처리자(공공기관, 민간기업, 법인, 단체 및 개인)와 정보통신서비스제공자는 자율적으로 인증을 신청할 수 있다.

  • 임의신청자의 경우 인증범위를 신청기관이 정하여 신청할 수 있으며, 심사기준 및 심사절차는 의무대상자와 동일하다.

의무 대상자[edit | edit source]

인증 의무대상자는 ①정보통신망서비스를 제공하는 자(ISP) ②집적정보통신시설사업자(IDC) ③연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문의 전년도 매출액이 100억원 이상 또는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자이다.

  • 인증 의무대상자는 ISMS 인증을 받아야 하며 ISMS-P 인증을 받은 경우에도 인증의무를 이행한 것으로 본다.

의무 대상자 기준[1]

구분 의무 대상자 기준
정보통신망서비스 제공자(ISP) 「전기통신사업법」 제6조 제1항에 따른 등록을 한 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자
집적정보통신시설 사업자(IDC) 정보통신망법 제46조에 따른 집적정보통신시설 사업자
매출액 또는 이용자수 요건에 따른 대상자 정보통신서비스 부문 전년도 매출액이 100억원 이상인 자
전년도 말 기준 직전 3개월간의 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자
연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우
  • 「의료법」 제3조의4에 따른 상급종합병원
  • 직전연도 12월 31일 기준으로 재학생 수가 1만 명 이상인 「고등교육법」 제2조에 따른 학교

정보통신망서비스를 제공하는 자[edit | edit source]

정보통신망서비스를 제공하는 자(ISP)란 「전기통신사업법」 제6조 제1항에 따라 과학기술정보통신부 장관에게 등록을 하고 인터넷 서비스, 인터넷전화 서비스, 이동통신 서비스 등 정보통신망 서비스 제공 지역이 ‘서울특별시 및 모든 광역시’인 사업자를 말한다.

정보통신망법 및 같은 법 시행령
정보통신망법 제47조(정보보호 관리체계의 인증) ② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.
  • 1. 「전기통신사업법」 제6조제1항에 따른 등록을 한 자로서 대통령령으로 정하는 바에 따라 정보통신망 서비스를 제공하는 자
정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위) ① 법 제47조제2항제1호에서 “대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자”란 서울 특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자를 말한다.

※ 정보통신망서비스 제공자의 경우, 매출액과 이용자 수에 관계없이 인증 의무대상자에 해당함

  • 정보통신망서비스(예시)
구분 서비스 세부 서비스
정보통신망서비스 제공자(ISP)[2] 기간통신서비스 인터넷 접속 서비스(초고속망 서비스)
인터넷전화 서비스(VoIP)
이동통신 서비스(셀룰라, PCS, 3G, 4G/LTE, 5G)

집적정보통신시설사업자[edit | edit source]

집적정보통신시설사업자(IDC)란 정보통신망법 제46조 제1항의 규정에 따라 타인의 정보통신 서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자를 말한다.

정보통신망법
제47조(정보보호 관리체계의 인증) ② 전기통신사업법 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.
  • 2. 집적정보통신시설 사업자

※ 집적정보통신시설사업자의 경우, 매출액과 이용자 수에 관계없이 인증 의무대상자에 해당함

  • 정보통신서비스 제공을 위해 자체적으로 시설을 구축하여 운영하는 자로서, 공간 임대서비스(Colocation) 또는 서버 임대(서버호스팅) 서비스 및 네트워크 서비스 등을 제공하는 사업자를 말한다.
  • 타인에 의해 구축된 집적정보통신시설의 일부를 임대하여 서비스를 재판매하는 사업자(이하 “VIDC” 이라 한다)의 경우에는 정보통신망법 시행령 제49조 제2항에 따라 연간 매출액 또는 이용자 수 기준을 적용한다.
고시
제19조(정보보호 관리체계 인증 의무대상자) ① 정보보호 관리체계 인증 의무대상자(이하 "의무대상자"라 한다)란 정보통신망법 제47조제2항, 같은 법 시행령 제49조에 해당하는 자를 말한다.
  • ② 제1항에 해당하는 자 중 집적정보통신시설 사업자가 마련한 시설의 일부를 임대하여 집적정보통신시설 사업을 하는 자에 대하여는 정보통신망법 시행령 제49조제2항의 기준을 준용한다.
  • 집적정보통신시설 서비스(예시)
구분 서비스 세부 서비스
집적정보통신시설사업자 (IDC) 부가통신서비스 서버 호스팅
스토리지 호스팅
코로케이션(Co-location)
네트워크 제공 서비스(회선 임대 포함), 보안관리 서비스, 도메인관리 서비스

매출액, 이용자 수 기준[edit | edit source]

정보통신망법 및 같은 법 시행령
정보통신망법 제47조(정보보호 관리체계의 인증) ② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.
  • 3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자
정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위) ② 법 제47조제2항제3호에서 "대통령령으로 정하는 기준에 해당하는 자"란 다음 각 호의 어느 하나에 해당 하는 자를 말한다.
  • 1. 연간 매출액 또는 세입이 1,500억원 이상인 자로서 다음 각 목의 어느 하나에 해당하는 자
    • 가. 「의료법」 제3조의4에 따른 상급종합병원
    • 나. 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교
  • 2. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다.
  • 3. 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다.

전년도 매출액 또는 세입 등이 1,500억원 이상인 자 중 대통령령으로 정하는 기준에 해당하는 자

  • 전년도 매출액 또는 세입 등이 1,500억원 이상인 자 중 보건복지부장관에 의해 상급종합병원으로 지정된 ‘병원’과 재학생 수가 1만명 이상인 「고등교육법」상의 ‘학교’는 인증의무대상에 포함된다.
    • '상급종합병원'은 매 3년마다 평가를 실시하여 재지정 하거나 지정이 최소 될 수 있다.
    • 「고등교육법」상 '학교'의 종류에는 대학, 산업대학, 교육대학, 전문대학, 방송통신대학, 기술대학 등이 해당될 수 있다.


정보통신서비스 부문 전년도 매출액 100억원 이상인 자

  • 정보통신서비스 부문 매출액은 정보통신서비스 제공을 통해 발생하는 연간 총 매출액의 합으로 산정 하며, 여러 가지 정보통신서비스를 제공할 경우에는 해당 서비스의 매출액을 모두 합하여 계산한다.
    • 매출액은 국세청 등에 신고된 금액 또는 내부적으로 결산자료 등을 마련하여 공인회계사 등의 검증을 거친 객관적 자료를 이용 하며, 이러한 자료가 없으면 내부 회계자료에 대해 대표이사의 승인을 거친 자료를 이용
  • 주요 정보통신서비스 매출액 구분(예시)
    • 정보통신서비스 온라인 판매, 광고, 콘텐츠 이용 등으로 발생한 매출액과 부가수익, 수수료, 세금 등을 포함한 총 합계액
    • 정보통신서비스 제공을 통해 직·간접으로 발생하는 연간 국내·외 매출액
구분 서비스 설명 정보통신서비스 부문 매출액 내역
예약 서비스 정보통신망을 통해 서비스나 상품에 대한 예약 서비스를 제공하는 사업자 상품 및 서비스 판매매출, 수수료, 회원수익 매출, 광고매출, 부가수익 등
전자문서교환 (EDI)서비스 정보통신망을 통해 전자문서교환서비스를 제공 하는 사업자 콘텐츠 판매매출, 수수료, 광고매출, 회원 수익매출, 부가수익 등
전자지불 (PG)서비스 정보통신망을 통해 지불중계역무를 제공하는 사업자 지불중계수수료, 서비스매출, 회원수익매출, 부가수익 등
인터넷 포털 서비스 정보통신망 유·무선 포털 사이트를 제공하는 사업자 온라인 광고매출, 정보제공 수수료, 중계 수수료, 콘텐츠, 이용매출, 부가수익 등
인터넷 전자상거래 쇼핑몰 역무를 제공하는 사업자 판매 매출, 수수료, 광고매출, 부가수익 등
인터넷 방송 정보통신망을 통해 신문기사나 방송프로그램을 제공하는 사업자 콘텐츠 판매매출, 수수료, 광고매출, 회원 수익매출, 부가수익 등
인터넷 게임 인터넷게임서비스를 제공하는 사업자 게임이용매출, 아이템 판매매출, 광고매출, 수수료, 부가수익 등
금융 관련 서비스 정보통신망을 통한 금융업, 연금업, 보험관련 서비스업 등을 제공하는 사업자 인터넷 뱅킹·주식 거래·선물 거래 수수료, 인터넷 증권 중개, 홈트레이딩 기타 인터넷 금융 및 보험업 등
콘텐츠 제공 서비스 정보통신망을 통한 교육서비스, 실시간 음악 감상 서비스, 기타 콘텐츠제공 서비스를 제공하는 사업자 콘텐츠 이용매출, 수수료, 광고매출, 회원 수익매출, 부가수익 등
유선방송 서비스 (Cable-SO) 종합유선 방송서비스와 종합유선전송 서비스를 제공하는 사업자 방송중계서비스 매출을 제외한 초고속인터넷 서비스 매출액 등
기타 정보통신망을 통한 기타 정보통신서비스를 제공 하는 사업자
  • 쇼핑몰 유형 별 매출 구분(예시)
판매 유형 정보통신서비스 부문에 해당되는 매출액
자체 쇼핑몰 운영 자체 쇼핑몰을 통한 제품 판매액
중개 쇼핑몰 이용 해당사항 없음
중개 쇼핑몰 운영 판매 중개수수료 + 입점료(해당하는 경우)
자체 쇼핑몰 운영 + 중개 쇼핑몰 이용 자체 쇼핑몰을 통한 제품 판매액
중개 쇼핑몰 운영 + 자체 쇼핑몰 운영 판매 중개수수료 + 입점료(해당하는 경우) + 자체 쇼핑몰을 통한 제품 판매액
포인트 쇼핑몰 가맹점 수수료 + 고객 수수료 + 판매 수수료 + 기프티콘

전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상

  • 일일평균 이용자 수는 일정 기간 동안의 정보통신서비스제공자의 홈페이지 방문자 수 등을 일평균 으로 환산한 이용자 수를 말하며, 여러 가지 정보통신서비스를 제공할 경우에는 해당 서비스의 이용자 수를 모두 합하여 계산한다.
    • 자체적 또는 공식적으로 이용자 수 확인이 어려운 경우, 민간 통계기관 등의 데이터 활용

인증 의무 대상자 유의사항[edit | edit source]

  • 인증 의무대상자 중 정보통신망서비스제공자와 집적정보통신시설 사업자는 매출액 및 이용자 수와 관계없이 인증 의무대상자에 해당된다.
    • 집적정보통신시설의 일부를 임대하여 서비스를 재판매하는 사업자(VIDC)는 매출액 및 이용자 수 기준을 따르게 된다.
  • 인증 의무대상자 기준 중에서 정보통신망법 제47조제2항의 어느 한 가지 이상의 기준에 해당할 경우, 인증 의무대상자가 된다.
  • 인증 의무대상자는 스스로 법에서 정한 인증 의무대상자 기준에 해당하는지 여부를 확인하여 인증을 받아야 하며, 만약 의무대상자임에도 불구하고 인증을 취득하지 않은 사실이 확인되는 경우 과태료 부과 대상이 될 수 있다.
  • 관리체계 구축 및 운영에 필요한 소요기간을 확인하여 인증심사에 차질이 없도록 준비해야 한다.
    • 준비부터 인증취득까지는 약 6개월 이상이 소요되고, 인증 신청을 위해서는 최소 2개월 이상의 운영 기간이 필요하다.

인증 절차 및 소요기간(예시)

인증 절차 ① 준비 ② 심사 ③ 인증
관리체계 구축 후 운영 인증 신청 심사 준비 인증 심사 보완 조치 조치결과 확인 심사 결과보고서 작성 인증 위원회 심의 준비 인증 위원회 심의 인증서 교부
소요 기간 2개월 이상 심사 8주전 심사 6주전 1~2주 100일 이내 30일 이내 2주~4주 1일 인증위원회 심의·의결 후 2주 이내
  1. 「정보통신망법」제47조 제2항 및 같은 법 시행령 제49조
  2. ‘서울특별시 및 모든 광역시’에서 서비스를 제공하지 않는 정보통신망서비스 제공자의 경우, 정보통신망법 제47조 제2항 제3호의 기준을 적용하며, 불특정 다수가 이용하는 정보통신망인 경우, 인증 의무대상자에 해당