정보보호 공시제도
From IT Wiki
정보보호 공시제도란 이용자의 안전한 인터넷 이용과 기업의 정보보호 투자 활성화를 위해 기업의 정보보호 투자 인력활동 등에 관한 정보를 공개하도록 하는 제도를 말한다.
기대효과
- (주주) 기업의 잠재적 재무상태 변화에 주요한 영향[1]을 미칠 수 있는 정보보호 현황에 대한 주주의 알권리 확보
- (소비자·국민) 기업 등이 보유하고 있는 다양한 정보의 보호수준을 간접적으로 파악할 수 있도록 하여 소비자 선택권 강화
- (기업) 기업 스스로 정보보호 수준을 객관적으로 파악하고, 이용자 등에게 정보보호 활동을 공시함으로써 법적 근거를 갖고 기업의 보안 투자 정도를 외부에 알릴 수 있는 기회
대상
자율 공시와 의무 공시
- (자율 공시) 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자(정보보호산업법 제13조제1항)
- (의무 공시) 사업분야, 매출액 및 서비스 이용자 수 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자(정보보호산업법 제13조제2항)
- (법적 근거) 「정보보호산업의 진흥에 관한 법률」 제13조(정보보호 공시) ② 제1항에도 불구[2]하고 정보통신서비스를 이용하는 자의 안전한 인터넷이용을 위하여 정보보호 공시를 도입할 필요성이 있는 자로서 사업 분야, 매출액 및 서비스 이용자 수 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자는 제1항에 따른 정보보호 현황을 공시하여야 한다. 다만, 다른 법률의 규정에 따라 정보보호 현황을 공시하는 자는 제외한다.
의무 공시 대상 기준
구분 | 대상자 | 비고 |
---|---|---|
사업 분야 | 회선설비 보유 기간통신사업자(ISP) | 「전기통신사업법」 제6조제1항 |
집적정보통신시설 사업자(IDC) | 「정보통신망법」 제46조 | |
상급종합병원 | 「의료법」 제3조의4 | |
클라우드컴퓨팅 서비스제공자 | 「클라우드컴퓨팅법」 시행령 제3조제1호 | |
매출액 | 정보보호 최고책임자(CISO) 지정·신고해야하는 유가증권시장 및 코스닥시장 상장법인 중 매출액 3,000억 원 이상 | |
이용자 수 | 정보통신서비스 일일평균 이용자 수 100만 명 이상 (전년도말 직전 3개월간) | 순방문자수(Unique View : IP 기준 1일 방문자 수) 기준 |
예외 기준
의무 대상자에 해당함에도 의무적으로 공시하지 않아도 되는 경우
구분 | 대상자 | 비고 |
---|---|---|
공공기관 | 공기업 및 준정부기관 등 | 「공공기관운영법」 |
소기업 | 평균매출액 120억 원 이하 기업
|
「중소기업기본법 시행령」 제8조제1항 |
금융회사 | 은행, 보험, 카드 등 금융회사 | 「전자금융거래법」 제2조제3호 |
전자금융업자 | 정보통신업 또는 도·소매업을 주된 사업으로 하지 않는 전자금융업자
|
「전자금융거래법」 제2조제4호, 한국표준산업분류 |
매출액 | 정보보호 최고책임자(CISO) 지정·신고해야하는 유가증권시장 및 코스닥시장 상장법인 중 매출액 3,000억 원 이상 | |
이용자 수 | 정보통신서비스 일일평균 이용자 수 100만 명 이상 (전년도말 직전 3개월간) | 순방문자수(Unique View : IP 기준 1일 방문자 수) 기준 |
공시 내용
주요 항목
정보보호 투자현황
- 정보보호 공시자가 공시대상연도의 투자액에서 정보기술부문 투자액과 정보보호부문 투자액을 산정하여 산출한 자료
정보기술부문 투자액
- IT 기획·개발·운영·유지·보수 및 정보보호 등에 소요되는 모든 경비의 합계로서 기업회계기준에 따라 발생주의[3]에 의한 비용
정보보호부문 투자액
- 정보보호 등에 소요되는 모든 경비의 합계로서 기업회계기준에 따라 발생주의[3]에 의한 비용
- ▶ 정보기술부문으로 분류된 자산(감가상각비)·인건비·비용 중에서 정보보호와 관련된 자산·인건비·비용을 분류하여 산출
정보보호 인력현황
- 정보보호 공시자가 공시대상연도의 인력에서 정보기술부문 인력과 정보 보호부문 인력을 집계하여 산출한 자료
정보기술부문 인력
- 정보기술부문 인력은 정보기술 및 정보보호 업무를 전담하는 내부인력 (정규직, 계약직)과 외부인력(사내파견, 외부전담)의 공시대상연도 월평균 인원
정보보호부문 전담인력
- 정보보호부문 전담인력은 정보보호 업무를 전담하는 내부인력(정규직, 계약직)과 외부인력(사내파견, 외부전담)의 공시대상연도 월평균 인원
정보보호 관련 인증· 평가·점검 등에 관한 사항
- 정보보호 공시자가 공시대상연도 내에 취득하거나, 인증 기간이 공시대상 연도 내에 유효한 인증, 평가, 점검 현황
정보보호를 위한 활동
- 정보보호 공시자가 공시대상연도 내에 수행한 정보보호 관련 내·외부 활동
정보보호 현황 서식
1. 정보보호 투자 현황 | 정보기술부문 투자액(A) | 5,234,131,514 원 |
---|---|---|
정보보호부문 투자액(B) | 408,493,080 원 | |
주요 투자 항목 | DRM 고도화 | |
B / A | 7.8 % | |
특기사항 | ||
2. 정보보호 인력 현황 | 총임직원 | 2450.10명 |
정보기술부문 인력(C) | 25.00 명 | |
정보보호부문 전담인력(D) |
| |
D / C | 8.0 % | |
CISO
CPO 지정현황 |
[CISO]
[CPO]
| |
특기사항 | ○ CISO 주요 활동 :
○ CPO 주요 활동 :
| |
3. 정보보호 관련 인증, 평가, 점검 등에 관한 사항 | ○ 정보보호 관리체계(ISMS) 인증 | |
4. 정보통신서비스를 이용하는 자의 정보보호를 위한 활동 현황 |
|
자주 묻는 질문
- 정보보호 공시는 언제까지 해야 하나요?
- 정보보호산업의 진흥에 관한 법률(이하 ‘정보보호산업법’) 시행령 제8조제6항에 따라 매년 6월 30일까지 과학기술정보통신부장관이 운영하는 전자공시시스템(ISDS)에 정보보호 현황을 제출해야 합니다.
- 정보보호 현황은 공시년도의 직전년도(공시대상연도)에 해당하는 회계 및 인증 내용을 바탕으로 작성하며, 매년 정기적으로 공시를 이행하고 이용자, 투자자 보호를 목적으로 신속하게 정보를 전달하기 위해 신속하게 이행하는 것이 바람직합니다.
- 모든 기업은 반드시 공시를 해야 하나요?
- 정보보호산업법 시행령 제8조제1항의 기준을 충족하는 기업은 의무공시 대상으로 반드시 정보보호 공시를 해야 합니다.
- 의무공시 대상이 아니더라도 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자라면 누구나 자율적으로 정보보호 공시를 할 수 있습니다. 자율적으로 정보보호 현황 공시 이행한 기업은 정보보호 관리체계(ISMS) 인증수수료 30% 할인 혜택을 받을 수 있습니다.
- 글로벌 기업의 경우 공시 주체는 누구인가요?
- 글로벌 기업 본사 또는 국내 법인 중 국내 서비스의 제공 주체가 누구인지 판단하여 정보보호 공시 의무대상이 결정됩니다. 의무공시 대상이 아닌 글로벌 기업도 자율적으로 정보보호 공시를 할 수 있습니다.
- ISDS와 KIND 두 곳에 같이 공시를 해야 하나요?
- 정보보호 공시는 과학기술정보통신부장관이 운영하는 전자공시시스템(이하 ‘ISDS’)에 하는 것이 원칙입니다.
- 다만, 자율적으로 정보보호 공시를 하는 자가 유가증권·코스닥·코넥스시장 상장법인일 경우에는 ISDS 및 한국거래소 상장공시시스템(KIND)에 각각 공시 가능하며, 원하는 곳 한곳에만 공시도 가능합니다.
- 정보보호 현황을 허위로 공시할 경우 어떤 불이익을 받나요?
- 정보보호 공시자의 고의 또는 과실로 허위 사실을 공시할 경우, 불성실 공시로 판단하여 「정보보호 산업의 진흥에 관한 법률」 제13조제3항에 따른 정보보호 관리체계인증(ISMS) 수수료 감면 금액의 환수 조치 등 불이익 조치를 취할 수 있습니다.
- 또한 KIND에 자율공시한 경우, 한국거래소 공시 규정에 따라 공시위반 제재조치를 받을 수 있습니다.
- 투자액 산정을 위한 감가상각 적용 시, 내용연수에 대한 기준이 있나요?
- 내용연수에 대한 기준은 기업의 사규에 있는 기준을 적용하시면 됩니다. 또한 자산에 대한 감가상각 적용은 유·무형의 자산 모두를 포함합니다.
- 사무실에서 사용하는 PC나 네트워크, 스위치 같은 자산도 정보기술 관련 자산에 포함되나요?
- 공시 기관의 정보처리 시스템을 이용하거나 관리하기 위한 모든 IT 자산 및 비용은 정보기술부문자산/ 비용에 포함된다고 할 수 있습니다. 즉 사무실 출입을 위한 출입관리시스템이나 사무실 내외의 보안을 위한 영상정보처리 시스템(CCTV)도 정보기술/정보보호 부문투자로 볼 수 있습니다. 그리고 보안문서를 별도의 통제된 공간, 즉 문서고를 조성하고 여기에 CCTV, 출입통제 시스템, 문서 반출입관리 시스템 등을 운영하면 이 시스템은 정보기술/정보보호부문 투자로 인정할 수 있습니다.
- (참고로, 통신사 또는 전국에 지사를 보유한 기업들의 경우는 전산실에 설치된 출입관리시스템과 CCTV만 정보보호 투자로 인정)
- 정보처리 시스템을 외부 데이터센터에 위탁하여 운영하는 경우는 어떻게 투자비용을 구분하나요?
- 정보처리 시스템을 외부 데이터센터에 두고 있을 경우 지불하는 비용을 정보기술 투자액으로 산정 하면 됩니다. 이중 보안에 관련된 비용이 명확히 구분된다면 보안 관련 비용 부분을 정보보호부문 투자액으로도 산정할 수 있습니다.
- 보안관련 비용을 구분할 수 없더라도, 데이터센터를 서비스하는 기업이 정보보호 현황을 공시한 경우에는 그 기업의 정보보호부문에 대한 투자비율 만큼 전체 지불비용에서 정보보호 투자액으로 간주하여 산정할 수 있습니다.
- 정보보호부문 관련 비용은 정보기술 관련 비용에 포함되나요?
- 정보보호 비용은 모두 정보기술 비용에 포함됩니다. 예를 들면 물리보안서비스가 정보보호비용으로 인정되므로 이 비용은 당연히 정보기술비용으로도 인정됩니다. 그리고 인건비 산정에서도 정보보호 인력의 인건비는 정보기술 인력의 인건비에 포함됩니다. 인력 산정 또한 마찬가지로 정보보호 인력은 정보기술 인력에 포함됩니다.
- 보안 전문업체로서 당사가 판매하고 있는 보안제품이나 서비스를 이용하는 경우, 이를 정보보호 투자액으로 산정할 수 있나요?
- 비용원장이나 자산대장에 해당 제품이나 서비스 비용이 표시되어 있는 경우에는 인정됩니다. 그러나 표시되지 않는다면 정보보호 투자로 인정할 수 없습니다. 개발비 또한 자산대장이나 비용원장에 표시된다면 정보보호 투자로 인정됩니다. 단, 판매를 위한 생산비용, 용역계약에 의해 개발한 비용 등은 투자액으로 산정 불가능 합니다.
- 라우터를 네트워크 접근 통제(방화벽처럼 활용) 전용으로 활용하고 있습니다. 정보보호 전용제품으로 인정받을 수 있나요?
- 라우터의 본래의 기능은 정보보호 전용제품으로 볼 수 없기 때문에 정보보호 투자비용으로 인정하고 있지 않습니다.
- 회사 지원으로 정보보안 관련 자격증을 취득하여 정보보안 업무에 투입한 직원들도 정보보호부문 인력으로 산정할 수 있나요?
- 정보보호부문 인력 대상은 자격증 취득 유무와는 상관없습니다. 대상기업의 정보처리 시스템에 대하여 정보기술 또는 정보보호 관련 업무를 전담하는데 투입되었다면 정보기술/정보보호부문 인력으로 산정합니다.
- 그러나 대상기업의 정보시스템이 아닌 외주 용역에 의한 인력 파견으로 타 기업의 정보시스템을 위한 정보기술/보호 업무를 수행하고 있다면 대상기업의 정보기술/보호업무를 전담한다고 볼 수 없어 정보기술/보호부문 인력으로 산정할 수 없습니다. 다만 자격증 취득을 위한 회사의 지원에 대해서는 정보보호를 위한 활동으로 명기할 수 있습니다.
- 보안담당자가 전산실이 아닌 타 부서에 배치되어 있을 경우에도 정보보호부문 인력으로 포함될 수 있나요?
- 보안(정보보호) 업무를 명백하게 전담하고 있다면 소속된 부서 명칭은 상관없습니다. 다만 향후 사후검증에서 이를 입증하려면 대표자나 그에 상응하는 임원 (CISO 또는 CPO)의 서명이 있는 직무기술서를 준비하면 됩니다.
- 국내에 한정하여 정보보호 투자나 인력을 산정하기 어려운 경우, 어떻게 내용을 작성할 수 있나요?
- 재무제표, 자산대장 및 비용원장 등을 활용하여 정보기술/정보보호부문 투자 산정이 가능합니다. 인력 또한 국내 지사를 지원하는 인력에 대하여도 내부 산정 비율을 인정하여 산정이 가능합니다.
- 다만 해당 인력이 정보기술 또는 정보보호 업무를 전담하여야 하고, 단지 국내지사와 국외지사를 동시 지원하는 경우 회사 내부에서 산정하고 있는 지원 비율을 인정하여 산정할 수 있습니다.
- 일부 기업의 경우 글로벌 차원에서 정보보호 체계를 구축 및 운영 중에 있어 기업이 국내에 한정된 정보를 취합하는 것이 어려운 경우 정보보호 투자, 인력 수치를 작성하지 않아도 무방하나, ‘특기사항’ 항목을 통해 정보보호에 대한 기업의 노력을 작성해야 합니다.
- 정보시스템을 외부 데이터센터에 위탁하여 운영하는 경우, 외주 인력들은 정보기술/보호 부문 인력 으로 포함할 수 있나요?
- 정보처리 시스템을 외부 데이터센터에 두고 있을 경우, 해당 정보처리 시스템을 관리하는 인력 (외주인력)도 대상기업의 정보시스템만 전담한다면 정보기술부문 인력으로 포함시킬 수 있습니다. 또한 보안담당은 정보보호부문 인력으로도 포함 가능합니다.
- 다만 대상 인력이 타 기업의 시스템도 공동으로 관리할 경우는 정보보호 현황 인력에 투입공수를 산정하여 대상기업을 위한 투입공수만을 포함시킬 수 있습니다. 이를 입증하기 위하여 위탁계약서 (계약서상에 업무별로 투입공수가 명시되어 있을 경우) 등을 준비하면 됩니다.
- 당사는 정보기술 인력과 정보보호 인력을 일정 기간 고객사에 파견하고 있습니다. 예를 들어, 3-5월까지 정보보호 인력을 외주용역으로 파견했다면 나머지 기간은 당사의 정보보호 인력으로 인정받을 수 있을까요?
- 정보처리의 정보보호 인력으로 활용되다가 외주용역으로 활용되었다면 외주용역으로 활용된 기간을 제외한 기간은 정보보호 인원수로 인정될 수 있으며 연평균 인원수로 계산됩니다. 물론 그 해당기간의 인건비는 정보보호 투자액으로 인정받을 수 있습니다.
- 정보기술부문 업무를 수행하는 인력이 타 업무(영업, 마케팅 등)를 겸임하고 있습니다. 주요 업무가 정보기술부문 업무라면(직무 기술서 상 정보기술부문 업무 비중이 90% 이상을 차지) 정보기술부문 인력에 포함되나요?
- 정보기술부문 전담조직에 소속된 인원 또는 정보기술부분 업무를 전담(100%)하고 있는 인력에 대해서만 정보기술부문 인력으로 인정합니다. 위와 같은 경우에는 정보기술부문 인력에 포함되지 않습니다.
- 우수정보보호 제품, 정보보호제품 성능평가 등도 정보보호 관련 인증, 평가, 점검 등에 관한 사항에 포함되나요?
- 우수정보보호 제품, 정보보호제품 성능평가 등은 기업에서 생산하는 제품 및 서비스 등에 대한 인증이기 때문에 이를 기업 전체의 정보보호 관련 인증, 평가, 점검으로 보기에는 한계가 있습니다.
- 따라서, 제품 및 서비스에 대한 평가·인증은 정보보호 관련 인증, 평가, 점검 등에 관한 사항에 포함되지 않지만, 우수정보보호 제품, 정보보호제품 성능평가 제품을 개발 및 구매한 비용은 정보보호부문 투자 비용으로 인정됩니다.
- 디자이너 인력은 정보기술부문 인력인가요?
- IT 기획·개발·운영·정보보호 등 정보기술 전담조직을 운영하는 경우에는 해당 부서 전체 인력을 정보기술부문 인력으로 산정합니다.
- 따라서, 제품팀, 개발팀 등 정보기술부문 조직에서 기획자, 개발자들과 함께 일하는 디자이너 직군은 정보기술부문 인력으로 분류합니다.
- 의무대상 기준 中 이용자 수 100만은 어떻게 산정하나요?
- 이용자수에 대한 의무대상 기준은 전년도 말 기준 직전 3개월간의 정보통신서비스 일일 평균 이용자 수 100만 명 이상입니다. 여러 가지 정보통신서비스(홈페이지 및 어플 등)를 제공할 경우에는 해당 서비스의 이용자 수를 모두 합하여 계산합니다. 산정 기준은 전년도 10월~12월의 순방문자수(UV)의 일일 평균입니다.
- 의무대상 여부는 어떻게 알 수 있나요?
- 매년 3월 첫째 주에 의무대상에 해당하는 기업리스트를 한국인터넷진흥원 대표 홈페이지 공지사항 등에 게시할 예정입니다. 해당 리스트를 확인하시면 됩니다.
- 확인 후, 의무대상에 해당하지 않는다고 생각하시는 기업은 의무 제외에 대한 소명자료를 3월 31일까지 정보보호 공시 담당자 메일로 제출해주시면 됩니다.
참고 문헌
- 정보보호 공시 가이드라인(2021.12.)