정보보호 공시제도

From IT Wiki
Revision as of 21:44, 11 July 2023 by 심사언 (talk | contribs)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)

정보보호 공시제도 개요도 정보보호 공시제도란 이용자의 안전한 인터넷 이용과 기업의 정보보호 투자 활성화를 위해 기업의 정보보호 투자 인력활동 등에 관한 정보를 공개하도록 하는 제도를 말한다.

기대효과

  • (주주) 기업의 잠재적 재무상태 변화에 주요한 영향[1]을 미칠 수 있는 정보보호 현황에 대한 주주의 알권리 확보
  • (소비자·국민) 기업 등이 보유하고 있는 다양한 정보의 보호수준을 간접적으로 파악할 수 있도록 하여 소비자 선택권 강화
  • (기업) 기업 스스로 정보보호 수준을 객관적으로 파악하고, 이용자 등에게 정보보호 활동을 공시함으로써 법적 근거를 갖고 기업의 보안 투자 정도를 외부에 알릴 수 있는 기회

대상

자율 공시와 의무 공시

  • (자율 공시) 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자(정보보호산업법 제13조제1항)
  • (의무 공시) 사업분야, 매출액 및 서비스 이용자 수 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자(정보보호산업법 제13조제2항)
    • (법적 근거) 「정보보호산업의 진흥에 관한 법률」 제13조(정보보호 공시) ② 제1항에도 불구[2]하고 정보통신서비스를 이용하는 자의 안전한 인터넷이용을 위하여 정보보호 공시를 도입할 필요성이 있는 자로서 사업 분야, 매출액 및 서비스 이용자 수 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자는 제1항에 따른 정보보호 현황을 공시하여야 한다. 다만, 다른 법률의 규정에 따라 정보보호 현황을 공시하는 자는 제외한다.

의무 공시 대상 기준

구분 대상자 비고
사업 분야 회선설비 보유 기간통신사업자(ISP) 「전기통신사업법」 제6조제1항
집적정보통신시설 사업자(IDC) 「정보통신망법」 제46조
상급종합병원 「의료법」 제3조의4
클라우드컴퓨팅 서비스제공자 「클라우드컴퓨팅법」 시행령 제3조제1호
매출액 정보보호 최고책임자(CISO) 지정·신고해야하는 유가증권시장 및 코스닥시장 상장법인 중 매출액 3,000억 원 이상
이용자 수 정보통신서비스 일일평균 이용자 수 100만 명 이상 (전년도말 직전 3개월간) 순방문자수(Unique View : IP 기준 1일 방문자 수) 기준

예외 기준

의무 대상자에 해당함에도 의무적으로 공시하지 않아도 되는 경우

구분 대상자 비고
공공기관 공기업 및 준정부기관 등 「공공기관운영법」
소기업 평균매출액 120억 원 이하 기업
  • 업종별 매출액 기준 상이(10~120억원), 정보통신업은 50억원 이하
  • 「중소기업 범위 및 확인에 관한 규정」에 따라 중소기업현황정보시스템을 통해 발급받은 확인서 제출 필요
「중소기업기본법 시행령」 제8조제1항
금융회사 은행, 보험, 카드 등 금융회사 「전자금융거래법」 제2조제3호
전자금융업자 정보통신업 또는 도·소매업을 주된 사업으로 하지 않는 전자금융업자
  • 하나의 기업이 둘 이상의 서로 다른 업종을 영위하는 경우에 직전 사업연도의 매출액 비중이 가장 큰 업종을 기준으로 해당 기업의 주된 업종을 판단함
「전자금융거래법」 제2조제4호, 한국표준산업분류
매출액 정보보호 최고책임자(CISO) 지정·신고해야하는 유가증권시장 및 코스닥시장 상장법인 중 매출액 3,000억 원 이상
이용자 수 정보통신서비스 일일평균 이용자 수 100만 명 이상 (전년도말 직전 3개월간) 순방문자수(Unique View : IP 기준 1일 방문자 수) 기준

공시 내용

주요 항목

정보보호 투자현황

  • 정보보호 공시자가 공시대상연도의 투자액에서 정보기술부문 투자액과 정보보호부문 투자액을 산정하여 산출한 자료

정보기술부문 투자액

  • IT 기획·개발·운영·유지·보수 및 정보보호 등에 소요되는 모든 경비의 합계로서 기업회계기준에 따라 발생주의[3]에 의한 비용

정보보호부문 투자액

  • 정보보호 등에 소요되는 모든 경비의 합계로서 기업회계기준에 따라 발생주의[3]에 의한 비용
    • ▶ 정보기술부문으로 분류된 자산(감가상각비)·인건비·비용 중에서 정보보호와 관련된 자산·인건비·비용을 분류하여 산출

정보보호 인력현황

  • 정보보호 공시자가 공시대상연도의 인력에서 정보기술부문 인력과 정보 보호부문 인력을 집계하여 산출한 자료

정보기술부문 인력

  • 정보기술부문 인력은 정보기술 및 정보보호 업무를 전담하는 내부인력 (정규직, 계약직)과 외부인력(사내파견, 외부전담)의 공시대상연도 월평균 인원

정보보호부문 전담인력

  • 정보보호부문 전담인력은 정보보호 업무를 전담하는 내부인력(정규직, 계약직)과 외부인력(사내파견, 외부전담)의 공시대상연도 월평균 인원

정보보호 관련 인증· 평가·점검 등에 관한 사항

  • 정보보호 공시자가 공시대상연도 내에 취득하거나, 인증 기간이 공시대상 연도 내에 유효한 인증, 평가, 점검 현황

정보보호를 위한 활동

  • 정보보호 공시자가 공시대상연도 내에 수행한 정보보호 관련 내·외부 활동

정보보호 현황 서식

(예시) 경상국립대학교병원 정보보호 현황(우수기업, 2023-07-04 기준)
1. 정보보호 투자 현황 정보기술부문 투자액(A) 5,234,131,514 원
정보보호부문 투자액(B) 408,493,080 원
주요 투자 항목 DRM 고도화
B / A 7.8 %
특기사항
2. 정보보호 인력 현황 총임직원 2450.10명
정보기술부문 인력(C) 25.00 명
정보보호부문 전담인력(D)
  • 내부인력: 2.00 명
  • 외주인력: 0.00 명
  • 계: 2.00 명
D / C 8.0 %
CISO

CPO 지정현황

[CISO]
  • 직책: 과장
  • 임원여부: X
  • 겸직여부: O / 의료정보과장
  • 주요활동(건): 3 건

[CPO]

  • 직책: 처장
  • 임원여부: O
  • 겸직여부: O / 진료처장
  • 주요활동(건): 2 건
특기사항 ○ CISO 주요 활동 :
  • 정보보호관리체계 수립 및 관리
  • 정보보호에 관련된 조직 관리
  • 정보보안 인증 유지 및 관리

○ CPO 주요 활동 :

  • 개인정보보호 관련 정책 및 규정 수립
  • 개인정보보호 관련 교육 및 훈련 진행
3. 정보보호 관련 인증, 평가, 점검 등에 관한 사항 ○ 정보보호 관리체계(ISMS) 인증
4. 정보통신서비스를 이용하는 자의 정보보호를 위한 활동 현황
  • 개발자 개발보안 교육
  • 임직원/부서별정보보안관리자 정보보호 교육
  • 정보시스템 및 용역업체 정보보호 교육
  • 개인정보보호위원회 운영
  • 수탁사 개인정보보호 실태 점검
  • 개인정보유출 사고 대응 매뉴얼 배포
  • 악성메일 주의 안내
  • 정보보안 모의훈련
  • 개인정보보호 및 보안 수칙 홍보

자주 묻는 질문

  • 정보보호 공시는 언제까지 해야 하나요?
    • 정보보호산업의 진흥에 관한 법률(이하 ‘정보보호산업법’) 시행령 제8조제6항에 따라 매년 6월 30일까지 과학기술정보통신부장관이 운영하는 전자공시시스템(ISDS)에 정보보호 현황을 제출해야 합니다.
    • 정보보호 현황은 공시년도의 직전년도(공시대상연도)에 해당하는 회계 및 인증 내용을 바탕으로 작성하며, 매년 정기적으로 공시를 이행하고 이용자, 투자자 보호를 목적으로 신속하게 정보를 전달하기 위해 신속하게 이행하는 것이 바람직합니다.
  • 모든 기업은 반드시 공시를 해야 하나요?
    • 정보보호산업법 시행령 제8조제1항의 기준을 충족하는 기업은 의무공시 대상으로 반드시 정보보호 공시를 해야 합니다.
    • 의무공시 대상이 아니더라도 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자라면 누구나 자율적으로 정보보호 공시를 할 수 있습니다. 자율적으로 정보보호 현황 공시 이행한 기업은 정보보호 관리체계(ISMS) 인증수수료 30% 할인 혜택을 받을 수 있습니다.
  • 글로벌 기업의 경우 공시 주체는 누구인가요?
    • 글로벌 기업 본사 또는 국내 법인 중 국내 서비스의 제공 주체가 누구인지 판단하여 정보보호 공시 의무대상이 결정됩니다. 의무공시 대상이 아닌 글로벌 기업도 자율적으로 정보보호 공시를 할 수 있습니다.
  • ISDS와 KIND 두 곳에 같이 공시를 해야 하나요?
    • 정보보호 공시는 과학기술정보통신부장관이 운영하는 전자공시시스템(이하 ‘ISDS’)에 하는 것이 원칙입니다.
    • 다만, 자율적으로 정보보호 공시를 하는 자가 유가증권·코스닥·코넥스시장 상장법인일 경우에는 ISDS 및 한국거래소 상장공시시스템(KIND)에 각각 공시 가능하며, 원하는 곳 한곳에만 공시도 가능합니다.
  • 정보보호 현황을 허위로 공시할 경우 어떤 불이익을 받나요?
    • 정보보호 공시자의 고의 또는 과실로 허위 사실을 공시할 경우, 불성실 공시로 판단하여 「정보보호 산업의 진흥에 관한 법률」 제13조제3항에 따른 정보보호 관리체계인증(ISMS) 수수료 감면 금액의 환수 조치 등 불이익 조치를 취할 수 있습니다.
    • 또한 KIND에 자율공시한 경우, 한국거래소 공시 규정에 따라 공시위반 제재조치를 받을 수 있습니다.
  • 투자액 산정을 위한 감가상각 적용 시, 내용연수에 대한 기준이 있나요?
    • 내용연수에 대한 기준은 기업의 사규에 있는 기준을 적용하시면 됩니다. 또한 자산에 대한 감가상각 적용은 유·무형의 자산 모두를 포함합니다.
  • 사무실에서 사용하는 PC나 네트워크, 스위치 같은 자산도 정보기술 관련 자산에 포함되나요?
    • 공시 기관의 정보처리 시스템을 이용하거나 관리하기 위한 모든 IT 자산 및 비용은 정보기술부문자산/ 비용에 포함된다고 할 수 있습니다. 즉 사무실 출입을 위한 출입관리시스템이나 사무실 내외의 보안을 위한 영상정보처리 시스템(CCTV)도 정보기술/정보보호 부문투자로 볼 수 있습니다. 그리고 보안문서를 별도의 통제된 공간, 즉 문서고를 조성하고 여기에 CCTV, 출입통제 시스템, 문서 반출입관리 시스템 등을 운영하면 이 시스템은 정보기술/정보보호부문 투자로 인정할 수 있습니다.
    • (참고로, 통신사 또는 전국에 지사를 보유한 기업들의 경우는 전산실에 설치된 출입관리시스템과 CCTV만 정보보호 투자로 인정)
  • 정보처리 시스템을 외부 데이터센터에 위탁하여 운영하는 경우는 어떻게 투자비용을 구분하나요?
    • 정보처리 시스템을 외부 데이터센터에 두고 있을 경우 지불하는 비용을 정보기술 투자액으로 산정 하면 됩니다. 이중 보안에 관련된 비용이 명확히 구분된다면 보안 관련 비용 부분을 정보보호부문 투자액으로도 산정할 수 있습니다.
    • 보안관련 비용을 구분할 수 없더라도, 데이터센터를 서비스하는 기업이 정보보호 현황을 공시한 경우에는 그 기업의 정보보호부문에 대한 투자비율 만큼 전체 지불비용에서 정보보호 투자액으로 간주하여 산정할 수 있습니다.
  • 정보보호부문 관련 비용은 정보기술 관련 비용에 포함되나요?
    • 정보보호 비용은 모두 정보기술 비용에 포함됩니다. 예를 들면 물리보안서비스가 정보보호비용으로 인정되므로 이 비용은 당연히 정보기술비용으로도 인정됩니다. 그리고 인건비 산정에서도 정보보호 인력의 인건비는 정보기술 인력의 인건비에 포함됩니다. 인력 산정 또한 마찬가지로 정보보호 인력은 정보기술 인력에 포함됩니다.
  • 보안 전문업체로서 당사가 판매하고 있는 보안제품이나 서비스를 이용하는 경우, 이를 정보보호 투자액으로 산정할 수 있나요?
    • 비용원장이나 자산대장에 해당 제품이나 서비스 비용이 표시되어 있는 경우에는 인정됩니다. 그러나 표시되지 않는다면 정보보호 투자로 인정할 수 없습니다. 개발비 또한 자산대장이나 비용원장에 표시된다면 정보보호 투자로 인정됩니다. 단, 판매를 위한 생산비용, 용역계약에 의해 개발한 비용 등은 투자액으로 산정 불가능 합니다.
  • 라우터를 네트워크 접근 통제(방화벽처럼 활용) 전용으로 활용하고 있습니다. 정보보호 전용제품으로 인정받을 수 있나요?
    • 라우터의 본래의 기능은 정보보호 전용제품으로 볼 수 없기 때문에 정보보호 투자비용으로 인정하고 있지 않습니다.
  • 회사 지원으로 정보보안 관련 자격증을 취득하여 정보보안 업무에 투입한 직원들도 정보보호부문 인력으로 산정할 수 있나요?
    • 정보보호부문 인력 대상은 자격증 취득 유무와는 상관없습니다. 대상기업의 정보처리 시스템에 대하여 정보기술 또는 정보보호 관련 업무를 전담하는데 투입되었다면 정보기술/정보보호부문 인력으로 산정합니다.
    • 그러나 대상기업의 정보시스템이 아닌 외주 용역에 의한 인력 파견으로 타 기업의 정보시스템을 위한 정보기술/보호 업무를 수행하고 있다면 대상기업의 정보기술/보호업무를 전담한다고 볼 수 없어 정보기술/보호부문 인력으로 산정할 수 없습니다. 다만 자격증 취득을 위한 회사의 지원에 대해서는 정보보호를 위한 활동으로 명기할 수 있습니다.
  • 보안담당자가 전산실이 아닌 타 부서에 배치되어 있을 경우에도 정보보호부문 인력으로 포함될 수 있나요?
    • 보안(정보보호) 업무를 명백하게 전담하고 있다면 소속된 부서 명칭은 상관없습니다. 다만 향후 사후검증에서 이를 입증하려면 대표자나 그에 상응하는 임원 (CISO 또는 CPO)의 서명이 있는 직무기술서를 준비하면 됩니다.
  • 국내에 한정하여 정보보호 투자나 인력을 산정하기 어려운 경우, 어떻게 내용을 작성할 수 있나요?
    • 재무제표, 자산대장 및 비용원장 등을 활용하여 정보기술/정보보호부문 투자 산정이 가능합니다. 인력 또한 국내 지사를 지원하는 인력에 대하여도 내부 산정 비율을 인정하여 산정이 가능합니다.
    • 다만 해당 인력이 정보기술 또는 정보보호 업무를 전담하여야 하고, 단지 국내지사와 국외지사를 동시 지원하는 경우 회사 내부에서 산정하고 있는 지원 비율을 인정하여 산정할 수 있습니다.
    • 일부 기업의 경우 글로벌 차원에서 정보보호 체계를 구축 및 운영 중에 있어 기업이 국내에 한정된 정보를 취합하는 것이 어려운 경우 정보보호 투자, 인력 수치를 작성하지 않아도 무방하나, ‘특기사항’ 항목을 통해 정보보호에 대한 기업의 노력을 작성해야 합니다.
  • 정보시스템을 외부 데이터센터에 위탁하여 운영하는 경우, 외주 인력들은 정보기술/보호 부문 인력 으로 포함할 수 있나요?
    • 정보처리 시스템을 외부 데이터센터에 두고 있을 경우, 해당 정보처리 시스템을 관리하는 인력 (외주인력)도 대상기업의 정보시스템만 전담한다면 정보기술부문 인력으로 포함시킬 수 있습니다. 또한 보안담당은 정보보호부문 인력으로도 포함 가능합니다.
    • 다만 대상 인력이 타 기업의 시스템도 공동으로 관리할 경우는 정보보호 현황 인력에 투입공수를 산정하여 대상기업을 위한 투입공수만을 포함시킬 수 있습니다. 이를 입증하기 위하여 위탁계약서 (계약서상에 업무별로 투입공수가 명시되어 있을 경우) 등을 준비하면 됩니다.
  • 당사는 정보기술 인력과 정보보호 인력을 일정 기간 고객사에 파견하고 있습니다. 예를 들어, 3-5월까지 정보보호 인력을 외주용역으로 파견했다면 나머지 기간은 당사의 정보보호 인력으로 인정받을 수 있을까요?
    • 정보처리의 정보보호 인력으로 활용되다가 외주용역으로 활용되었다면 외주용역으로 활용된 기간을 제외한 기간은 정보보호 인원수로 인정될 수 있으며 연평균 인원수로 계산됩니다. 물론 그 해당기간의 인건비는 정보보호 투자액으로 인정받을 수 있습니다.
  • 정보기술부문 업무를 수행하는 인력이 타 업무(영업, 마케팅 등)를 겸임하고 있습니다. 주요 업무가 정보기술부문 업무라면(직무 기술서 상 정보기술부문 업무 비중이 90% 이상을 차지) 정보기술부문 인력에 포함되나요?
    • 정보기술부문 전담조직에 소속된 인원 또는 정보기술부분 업무를 전담(100%)하고 있는 인력에 대해서만 정보기술부문 인력으로 인정합니다. 위와 같은 경우에는 정보기술부문 인력에 포함되지 않습니다.
  • 우수정보보호 제품, 정보보호제품 성능평가 등도 정보보호 관련 인증, 평가, 점검 등에 관한 사항에 포함되나요?
    • 우수정보보호 제품, 정보보호제품 성능평가 등은 기업에서 생산하는 제품 및 서비스 등에 대한 인증이기 때문에 이를 기업 전체의 정보보호 관련 인증, 평가, 점검으로 보기에는 한계가 있습니다.
    • 따라서, 제품 및 서비스에 대한 평가·인증은 정보보호 관련 인증, 평가, 점검 등에 관한 사항에 포함되지 않지만, 우수정보보호 제품, 정보보호제품 성능평가 제품을 개발 및 구매한 비용은 정보보호부문 투자 비용으로 인정됩니다.
  • 디자이너 인력은 정보기술부문 인력인가요?
    • IT 기획·개발·운영·정보보호 등 정보기술 전담조직을 운영하는 경우에는 해당 부서 전체 인력을 정보기술부문 인력으로 산정합니다.
    • 따라서, 제품팀, 개발팀 등 정보기술부문 조직에서 기획자, 개발자들과 함께 일하는 디자이너 직군은 정보기술부문 인력으로 분류합니다.
  • 의무대상 기준 中 이용자 수 100만은 어떻게 산정하나요?
    • 이용자수에 대한 의무대상 기준은 전년도 말 기준 직전 3개월간의 정보통신서비스 일일 평균 이용자 수 100만 명 이상입니다. 여러 가지 정보통신서비스(홈페이지 및 어플 등)를 제공할 경우에는 해당 서비스의 이용자 수를 모두 합하여 계산합니다. 산정 기준은 전년도 10월~12월의 순방문자수(UV)의 일일 평균입니다.
  • 의무대상 여부는 어떻게 알 수 있나요?
    • 매년 3월 첫째 주에 의무대상에 해당하는 기업리스트를 한국인터넷진흥원 대표 홈페이지 공지사항 등에 게시할 예정입니다. 해당 리스트를 확인하시면 됩니다.
    • 확인 후, 의무대상에 해당하지 않는다고 생각하시는 기업은 의무 제외에 대한 소명자료를 3월 31일까지 정보보호 공시 담당자 메일로 제출해주시면 됩니다.

참고 문헌

  • 정보보호 공시 가이드라인(2021.12.)

각주

  1. 기업의 중요 정보 유출, 징벌적·법정 손해배상제도 도입에 따른 강화된 배상책임, 소비자 신뢰도 저하 등으로 인한 큰 재무적 변동이 발생 가능
  2. 제1항은 자유롭게 공시할 수 있다는 내용
  3. 3.0 3.1 발생주의는 회계처리를 하는 방법의 하나로 현금 유출입 시점에 관계없이 거래나 그 밖에 경제적 가치가 창출, 변형, 교환, 이전 또는 소멸되는 시점에 거래를 기록하고 표시하는 것을 말한다.