ISMS-P 인증 대상 편집하기

== 요약 ==
'''의무 대상자'''는 ISMS 인증을 필수적으로 받아야 한다. ISMS-P를 받은 경우에도 ISMS를 받은 것으로 (당연)인정해 준다.

* '''의무 대상자'''

{| class="wikitable"
!의무대상자
!비고
|-
|「전기통신사업법」제6조제1항에 따른 등록을 한 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자
|ISP
|-
|「정보통신망법」제46조에 따른 집적정보통신시설 사업자
|IDC
|-
|연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 

* 「의료법」제3조의4에 따른 상급종합볍원 
* 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인「고등교육법」제2조에 따른 학교
|병원, 학교
|-
|정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자
|[[정보통신서비스 제공자|정보통신서비스제공자]]
|-
|전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자
|[[정보통신서비스 제공자|정보통신서비스제공자]]
|}

* '''임의 신청자'''
** 의무 대상자가 아니라도 기업·기관에선 자율적으로 ISMS든 ISMS-P든 신청해서 인증받을 수 있다.

== 임의 신청자 ==
ISMS-P를 구축·운영하여 적합성 여부를 판단하고자 하는 모든 개인정보처리자(공공기관, 민간기업, 법인, 단체 및 개인)와 정보통신서비스제공자는 자율적으로 인증을 신청할 수 있다. 

* 임의신청자의 경우 인증범위를 신청기관이 정하여 신청할 수 있으며, 심사기준 및 심사절차는 의무대상자와 동일하다.

== 의무 대상자 ==
인증 의무대상자는 ①정보통신망서비스를 제공하는 자(ISP) ②집적정보통신시설사업자(IDC) ③연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문의 전년도 매출액이 100억원 이상 또는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자이다.

* 인증 의무대상자는 ISMS 인증을 받아야 하며 ISMS-P 인증을 받은 경우에도 인증의무를 이행한 것으로 본다.

의무 대상자 기준<ref>「정보통신망법」제47조 제2항 및 같은 법 시행령 제49조</ref>
{| class="wikitable"
!구분
!의무 대상자 기준
|-
|정보통신망서비스 제공자(ISP)
|「전기통신사업법」 제6조 제1항에 따른 등록을 한 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자
|-
|집적정보통신시설 사업자(IDC)
|정보통신망법 제46조에 따른 집적정보통신시설 사업자
|-
| rowspan="3" |매출액 또는 이용자수 요건에 따른 대상자
|정보통신서비스 부문 전년도 매출액이 100억원 이상인 자
|-
|전년도 말 기준 직전 3개월간의 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자
|-
|연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우

* 「의료법」 제3조의4에 따른 상급종합병원
* 직전연도 12월 31일 기준으로 재학생 수가 1만 명 이상인 「고등교육법」 제2조에 따른 학교
|}

=== 정보통신망서비스를 제공하는 자 ===
정보통신망서비스를 제공하는 자(ISP)란 「전기통신사업법」 제6조 제1항에 따라 과학기술정보통신부 장관에게 등록을 하고 인터넷 서비스, 인터넷전화 서비스, 이동통신 서비스 등 정보통신망 서비스 제공 지역이 ‘서울특별시 및 모든 광역시’인 사업자를 말한다.
{| class="wikitable"
!정보통신망법 및 같은 법 시행령
|-
|'''정보통신망법 제47조(정보보호 관리체계의 인증)''' ② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다. 

* 1. 「전기통신사업법」 제6조제1항에 따른 등록을 한 자로서 대통령령으로 정하는 바에 따라 정보통신망 서비스를 제공하는 자 
|-
|'''정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위)''' ① 법 제47조제2항제1호에서 “대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자”란 서울 특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자를 말한다.
|}
※ 정보통신망서비스 제공자의 경우, 매출액과 이용자 수에 관계없이 인증 의무대상자에 해당함

* 정보통신망서비스(예시)

{| class="wikitable"
!구분
!서비스
!세부 서비스
|-
| rowspan="3" |정보통신망서비스 제공자(ISP)<ref>‘서울특별시 및 모든 광역시’에서 서비스를 제공하지 않는 정보통신망서비스 제공자의 경우, 정보통신망법 제47조 제2항 제3호의 기준을 적용하며, 불특정 다수가 이용하는 정보통신망인 경우, 인증 의무대상자에 해당</ref>
| rowspan="3" |기간통신서비스
|인터넷 접속 서비스(초고속망 서비스)
|-
|인터넷전화 서비스(VoIP)
|-
|이동통신 서비스(셀룰라, PCS, 3G, 4G/LTE, 5G)
|}

=== 집적정보통신시설사업자 ===
집적정보통신시설사업자(IDC)란 정보통신망법 제46조 제1항의 규정에 따라 타인의 정보통신 서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자를 말한다.
{| class="wikitable"
!정보통신망법
|-
|'''제47조(정보보호 관리체계의 인증)''' ② 전기통신사업법 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다. 

* 2. 집적정보통신시설 사업자


|}
※ 집적정보통신시설사업자의 경우, 매출액과 이용자 수에 관계없이 인증 의무대상자에 해당함

* 정보통신서비스 제공을 위해 자체적으로 시설을 구축하여 운영하는 자로서, 공간 임대서비스(Colocation) 또는 서버 임대(서버호스팅) 서비스 및 네트워크 서비스 등을 제공하는 사업자를 말한다. 
* 타인에 의해 구축된 집적정보통신시설의 일부를 임대하여 서비스를 재판매하는 사업자(이하 “VIDC” 이라 한다)의 경우에는 정보통신망법 시행령 제49조 제2항에 따라 연간 매출액 또는 이용자 수 기준을 적용한다.

{| class="wikitable"
!고시
|-
|'''제19조(정보보호 관리체계 인증 의무대상자)''' ① 정보보호 관리체계 인증 의무대상자(이하 "의무대상자"라 한다)란 정보통신망법 제47조제2항, 같은 법 시행령 제49조에 해당하는 자를 말한다. 

* ② 제1항에 해당하는 자 중 집적정보통신시설 사업자가 마련한 시설의 일부를 임대하여 집적정보통신시설 사업을 하는 자에 대하여는 정보통신망법 시행령 제49조제2항의 기준을 준용한다.


|}

* 집적정보통신시설 서비스(예시)

{| class="wikitable"
!구분
!서비스
!세부 서비스
|-
| rowspan="4" |집적정보통신시설사업자 (IDC)
| rowspan="4" |부가통신서비스
|서버 호스팅
|-
|스토리지 호스팅
|-
|코로케이션(Co-location)
|-
|네트워크 제공 서비스(회선 임대 포함), 보안관리 서비스, 도메인관리 서비스
|}

=== 매출액, 이용자 수 기준 ===
{| class="wikitable"
!정보통신망법 및 같은 법 시행령
|-
|'''정보통신망법 제47조(정보보호 관리체계의 인증)''' ② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다. 

* 3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자
|-
|'''정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위)''' ② 법 제47조제2항제3호에서 "대통령령으로 정하는 기준에 해당하는 자"란 다음 각 호의 어느 하나에 해당 하는 자를 말한다. 

* 1. 연간 매출액 또는 세입이 1,500억원 이상인 자로서 다음 각 목의 어느 하나에 해당하는 자 
** 가. 「의료법」 제3조의4에 따른 상급종합병원 
** 나. 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교 
* 2. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다. 
* 3. 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다.
|}
'''전년도 매출액 또는 세입 등이 1,500억원 이상인 자 중 대통령령으로 정하는 기준에 해당하는 자'''

* 전년도 매출액 또는 세입 등이 1,500억원 이상인 자 중 보건복지부장관에 의해 상급종합병원으로 지정된 ‘병원’과 재학생 수가 1만명 이상인 「고등교육법」상의 ‘학교’는 인증의무대상에 포함된다. 
** '상급종합병원'은 매 3년마다 평가를 실시하여 재지정 하거나 지정이 최소 될 수 있다. 
** 「고등교육법」상 '학교'의 종류에는 대학, 산업대학, 교육대학, 전문대학, 방송통신대학, 기술대학 등이 해당될 수 있다.


'''정보통신서비스 부문 전년도 매출액 100억원 이상인 자'''

* 정보통신서비스 부문 매출액은 정보통신서비스 제공을 통해 발생하는 연간 총 매출액의 합으로 산정 하며, 여러 가지 정보통신서비스를 제공할 경우에는 해당 서비스의 매출액을 모두 합하여 계산한다. 
** 매출액은 국세청 등에 신고된 금액 또는 내부적으로 결산자료 등을 마련하여 공인회계사 등의 검증을 거친 객관적 자료를 이용 하며, 이러한 자료가 없으면 내부 회계자료에 대해 대표이사의 승인을 거친 자료를 이용
* 주요 정보통신서비스 매출액 구분(예시)
** 정보통신서비스 온라인 판매, 광고, 콘텐츠 이용 등으로 발생한 매출액과 부가수익, 수수료, 세금 등을 포함한 총 합계액
** 정보통신서비스 제공을 통해 직·간접으로 발생하는 연간 국내·외 매출액

{| class="wikitable"
!구분
!서비스 설명
!정보통신서비스 부문 매출액 내역
|-
|예약 서비스
|정보통신망을 통해 서비스나 상품에 대한 예약 서비스를 제공하는 사업자
|상품 및 서비스 판매매출, 수수료, 회원수익 매출, 광고매출, 부가수익 등
|-
|전자문서교환 (EDI)서비스
|정보통신망을 통해 전자문서교환서비스를 제공 하는 사업자
|콘텐츠 판매매출, 수수료, 광고매출, 회원 수익매출, 부가수익 등
|-
|전자지불 (PG)서비스
|정보통신망을 통해 지불중계역무를 제공하는 사업자
|지불중계수수료, 서비스매출, 회원수익매출, 부가수익 등
|-
|인터넷 포털 서비스
|정보통신망 유·무선 포털 사이트를 제공하는 사업자
|온라인 광고매출, 정보제공 수수료, 중계 수수료, 콘텐츠, 이용매출, 부가수익 등
|-
|인터넷 전자상거래
|쇼핑몰 역무를 제공하는 사업자
|판매 매출, 수수료, 광고매출, 부가수익 등
|-
|인터넷 방송
|정보통신망을 통해 신문기사나 방송프로그램을 제공하는 사업자
|콘텐츠 판매매출, 수수료, 광고매출, 회원 수익매출, 부가수익 등
|-
|인터넷 게임
|인터넷게임서비스를 제공하는 사업자
|게임이용매출, 아이템 판매매출, 광고매출, 수수료, 부가수익 등
|-
|금융 관련 서비스
|정보통신망을 통한 금융업, 연금업, 보험관련 서비스업 등을 제공하는 사업자
|인터넷 뱅킹·주식 거래·선물 거래 수수료, 인터넷 증권 중개, 홈트레이딩 기타 인터넷 금융 및 보험업 등
|-
|콘텐츠 제공 서비스
|정보통신망을 통한 교육서비스, 실시간 음악 감상 서비스, 기타 콘텐츠제공 서비스를 제공하는 사업자
|콘텐츠 이용매출, 수수료, 광고매출, 회원 수익매출, 부가수익 등
|-
|유선방송 서비스 (Cable-SO)
|종합유선 방송서비스와 종합유선전송 서비스를 제공하는 사업자
|방송중계서비스 매출을 제외한 초고속인터넷 서비스 매출액 등
|-
|기타
|정보통신망을 통한 기타 정보통신서비스를 제공 하는 사업자
|
|}

* 쇼핑몰 유형 별 매출 구분(예시)

{| class="wikitable"
!판매 유형
!정보통신서비스 부문에 해당되는 매출액
|-
|자체 쇼핑몰 운영
|자체 쇼핑몰을 통한 제품 판매액
|-
|중개 쇼핑몰 이용
|해당사항 없음
|-
|중개 쇼핑몰 운영
|판매 중개수수료 + 입점료(해당하는 경우)
|-
|자체 쇼핑몰 운영 + 중개 쇼핑몰 이용
|자체 쇼핑몰을 통한 제품 판매액
|-
|중개 쇼핑몰 운영 + 자체 쇼핑몰 운영
|판매 중개수수료 + 입점료(해당하는 경우) + 자체 쇼핑몰을 통한 제품 판매액
|-
|포인트 쇼핑몰
|가맹점 수수료 + 고객 수수료 + 판매 수수료 + 기프티콘
|}
'''전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상'''

* 일일평균 이용자 수는 일정 기간 동안의 정보통신서비스제공자의 홈페이지 방문자 수 등을 일평균 으로 환산한 이용자 수를 말하며, 여러 가지 정보통신서비스를 제공할 경우에는 해당 서비스의 이용자 수를 모두 합하여 계산한다. 
** 자체적 또는 공식적으로 이용자 수 확인이 어려운 경우, 민간 통계기관 등의 데이터 활용

== 인증 의무 대상자 유의사항 ==

* 인증 의무대상자 중 정보통신망서비스제공자와 집적정보통신시설 사업자는 매출액 및 이용자 수와 관계없이 인증 의무대상자에 해당된다.
** 집적정보통신시설의 일부를 임대하여 서비스를 재판매하는 사업자(VIDC)는 매출액 및 이용자 수 기준을 따르게 된다. 
* 인증 의무대상자 기준 중에서 정보통신망법 제47조제2항의 어느 한 가지 이상의 기준에 해당할 경우, 인증 의무대상자가 된다. 
* 인증 의무대상자는 스스로 법에서 정한 인증 의무대상자 기준에 해당하는지 여부를 확인하여 인증을 받아야 하며, 만약 의무대상자임에도 불구하고 인증을 취득하지 않은 사실이 확인되는 경우 과태료 부과 대상이 될 수 있다. 
* 관리체계 구축 및 운영에 필요한 소요기간을 확인하여 인증심사에 차질이 없도록 준비해야 한다.
** 준비부터 인증취득까지는 약 6개월 이상이 소요되고, 인증 신청을 위해서는 최소 2개월 이상의 운영 기간이 필요하다.

인증 절차 및 소요기간(예시)
{| class="wikitable"
! rowspan="2" |인증 절차
! colspan="2" |① 준비
! colspan="5" |② 심사
! colspan="3" |③ 인증
|-
|관리체계 구축 후 운영
|인증 신청
|심사 준비
|인증 심사
|보완 조치
|조치결과 확인
|심사 결과보고서 작성
|인증 위원회 심의 준비
|인증 위원회 심의
|인증서 교부
|-
!소요 기간
|2개월 이상
|심사 8주전
|심사 6주전
|1~2주
| colspan="2" |100일 이내
|30일 이내
|2주~4주
|1일
|인증위원회 심의·의결 후 2주 이내
|}