ISMS-P 인증 대상
요약[편집 | 원본 편집]
의무 대상자는 ISMS 인증을 필수적으로 받아야 한다. ISMS-P를 받은 경우에도 ISMS를 받은 것으로 (당연)인정해 준다.
- 의무 대상자
구분 | 의무대상자 | 비고 |
---|---|---|
① | 「전기통신사업법」제6조제1항에 따른 등록을 한 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 | ISP |
② | 「정보통신망법」제46조에 따른 집적정보통신시설 사업자 | IDC |
③ | 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우
|
|
④ | 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자 | 정보통신서비스제공자 |
⑤ | 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자 | 정보통신서비스제공자 |
- 아래의 경우 ④의 기준으로 본다. 즉 매출이 100억 이상인 경우만 해당된다.
- ①에서 서울특별시 및 광역시가 아닌 곳에서 정보통신망서비스를 제공하는 자
- 직접정보통신시설 사업자가 아닌, 이들의 시설을 빌려서 서비스하는 VIDC
임의 신청자[편집 | 원본 편집]
ISMS-P를 구축·운영하여 적합성 여부를 판단하고자 하는 모든 개인정보처리자(공공기관, 민간기업, 법인, 단체 및 개인)와 정보통신서비스제공자는 자율적으로 인증을 신청할 수 있다.
- 임의신청자의 경우 인증범위를 신청기관이 정하여 신청할 수 있으며, 심사기준 및 심사절차는 의무대상자와 동일하다.
의무 대상자[편집 | 원본 편집]
인증 의무대상자는 ①정보통신망서비스를 제공하는 자(ISP) ②집적정보통신시설사업자(IDC) ③연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문의 전년도 매출액이 100억원 이상 또는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자이다.
- 인증 의무대상자는 ISMS 인증을 받아야 하며 ISMS-P 인증을 받은 경우에도 인증의무를 이행한 것으로 본다.
의무 대상자 기준[1]
구분 | 의무 대상자 기준 |
---|---|
정보통신망서비스 제공자(ISP) | 「전기통신사업법」 제6조 제1항에 따른 등록을 한 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 |
집적정보통신시설 사업자(IDC) | 정보통신망법 제46조에 따른 집적정보통신시설 사업자 |
매출액 또는 이용자수 요건에 따른 대상자 | 정보통신서비스 부문 전년도 매출액이 100억원 이상인 자 |
전년도 말 기준 직전 3개월간의 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자 | |
연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우
|
정보통신망서비스를 제공하는 자[편집 | 원본 편집]
정보통신망서비스를 제공하는 자(ISP)란 「전기통신사업법」 제6조 제1항에 따라 과학기술정보통신부 장관에게 등록을 하고 인터넷 서비스, 인터넷전화 서비스, 이동통신 서비스 등 정보통신망 서비스 제공 지역이 ‘서울특별시 및 모든 광역시’인 사업자를 말한다.
정보통신망법 및 같은 법 시행령 |
---|
정보통신망법 제47조(정보보호 관리체계의 인증) ② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.
|
정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위) ① 법 제47조제2항제1호에서 “대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자”란 서울 특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자를 말한다. |
※ 정보통신망서비스 제공자의 경우, 매출액과 이용자 수에 관계없이 인증 의무대상자에 해당함
- 정보통신망서비스(예시)
구분 | 서비스 | 세부 서비스 |
---|---|---|
정보통신망서비스 제공자(ISP)[2] | 기간통신서비스 | 인터넷 접속 서비스(초고속망 서비스) |
인터넷전화 서비스(VoIP) | ||
이동통신 서비스(셀룰라, PCS, 3G, 4G/LTE, 5G) |
집적정보통신시설사업자[편집 | 원본 편집]
집적정보통신시설사업자(IDC)란 정보통신망법 제46조 제1항의 규정에 따라 타인의 정보통신 서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자를 말한다.
정보통신망법 |
---|
제47조(정보보호 관리체계의 인증) ② 전기통신사업법 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.
|
※ 집적정보통신시설사업자의 경우, 매출액과 이용자 수에 관계없이 인증 의무대상자에 해당함
- 정보통신서비스 제공을 위해 자체적으로 시설을 구축하여 운영하는 자로서, 공간 임대서비스(Colocation) 또는 서버 임대(서버호스팅) 서비스 및 네트워크 서비스 등을 제공하는 사업자를 말한다.
- 타인에 의해 구축된 집적정보통신시설의 일부를 임대하여 서비스를 재판매하는 사업자(이하 “VIDC” 이라 한다)의 경우에는 정보통신망법 시행령 제49조 제2항에 따라 연간 매출액 또는 이용자 수 기준을 적용한다.
고시 |
---|
제19조(정보보호 관리체계 인증 의무대상자) ① 정보보호 관리체계 인증 의무대상자(이하 "의무대상자"라 한다)란 정보통신망법 제47조제2항, 같은 법 시행령 제49조에 해당하는 자를 말한다.
|
- 집적정보통신시설 서비스(예시)
구분 | 서비스 | 세부 서비스 |
---|---|---|
집적정보통신시설사업자 (IDC) | 부가통신서비스 | 서버 호스팅 |
스토리지 호스팅 | ||
코로케이션(Co-location) | ||
네트워크 제공 서비스(회선 임대 포함), 보안관리 서비스, 도메인관리 서비스 |
매출액, 이용자 수 기준[편집 | 원본 편집]
정보통신망법 및 같은 법 시행령 |
---|
정보통신망법 제47조(정보보호 관리체계의 인증) ② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.
|
정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위) ② 법 제47조제2항제3호에서 "대통령령으로 정하는 기준에 해당하는 자"란 다음 각 호의 어느 하나에 해당 하는 자를 말한다.
|
전년도 매출액 또는 세입 등이 1,500억원 이상인 자 중 대통령령으로 정하는 기준에 해당하는 자
- 전년도 매출액 또는 세입 등이 1,500억원 이상인 자 중 보건복지부장관에 의해 상급종합병원으로 지정된 ‘병원’과 재학생 수가 1만명 이상인 「고등교육법」상의 ‘학교’는 인증의무대상에 포함된다.
- '상급종합병원'은 매 3년마다 평가를 실시하여 재지정 하거나 지정이 최소 될 수 있다.
- 「고등교육법」상 '학교'의 종류에는 대학, 산업대학, 교육대학, 전문대학, 방송통신대학, 기술대학 등이 해당될 수 있다.
정보통신서비스 부문 전년도 매출액 100억원 이상인 자
- 정보통신서비스 부문 매출액은 정보통신서비스 제공을 통해 발생하는 연간 총 매출액의 합으로 산정 하며, 여러 가지 정보통신서비스를 제공할 경우에는 해당 서비스의 매출액을 모두 합하여 계산한다.
- 매출액은 국세청 등에 신고된 금액 또는 내부적으로 결산자료 등을 마련하여 공인회계사 등의 검증을 거친 객관적 자료를 이용 하며, 이러한 자료가 없으면 내부 회계자료에 대해 대표이사의 승인을 거친 자료를 이용
- 주요 정보통신서비스 매출액 구분(예시)
- 정보통신서비스 온라인 판매, 광고, 콘텐츠 이용 등으로 발생한 매출액과 부가수익, 수수료, 세금 등을 포함한 총 합계액
- 정보통신서비스 제공을 통해 직·간접으로 발생하는 연간 국내·외 매출액
구분 | 서비스 설명 | 정보통신서비스 부문 매출액 내역 |
---|---|---|
예약 서비스 | 정보통신망을 통해 서비스나 상품에 대한 예약 서비스를 제공하는 사업자 | 상품 및 서비스 판매매출, 수수료, 회원수익 매출, 광고매출, 부가수익 등 |
전자문서교환 (EDI)서비스 | 정보통신망을 통해 전자문서교환서비스를 제공 하는 사업자 | 콘텐츠 판매매출, 수수료, 광고매출, 회원 수익매출, 부가수익 등 |
전자지불 (PG)서비스 | 정보통신망을 통해 지불중계역무를 제공하는 사업자 | 지불중계수수료, 서비스매출, 회원수익매출, 부가수익 등 |
인터넷 포털 서비스 | 정보통신망 유·무선 포털 사이트를 제공하는 사업자 | 온라인 광고매출, 정보제공 수수료, 중계 수수료, 콘텐츠, 이용매출, 부가수익 등 |
인터넷 전자상거래 | 쇼핑몰 역무를 제공하는 사업자 | 판매 매출, 수수료, 광고매출, 부가수익 등 |
인터넷 방송 | 정보통신망을 통해 신문기사나 방송프로그램을 제공하는 사업자 | 콘텐츠 판매매출, 수수료, 광고매출, 회원 수익매출, 부가수익 등 |
인터넷 게임 | 인터넷게임서비스를 제공하는 사업자 | 게임이용매출, 아이템 판매매출, 광고매출, 수수료, 부가수익 등 |
금융 관련 서비스 | 정보통신망을 통한 금융업, 연금업, 보험관련 서비스업 등을 제공하는 사업자 | 인터넷 뱅킹·주식 거래·선물 거래 수수료, 인터넷 증권 중개, 홈트레이딩 기타 인터넷 금융 및 보험업 등 |
콘텐츠 제공 서비스 | 정보통신망을 통한 교육서비스, 실시간 음악 감상 서비스, 기타 콘텐츠제공 서비스를 제공하는 사업자 | 콘텐츠 이용매출, 수수료, 광고매출, 회원 수익매출, 부가수익 등 |
유선방송 서비스 (Cable-SO) | 종합유선 방송서비스와 종합유선전송 서비스를 제공하는 사업자 | 방송중계서비스 매출을 제외한 초고속인터넷 서비스 매출액 등 |
기타 | 정보통신망을 통한 기타 정보통신서비스를 제공 하는 사업자 |
- 쇼핑몰 유형 별 매출 구분(예시)
판매 유형 | 정보통신서비스 부문에 해당되는 매출액 |
---|---|
자체 쇼핑몰 운영 | 자체 쇼핑몰을 통한 제품 판매액 |
중개 쇼핑몰 이용 | 해당사항 없음 |
중개 쇼핑몰 운영 | 판매 중개수수료 + 입점료(해당하는 경우) |
자체 쇼핑몰 운영 + 중개 쇼핑몰 이용 | 자체 쇼핑몰을 통한 제품 판매액 |
중개 쇼핑몰 운영 + 자체 쇼핑몰 운영 | 판매 중개수수료 + 입점료(해당하는 경우) + 자체 쇼핑몰을 통한 제품 판매액 |
포인트 쇼핑몰 | 가맹점 수수료 + 고객 수수료 + 판매 수수료 + 기프티콘 |
전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상
- 일일평균 이용자 수는 일정 기간 동안의 정보통신서비스제공자의 홈페이지 방문자 수 등을 일평균 으로 환산한 이용자 수를 말하며, 여러 가지 정보통신서비스를 제공할 경우에는 해당 서비스의 이용자 수를 모두 합하여 계산한다.
- 자체적 또는 공식적으로 이용자 수 확인이 어려운 경우, 민간 통계기관 등의 데이터 활용
인증 의무 대상자 유의사항[편집 | 원본 편집]
- 인증 의무대상자 중 정보통신망서비스제공자와 집적정보통신시설 사업자는 매출액 및 이용자 수와 관계없이 인증 의무대상자에 해당된다.
- 집적정보통신시설의 일부를 임대하여 서비스를 재판매하는 사업자(VIDC)는 매출액 및 이용자 수 기준을 따르게 된다.
- 인증 의무대상자 기준 중에서 정보통신망법 제47조제2항의 어느 한 가지 이상의 기준에 해당할 경우, 인증 의무대상자가 된다.
- 인증 의무대상자는 스스로 법에서 정한 인증 의무대상자 기준에 해당하는지 여부를 확인하여 인증을 받아야 하며, 만약 의무대상자임에도 불구하고 인증을 취득하지 않은 사실이 확인되는 경우 과태료 부과 대상이 될 수 있다.
- 관리체계 구축 및 운영에 필요한 소요기간을 확인하여 인증심사에 차질이 없도록 준비해야 한다.
- 준비부터 인증취득까지는 약 6개월 이상이 소요되고, 인증 신청을 위해서는 최소 2개월 이상의 운영 기간이 필요하다.
인증 절차 및 소요기간(예시)
인증 절차 | ① 준비 | ② 심사 | ③ 인증 | |||||||
---|---|---|---|---|---|---|---|---|---|---|
관리체계 구축 후 운영 | 인증 신청 | 심사 준비 | 인증 심사 | 보완 조치 | 조치결과 확인 | 심사 결과보고서 작성 | 인증 위원회 심의 준비 | 인증 위원회 심의 | 인증서 교부 | |
소요 기간 | 2개월 이상 | 심사 8주전 | 심사 6주전 | 1~2주 | 100일 이내 | 30일 이내 | 2주~4주 | 1일 | 인증위원회 심의·의결 후 2주 이내 |