-
정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시카테고리 없음 2022. 6. 18. 17:45728x90반응형
(과학기술정보통신부)
정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시
[시행 2021. 3. 31.] [과학기술정보통신부고시 제2021-27호, 2021. 3. 31., 일부개정]제1조(목적) 이 고시는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 "정보통신망법"이라 한다)」 제47조제3항ㆍ제4항, 같은 법 시행령 제47조부터 제53조의2까지의 규정 및 같은 법 시행규칙 제3조에 따른 정보보호 관리체계 인증과, 「개인정보 보호법」 제32조의2, 같은 법 시행령 제34조의2부터 제34조의8까지의 규정에 따른 개인정보보호 인증의 통합 운영에 필요한 사항을 정하는 것을 목적으로 한다.
제2조(용어의 정의) 이 고시에서 사용하는 용어의 정의는 다음 각 호와 같다.
ISMS-P("정보보호 및 개인정보보호 관리체계 인증")
일련의 조치와 활동이 인증기준에 적합함을 한국인터넷진흥원(이하 "인터넷진흥원"이라 한다) 또는 인증기관이 증명하는 것
"인증기관' : 과학기술정보통신부장관과 개인정보 보호위원회(이하 "보호위원회"라 한다)가 지정하는 기관
"심사기관" : 과학기술정보통신부장관과 보호위원회가 지정하는 기관
"인증심사" : 인터넷진흥원ㆍ인증기관 또는 심사기관(이하 "심사수행기관"이라 한다)이 서면심사 및 현장심사의 방법으로 확인하는 것
"인증위원회" : 인터넷진흥원 또는 인증기관의 장이 인증심사 결과 등을 심의ㆍ의결하기 위해 설치ㆍ운영하는 기구로서 위원장과 위원으로 구성
"최초심사"란 처음으로 인증을 신청하거나 인증범위에 중요한 변경이 있어서 다시 인증을 신청한 때 실시하는 인증심사
"사후심사"란 인증(인증이 갱신된 경우를 포함한다)을 받고난 후 매년 사후관리를 위하여 실시하는 인증심사
"갱신심사"란 유효기간 만료로 유효기간 갱신을 위해 실시하는 인증심사
인증 운영에 관한 정책 사항을 협의하기 위하여 정보보호 및 개인정보보호 관리체계 인증 협의회(이하 "협의회"라 한다)를 운영한다.
제16조(인증심사원 자격 취소)
② 인터넷진흥원의 장은 제1항에 따른 자격 취소의 적합여부를 심의ㆍ의결하기 위하여 자격심의위원회를 개최하여야 하며, 자격심의위원회는 제29조의 인증위원회 위원 3인 이상을 포함하여 구성한다.
③ 제1항에 따른 자격 취소에 대하여 인증심사원은 30일 이내에 이의신청을 할 수 있다.
제5장 인증심사의 신청 및 수수료 납부
제17조(신청인의 사전 준비사항)
① 인증기준에 따른 정보보호 및 개인정보보호 관리체계 또는 정보보호 관리체계를 구축하여 최소 2개월 이상 운영
제18조(인증 신청 등)
① 신청인은 다음 각 호의 인증을 선택하여 신청할 수 있다.
1. 정보보호 및 개인정보보호 관리체계 인증
2. 정보보호 관리체계 인증
③ 신청인은 인증범위 및 일정 등을 심사수행기관과 사전 협의하여 신청하여야 한다.
④ 심사수행기관은 제17조에 따른 신청인의 인증심사 사전준비사항을 확인할 수 있으며, 신청인의 준비가 미흡한 경우에는 신청인에 이를 보완할 것을 요구할 수 있다.
⑤ 심사수행기관은 인증범위의 변경이 필요한 경우에 이를 신청인과 협의하여 변경할 수 있다.
제19조(정보보호 관리체계 인증 의무대상자)
④ 의무대상자에 해당하는 자는 다음 해 8월 31일까지 인증을 받아야 한다
제20조(인증심사의 일부 생략 신청 등)
① 다음 각 호의 어느 하나에 해당하는 인증을 받거나 정보보호 조치를 취한 경우 별표 5의 인증심사 일부 생략의 범위 내에서 인증심사의 일부를 생략할 수 있다.
1. 국제인정협력기구에 가입된 인정기관이 인정한 인증기관으로부터 받은 ISO/IEC 27001 인증
2. 「정보통신기반 보호법」제9조에 따른 주요정보통신기반시설의 취약점 분석ㆍ평가
② 제1항에 따라 정보보호 관리체계 인증심사의 일부를 생략하려는 경우에는 다음 각 호의 요건을 모두 충족하여야 한다.
1.범위가 정보보호 관리체계 인증의 범위와 일치할 것
2.인증 신청 및 심사 시에 해당 국제표준 정보보호 인증이나 정보보호 조치가 유효하게 유지되고 있을 것
제21조(수수료의 산정)
③ 심사수행기관은 신청인이 다음 각 호의 어느 하나에 해당하는 경우 수수료를 감면 또는 조정할 수 있다.
2. 제20조에 따른 인증심사 일부 생략 신청을 하는 경우
3. 「정보보호산업의 진흥에 관한 법률」제13조에 따라 정보보호 현황을 공시한 자
4. 그 밖에 신청인과 협의하여 수수료 조정이 필요하다고 판단되는 경우
제22조(수수료의 납부) 신청인은 최초심사, 사후심사 및 갱신심사 신청 시 인증 수수료를 청구 받은 날부터 인증심사 시작일 이전까지 심사수행기관에 납부하여야 하며, 수수료를 납부하지 않은 경우 심사수행기관은 인증심사를 실시하지 아니할 수 있다.
제6장 인증심사의 기준과 방법
제24조(인증심사팀 구성)
① 심사수행기관은 인증심사 일정이 확정된 때에는 인터넷진흥원에 심사원 모집을 요청하여
인증심사팀을 구성하여야 한다.
제25조(인증심사 방법 및 보완조치)
① 인증심사는 신청인을 방문하여 서면심사와 현장심사를 병행한다.
④ 심사수행기관은 인증심사에서 발견된 결함에 대해 심사종료 다음날부터 최대 100일(재조치 요구 60일 포함) 이내에 보완조치를 완료하도록 신청인에게 요청할 수 있다.
⑤ 심사수행기관은 인증위원회 심의결과에 따라 인증위원회 종료 다음날부터 30일 이내에 신청인에게 추가 보완조치를 요구할 수 있다.
제26조(심사중단) ① 심사수행기관은 다음 각 호의 사유가 발생한 경우에는 인증심사를 중단할 수 있다.
1. 신청인이 고의로 인증심사의 실시를 지연 또는 방해하거나 신청인의 귀책사유로 인하여 인증심사팀장이 인증심사를 계속 진행하기가 곤란하다고 판단하는 경우
2. 신청인이 제출한 관련 자료 등을 검토한 결과 인증심사를 받을 준비가 되었다고 볼 수 없는 경우
3. 인증심사 후 제25조제4항에 따른 보완조치를 최대 100일(재조치 요구 60일 포함) 이내에 완료하지 않은 경우
4. 「재난 및 안전관리 기본법」제3조에 따른 재난의 발생 또는 경영환경 변화 등으로 인하여 인증심사 진행이 불가능하다고 판단되는 경우
② 심사수행기관은 제1항에 따라 인증심사를 중단하는 때에는 그 사유를 신청인에 서면으로 통보하여야 한다.
③ 심사수행기관은 제1항의 인증심사 중단 사유가 해소되거나 제36조에 따른 이의신청 처리결과에 따라 인증심사를 재개하거나 종결할 수 있다.
제27조(사후관리)
① 인증을 취득한 자는 인증서 유효기간 중 연 1회 이상 심사수행기관에 사후심사를 신청하여야 한다.
제28조(인증의 갱신)
① 인증을 취득한 자는 인증서 유효기간 만료 3개월 전에 갱신심사를 신청하여야 한다.
제7장 인증위원회 구성과 운영
제29조(인증위원회의 구성)
① 인증위원회를 설치ㆍ운영하여야 한다.
1. 최초심사 또는 갱신심사 결과가 인증기준에 적합한지 여부
2. 제35조제1항에 따른 인증의 취소에 관한 사항
3. 제36조에 따른 이의신청에 관한 사항
4. 그 밖에 정보보호 및 개인정보보호 관리체계 인증과 관련하여 위원장이 필요하다고 인정하는 사항
② 인증위원회는 35인 이내의 위원으로 구성
④ 인터넷진흥원 또는 인증기관의 장은 위원이 법령 또는 이 규정을 위반한 때에는 해당 위원을 해촉할 수 있다.
제30조(인증위원회의 운영)
① 인터넷진흥원 또는 인증기관의 요구로 개최하되, 회의마다 위원장과 인증위원의 전문분야를 고려하여 6인 이상의 인증위원으로 구성한다.
② 심의안건을 검토하여 위원회 개최 5일 전까지 인증위원회에 제출한다. 다만, 긴급한 경우나 부득이한 사유가 있는 경우에는 그러하지 아니하다.
⑤ 인터넷진흥원 또는 인증기관의 장은 인증위원회의 심의ㆍ의결 결과를 제출받은 때에는 신청인에게 결과를 통보하여야 한다.
제8장 인증서의 발급ㆍ관리 및 홍보
- 주체 : 인터넷진흥원 또는 인증기관
제32조(인증서의 발급 등)
제33조(인증서 관리 및 재발급)
제34조(인증의 표시 및 홍보)
제35조(인증의 취소)
제36조(이의신청)
① 신청인 또는 인증을 취득한 자가 인증심사 결과 또는 인증 취소처분에 관하여 이의가 있는 때에는 그 결과를 통보받은 날부터 15일 이내
③ 인터넷진흥원 또는 인증기관은 이의신청에 대한 처리결과를 신청인 또는 인증을 취득한 자에 통지하여야 한다.
728x90반응형