미래창조과학부 사이버침해대응과 (☎ 02-2110-2979)
정보보호 관리체계* 인증 의무대상이 기존 영리목적의 정보통신서비스 제공자에서 의료·교육 등 민감정보를 다루는 비영리기관으로 확대됩니다.
* 정보보호 관리체계(ISMS : Information Security Management System) 인증제도 : 주요 정보자산 유출 및 피해를 사전에 예방하기 위한 목적으로 기업이 스스로 수립·운영 중인 정보보호 체계가 적합한지를 인증하는 제도
● 정보보호 관리체계 인증 신규 의무대상으로 세입이 1,500억 이상인 의료법상 상급종합병원 및 고등교육법상 재학생수 1만명 이상인 학교를 추가하고, 금융회사는 제외*하였습니다.
* 기존 의무대상자 : ① 정보통신망서비스 제공자, ② 집적정보통신시설(IDC) 사업자, ③ 정보통신서비스 부문 매출액 100억원 이상 또는 일평균 이용자수 100만명 이상
** 규제개혁위원회에서 중복규제 등의 우려를 이유로 인증 의무대상에서 제외하도록 개선권고(‘16.5.13)
● 또한, 정보보호 경영시스템 인증(ISO/IEC 27001), 개인정보보호 관리체계 인증 및 주요정보
통신기반시설 취약점의 점검 분석·평가 등을 받은 경우, 정보보호 관리체계 인증 취득시,
ISMS 심사항목 일부를 생략할 수 있도록 하여 기업 부담을 완화하였다.
● 한편, 인증 의무대상자가 고의적으로 인증을 회피하는 것을 방지하기 위해 정보보호 관리
체계 인증 미취득자에 대한 과태료 부과 상한을 현행 1천만원 이하에서 3천만원 이하로
상향하였습니다.
[ 개정 정보통신망법 주요내용 ]
- 추진배경 : 정보보호 관리체계 인증 제도 실효성 제고 및 기업부담 완화
- 주요내용 :
① 정보보호 관리체계 인증 의무대상 확대
– 세입이 1,500억 이상인 상급종합병원 및 재학생수 1만명 이상인 대학교 추가
② 정보보호 인증 취득자 중복 심사항목 생략으로 기업부담 완화
③ 정보보호 관리체계 인증 미취득자에 대한 과태료 부과 상향(1천만원 → 3천만원) - 시 행 일 : 2016년 6월 2일