정보보호 공시제도

1. 이용자에게 객관적인 기업 선택의 기준을 제시, 정보보호 공시제도의 개요

1) 정보보호 공시제도의 개념

- 이용자의 안전한 인터넷 이용과 기업의 정보보호 투자 활성화를 위해 기업의 정보보호 투자 인력활동 등에 관한 정보를 공개하도록 하는 제도  - 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 이용하는 자의 안전한 인터넷이용을 위하여 정보보호 투자 및 인력 현황, 정보보호 관련 인증 등 정보보호 현황을 대통령령으로 정하는 바에 따라 공개할 수 있다.

2) 정보보호 공시제도의 등장배경

등장배경	설명
사회·경제 전반의 디지털대전환	- 사이버 침해사고가 기업의 경제적 피해, 대외 신뢰도 저하 등 기업 경영에 직접적인 영향 발생
기업 정보보호 현황 불투명	- 기업의 정보보호 현황은 위험관리(Risk Management)와 관련된 주요 정보이지만   시장에서 투명하게 공개되지 않음

- 정보보호 공시제도는 이용자 보호 및 알권리를 보장하고 기업의 자발적인 정보보호 투자를 촉진하기 위한 제도

---

2. 정보보호 공시제도 적용대상

1) 정보보호 공시제도의 자율공시 및 의무공시 대상

자율공시	- 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자(정보보호산업법 제13조제1항) ※ 정보통신 서비스(유·무선통신 서비스, 방송 서비스 등), 쇼핑몰, 포털, 인터넷 뱅킹 등 인터넷을 통해 사업 활동을 하는 영리, 비영리 업체 모두 포함
	- 관련근거 : 「정보보호산업의 진흥에 관한 법률」 제13조(정보보호 공시) ① 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 이용하는 자의 안전한 인터넷이용을 위하여 정보보호 투자 및 인력 현황, 정보보호 관련 인증 등 정보보호 현황을 대통령령으로 정하는 바에 따라 공개할 수 있다. 이 경우 「자본시장과 금융투자업에 관한 법률」 제159조에 따른 사업보고서 제출대상 법인은 같은 법 제391조에 따라 정보보호 준비도 평가 결과 등 정보보호 관련 인증 현황을 포함하여 공시할 수 있다.
의무공시	- 사업분야, 매출액 및 서비스 이용자 수 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자(정보보호산업법 제13조제2항)
	- 관련근거 : 「정보보호산업의 진흥에 관한 법률」 제13조(정보보호 공시) ② 제1항에도 불구하고 정보통신서비스를 이용하는 자의 안전한 인터넷이용을 위하여 정보보호 공시를 도입할 필요성이 있는 자로서 사업 분야, 매출액 및 서비스 이용자 수 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자는 제1항에 따른 정보보호 현황을 공시하여야 한다. 다만, 다른 법률의 규정에 따라 정보보호 현황을 공시하는 자는 제외한다.

2) 정보보호 공시제도의 의무공시 기준

구분	기준	설명
정보보호 공시  의무대상 기준	사업 분야	• 회선설비 보유 기간통신사업자(ISP) ※ 「전기통신사업법」 제6조제1항
		• 집적정보통신시설 사업자(IDC) ※ 「정보통신망법」 제46조
		• 상급종합병원 ※ 「의료법」 제3조의4
		• 클라우드컴퓨팅 서비스제공자 ※ 「클라우드컴퓨팅법」 시행령 제3조제1호
	매출액	• 정보보호 최고책임자(CISO)* 지정·신고해야하는 유가증권시장 및 코스닥시장 상장법인 중 매출액 3,000억 원 이상
	이용자 수	• 정보통신서비스 일일평균 이용자 수** 100만 명 이상 (전년도말 직전 3개월간)
	* Chief Information Security Officer: 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 담당하는 정보보호 최고책임자 ** 이용자 수: 순방문자수(Unique View : IP 기준 1일 방문자 수)
정보보호 공시 의무 예외 기준	공공기관	• 공기업 및 준정부기관 등 ※ 「공공기관운영법」
	소기업	• 평균매출액 120억 원 이하 기업 ※ 「중소기업기본법 시행령」 제8조제1항 - 업종별 매출액 기준 상이(10~120억원), 정보통신업은 50억원 이하
	금융회사	• 은행, 보험, 카드 등 금융회사 ※ 「전자금융거래법」 제2조제3호
	전자금융업자	• 정보통신업 또는 도·소매업을 주된 사업*으로 하지 않는 전자금융업자 ※ 「전자금융거래법」 제2조제4호, 한국표준산업분류
	* 하나의 기업이 둘 이상의 서로 다른 업종을 영위하는 경우에 직전 사업연도의 매출액 비중이 가장 큰 업종을 기준으로 해당 기업의 주된 업종을 판단함 ※ 소기업의 경우, 「중소기업 범위 및 확인에 관한 규정」에 따라 중소기업현황정보시스템을 통해 발급받은 확인서 제출 필요

 

3. 공시점검단 구성

구분	자격요건
회계사	• 공인회계사법에 의한 공인회계사로 등록 된 회계사
정보시스템감리사	• 전자정부법에 의한 감리원 자격을 취득한 자
정보보호 전문가	• ISMS-P 인증심사원, 정보보호 컨설턴트 등 정보보호 관련 업계 6년 이상 종사자

---

참고. 정보보호 공시제도 주요용어

주요용어	설명
정보보호 공시 제도	- 이용자의 안전한 인터넷 이용과 기업의 정보보호 투자 활성화를 위해 기업의 정보보호 투자 인력활동 등에 관한 정보를 공개하도록 하는 제도
공시대상연도	- 정보보호 공시를 이행하는 연도의 직전연도 ※ 예를 들어 기업의 회계연도가 4월부터 다음해 3월까지라고 하더라도 2022년에 공시하려고 할 경우 자산의 감가상각비나 비용을 산정할 때 자료는 2021년 1월 1일부터 12월 31일까지 발생한 자료를 바탕으로 정보보호 현황을 작성(공시연도의 직전연도의 회계자료를 바탕으로 공시자료를 산출하기 때문)
정보보호 투자현황	- 정보보호 공시자가 공시대상연도의 투자액에서 정보기술부문 투자액과 정보보호부문 투자액을 산정하여 산출한 자료
정보기술부문 투자액	- IT 기획·개발·운영·유지·보수 및 정보보호 등에 소요되는 모든 경비의 합계로서 기업회계기준에 따라 발생주의*에 의한 비용
정보보호부문 투자액	- 정보보호 등에 소요되는 모든 경비의 합계로서 기업회계기준에 따라 발생주의*에 의한 비용 ▶ 정보기술부문으로 분류된 자산(감가상각비)·인건비·비용 중에서 정보보호와 관련된 자산·인건비·비용을 분류하여 산출
정보보호 인력현황	- 정보보호 공시자가 공시대상연도의 인력에서 정보기술부문 인력과 정보 보호부문 인력을 집계하여 산출한 자료
정보기술부문 인력	- 정보기술부문 인력은 정보기술 및 정보보호 업무를 전담하는 내부인력 (정규직, 계약직)과 외부인력(사내파견, 외부전담)의 공시대상연도 월평균 인원
정보보호부문 전담인력	- 정보보호부문 전담인력은 정보보호 업무를 전담하는 내부인력(정규직, 계약직)과 외부인력(사내파견, 외부전담)의 공시대상연도 월평균 인원
정보보호 관련 인증· 평가·점검 등에 관한 사항	- 정보보호 공시자가 공시대상연도 내에 취득하거나, 인증 기간이 공시대상 연도 내에 유효한 인증, 평가, 점검 현황
정보보호를 위한 활동	- 정보보호 공시자가 공시대상연도 내에 수행한 정보보호 관련 내·외부 활동

- 발생주의는 회계처리를 하는 방법의 하나로 현금 유출입 시점에 관계없이 거래나 그 밖에 경제적 가치가 창출, 변형, 교환, 이전 또는 소멸되는 시점에 거래를 기록하고 표시하는 것

 

※ 출처: 정보보호 공시 가이드라인 개정본(2021.12) (과학기술정보통신부/한국인터넷진흥원)