ISRM 내용 정리

정보보호 최고책임자(CISO)의 지정 의무

1. 다음 중 하나에 해당하는 정보통신서비스 제공자 : 사업주 또는 대표자가 CISO
(1) 자본금이 1억원 이하인 자
(2) 소기업
(3) 전기통신사업자, 정보보호 관리체계 인증대상, 개인정보 처리방침을 공개해야 하는 개인정보처리자, 통신판매업자가 아닌 중기업
 
2.  다음 중 하나에 해당하는 정보통신서비스 제공자 : 이사가 CISO
(1) 직전 사업연도 말 기준 자산총액이 5조원 이상인 자
(2) 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액이 5천억원 이상인 자
 
3. 위의 1,2에 해당하지 않는 정보통신서비스 제공자 : (1) 사업주 또는 대표자 (2) 이사 (3) 부서의 장이 CISO 가능

정보보호 최고책임자(CISO)의 지정 조건

1. 정보보호 또는 정보기술 분야의 석사(국내외 상관없음)
2. 정보보호 또는 정보기술 분야의 학사(국내외 상관없음) + 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력(학위 취득 전의 경력 포함)
3. 정보보호 또는 정보기술 분야의 전문 학사(국내외 상관없음) + 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력(학위 취득 전의 경력 포함)
4. 정보보호 또는 정보기술 분야의 업무를 10년 이상 수행 경력
5. 정보보호 관리체계 인증심사원
6.  해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력
 
추가 특별 기준
1. 정보보호 분야의 업무를 4년 이상 수행한 경력
2. 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행(그중 2년 이상은 정보보호 분야의 업무 수행)

개인정보 보호책임자(CPO)의 지정 의무

1. 연간 매출액등이 1,500억원 이상인 자로서 다음의 어느 하나에 해당하는 자
(1) 5만명 이상의 정보주체에 관하여 민감정보 또는 고유식별정보를 처리하는 자
(2) 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자
2. 직전 연도 12월 31일 기준으로 재학생 수(대학원생 포함)가 2만명 이상인 학교
3. 상급종합병원
4. 공공시스템운영기관

개인정보 보호책임자(CPO)의 지정 조건

1. 공공기관: 다음 각 구분에 따른 기준에 해당하는 공무원
(1) 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관: 고위공무원단에 속하는 공무원
(2) (1)제외  정무직공무원을 장으로 하는 국가기관: 3급 이상 공무원
(3) (1),(2) 제외  고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관: 4급 이상 공무원
(4) (1)~(3) 제외  국가기관: 해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장
(5) 시ㆍ도 및 시ㆍ도 교육청: 3급 이상 공무원
(6) 시ㆍ군 및 자치구: 4급 이상 공무원
(7) 각급 학교: 해당 학교의 행정사무를 총괄하는 사람
(8) (1)~(7) 제외 공공기관: 개인정보 처리 관련 업무를 담당하는 부서의 장(2명 이상일 경우 공공기관의 장이 지정)

정보보호 관리체계 인증 의무 대상

1. 전년도 매출액 또는 세입이 1,500억원 이상 상급종합병원
2. 전년도 매출액 또는 세입이 1,500억원 이상이고, 재학생 수가 1만명 이상인 학교
3. 정보통신서비스 부문 전년도 매출액이 100억원 이상인 자 (*금융회사 제외)
4. 전년도 일일평균 이용자 수가 100만명 이상인 자 (*금융회사 제외)
5. 집적정보통신시설 사업자

정보보호 관리체계 인증 특례 대상

1. 정보통신서비스 부문 전년도 매출액이 300억원 미만인 중기업
2.  정보통신서비스 부문 전년도 매출액이 300억원 이상인 중기업 중에서 주요 정보통신설비를 직접 설치ㆍ운영하지 않는 자로서 다음의 어느 하나를 이용하는 곳
(1) 호스팅서비스
(2) 클라우드컴퓨팅서비스

위험관리의 순서

1. 위험 분석
2. 위험관리 전략 및 계획수립
3. 위험평가
4. 정보보호대책 수립
5. 정보보호계획 수립

정보보호 관리등급 부여의 심사 기준

1. 정보보호 관리체계의 구축 범위 및 운영기간
2. 정보보호를 위한 전담조직 및 예산
3. 정보보호 관리 활동 및 보호조치 수준

본인확인기관 심사 기준

1. 본인확인업무의 안전성 확보를 위한 물리적ㆍ기술적ㆍ관리적 조치계획
2. 본인확인업무의 수행을 위한 기술적ㆍ재정적 능력
3. 본인확인업무 관련 설비규모의 적정성

국내대리인 지정 대상자 범위

1. 전년도 매출액이 1조원 이상인 자
2. 정보통신서비스 부문 전년도 매출액이 100억원 이상인 자
3. 법을 위반하여 정보통신서비스 이용의 안전성을 현저히 해치는 사건ㆍ사고가 발생하였거나 발생할 가능성이 있는 경우로서 방송통신위원회로부터 관계 물품ㆍ서류 등을 제출하도록 요구받은 자

국내대리인 지정 시 공개사항

1. 국내대리인의 성명(법인의 경우에는 그 명칭 및 대표자의 성명)
2. 국내대리인의 주소(법인의 경우에는 영업소 소재지), 전화번호 및 전자우편 주소

불법촬영물 등의 유통을 방지하기 위한 책임자를 지정해야 하는 정보통신서비스 제공자

1.  특수유형부가통신사업자 중 부가통신역무를 제공하는 자
2. 부가통신사업을 신고한 자 중 다음의 하나에 해당하는 자
(1) 정 보통신서비스 부문 전년도 매출액이 10억원 이상
(2) 전년도 말 기준 직전 3개월간의 하루 평균 이용자 수가 10만명 이상

불법촬영물 

1. 관련 법률에 따른 촬영물 또는 복제물(복제물의 복제물을 포함)
2. 관련 법률에 따른 편집물ㆍ합성물ㆍ가공물 또는 복제물(복제물의 복제물을 포함)
3. 관련 법률에 따른 아동ㆍ청소년성착취물

정보보호 사전점검 기준

1. 정보통신망을 구축하거나 정보통신서비스를 제공하기 위한 시스템의 구조 및 운영환경
2. 제1호에 따른 시스템의 운영을 위한 하드웨어, 프로그램, 콘텐츠 등 자산 중 보호해야 할 대상의 식별 및 위험성
3. 보호대책의 도출 및 구현현황

정보보호 사전점검 방법

1. 서면점검
2. 현장점검
3. 원격점검

정보보호 사전점검 순서

1. 사전점검 준비
2. 설계 검토
3. 보호대책 적용
4. 보호대책 구현현황 점검
5. 사전점검 결과 정리

정보보호 사전점검 수수료 기준

1. 정보보호 사전점검을 받는 정보통신서비스 또는 전기통신사업의 규모
2. 정보보호 사전점검에 참가하는 자의 전문성
3. 정보보호 사전점검에 필요한 기간

개인정보 영향평가 시 고려사항

1. 처리하는 개인정보의 수
2. 개인정보의 제3자 제공 여부
3. 정보주체의 권리를 해할 가능성 및 그 위험 정도
4. 민감정보 또는 고유식별정보의 처리 여부
5. 개인정보 보유기간

개인정보 영향평가의 대상

1~3. 구축ㆍ운용 또는 변경하려는 개인정보파일
1. 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
2. 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
3. 100만명 이상의 정보주체에 관한 개인정보파일
4. 개인정보 영향평가를 받은 후에 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우 그 개인정보파일 (*이 경우 영향평가 대상은 변경된 부분으로 한정)

개인정보 영향평가의 평가 기준

1. 해당 개인정보파일에 포함되는 개인정보의 종류ㆍ성질, 정보주체의 수 및 그에 따른 개인정보 침해의 가능성
2. 안전성 확보 조치의 수준 및 이에 따른 개인정보 침해의 가능성
3. 개인정보 침해의 위험요인별 조치 여부
4. 그 밖에 법 및 이 영에 따라 필요한 조치 또는 의무 위반 요소에 관한 사항

집적정보통신시설을 안정적으로 운영하기 위한 보호조치

1. 정보통신시설에 대한 접근 권한이 없는 자의 접근 통제 및 감시를 위한 기술적ㆍ관리적 조치
2. 정보통신시설의 지속적ㆍ안정적 운영을 확보하고 화재ㆍ지진ㆍ수해 등의 각종 재해와 테러 등의 각종 위협으로부터 정보통신시설을 보호하기 위한 물리적ㆍ기술적 조치
3. 정보통신시설의 안정적 관리를 위한 관리인원 선발ㆍ배치 등의 조치
4. 정보통신시설의 안정적 운영을 위한 내부관리계획(비상시 계획 포함)의 수립 및 시행
5. 침해사고의 확산을 차단하기 위한 기술적ㆍ관리적 조치의 마련 및 시행

영리 목적의 광고성 정보 전달 시 하여서는 안되는 행위

1. 광고성 정보 수신자의 수신거부 또는 수신동의의 철회를 회피ㆍ방해하는 행위
2. 숫자ㆍ부호 또는 문자를 조합하여 전화번호ㆍ전자우편주소 등 수신자의 연락처를 자동으로 만들어 내는 행위
3. 영리목적의 광고성 정보를 전송할 목적으로 전화번호 또는 전자우편주소를 자동으로 등록하는 행위
4. 광고성 정보 전송자의 신원이나 광고 전송 출처를 감추기 위한 각종 행위
5. 영리목적의 광고성 정보를 전송할 목적으로 수신자를 기망하여 회신을 유도하는 각종 행위

개인정보관리 전문기관 지정 요건

1. 개인정보를 전송ㆍ관리ㆍ분석할 수 있는 기술수준 및 전문성을 갖추었을 것
2. 개인정보를 안전하게 관리할 수 있는 안전성 확보조치 수준을 갖추었을 것
3. 개인정보관리 전문기관의 안정적인 운영에 필요한 재정능력을 갖추었을 것

개인정보관리 전문기관 업무

1. 개인정보의 전송 요구권 행사 지원
2. 정보주체의 권리행사를 지원하기 위한 개인정보 전송시스템의 구축 및 표준화
3. 정보주체의 권리행사를 지원하기 위한 개인정보의 관리ㆍ분석
4. 중계전문기관: 개인정보 전송 중계에 필요한 기능을 제공하고 관련 시스템을 운영하는 업무 및 정보전송자의 전송을 지원하는 업무를 수행하는 자
5. 일반전문기관: 통합조회, 맞춤형 서비스, 연구, 교육 등을 위하여 정보전송자로부터 전송받은 개인정보(보건의료전송정보 제외)를 관리ㆍ분석하는 업무를 수행하는 자
6. 특수전문기관: 통합조회, 맞춤형 서비스, 연구, 교육 등을 위하여 정보전송자로부터 전송받은 보건의료전송정보를 관리ㆍ분석하는 업무를 수행하는 자

정보공유분석센터의 업무

1. 정보수집 : 해킹, 바이러스, 서비스 거부 등의 사이버테러에 대한 정보 수집
2. 정보분석 저장 : 수집된 정보를 분석하고 이를 바탕으로 최적의 대응방안 수립
3. 정보제공 : DB화한 정보를 효과적으로 공격 · 탐지 · 대응 · 예방할 수 있도록 회원사 신속 배포
4. 정보연계 : KISC 등 관계기관과의 연계를 통해 신속한 피해 복구

손해배상액을 정할 시 고려사항

1. 고의 또는 손해 발생의 우려를 인식한 정도
2. 위반행위로 인하여 입은 피해 규모
3. 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익
4. 위반행위에 따른 벌금 및 과징금
5. 위반행위의 기간ㆍ횟수 등
6. 개인정보처리자의 재산상태
7. 개인정보처리자가 정보주체의 개인정보 분실ㆍ도난ㆍ유출 후 해당 개인정보를 회수하기 위하여 노력한 정도
8. 개인정보처리자가 정보주체의 피해구제를 위하여 노력한 정도

법정손해배상의 청구

1. 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다.

손해배상책임의 이행을 위한 보험 등 가입 대상자 기준

1. 전년도의 매출액등이 10억원 이상일 것
2. 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 정보주체의 수가 일일평균 1만명 이상일 것

개인정보처리방침 평가제도

1. 적정성: 보호법상 처리방침에 포함해야 할 사항을 적정하게 정하고 있는지
2. 가독성: 처리방침을 알기 쉽게 작성했는지
3. 접근성: 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지

정보보호산업 진흥의 기반 조성을 위한 사업

1. 정보보호기술 수준의 조사 및 기반기술의 연구개발
2. 미래 성장유망분야의 정보보호 핵심 원천기술 발굴 및 개발
3. 정보보호기술에 관한 국제 공동연구 개발 및 지원
4. 정보보호기술의 상용화 및 지역의 정보보호 관련 산업의 클러스터 구축
5. 산ㆍ학ㆍ연 정보보호기술 공동연구 지원 사업
6. 정보보호기술의 거래 활성화 사업
7. 그 밖에 정보보호기술의 개발 및 투자촉진을 위하여 필요한 사업

정보보호 공시제도 의무대상

다음 중 어느 하나의 해당하는 경우 의무, 위반시 과태료 1천만원 이하
1. 회선설비 보유 기간통신사업자(ISP)
2.집적정보통신시설 사업자(IDC)
3. 상급종합병원
4. 클라우드컴퓨팅 서비스 제공자
5. 정보보호 최고책임자(CISO) 지정·신고 상장법인 中 매출액 3,000억원 이상
6. 정보통신서비스 일일평균 이용자 수 100만명 이상 (전년도말 직전 3개월간)

정보보호 공시 항목

1. 정보보호 투자 현황(정보기술부문 투자액, 정보보호부문 투자액, 비중 등)
2. 정보보호 인력 현황(정보기술부문 인력, 정보보호부문 전담인력, 비중 등)
3. 정보보호 관련 인증, 평가, 점검 등에 관한 사항
4. 정보보호를 위한 활동 현황

정보보호 공시제도 이행 혜택

1. 정보보호 관리체계(ISMS) 인증 수수료 30% 할인 (*자율공시 기업 대상)
2. 정보보호 투자 우수기업 표기(왕관 모양 아이콘, 자율/의무 기업 대상)
3. 정보보호 공시 우수기업 표창
4. 기업 홍보 및 신뢰도 제고
5. KISA 지원 사업 가점 부여

우수 정보보호 기술 지정제도 혜택

1. 과기정통부 장관 명의 지정서, 지정마크, 지정현판 등 제공
2. 판로지원 및 홍보지원
3. 과기정통부·KISA 지원사업 참여시 가점 부여

CC인증 평가기관

1. 한국시스템보증(KoSyAs)
2. 한국IT평가원(KSEL)
3. 한국정보통신기술협회(TTA)
4. 한국정보보안기술원(KOIST)
5. 한국인터넷진흥원(KISA)
6. 한국기계전기전자시험연구원(KTC)