【제정·개정문】

⊙과학기술정보통신부고시 제2021-27호

(과학기술정보통신부) 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 일부를 다음과 같이 개정한다.

2021년 3월 31일

과학기술정보통신부장관

(과학기술정보통신부) 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 일부개정고시

(과학기술정보통신부) 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 일부를 다음과 같이 개정한다.

제2조에 제8호의2를 다음과 같이 신설한다.

8의2. "심사팀장"이란 인증심사를 수행하기 위해 구성한 팀의 책임자를 말한다.

제6조제1항 중 "인증기관 또는 심사기관"을 "인증기관"으로 하고, 같은 조 제2항 각 호 외의 부분 중 "제1항에 따라 인증기관"을 "인증기관"으로 하며, 같은 조 제3항을 제4항으로 하고, 같은 조에 제3항을 다음과 같이 신설한다.

③ 심사기관 지정 신청일을 기준으로 다음 각 호의 어느 하나에 해당하는 자는 심사기관으로 지정받을 수 없다.

1. 최근 6개월 이내에 제7조제2항에 따른 심사에서 지정기준을 충족하지 못한 자

2. 최근 1년 이내에 정보통신망 제47조의2제1항에 따라 지정이 취소된 자

제7조에 제5항을 다음과 같이 신설한다.

⑤ 과학기술정보통신부장관과 보호위원회는 제4항에 따라 지정서를 발급받은 자를 관보 또는 인터넷 홈페이지에 공고하여야 한다.

제8조에 제3항 및 제4항을 각각 다음과 같이 신설한다.

③ 과학기술정보통신부장관과 보호위원회는 제2항에 따른 지정기준의 충족여부 심사, 자료제출 요구 또는 현장심사에 관한 업무를 인터넷진흥원에 위탁할 수 있다.

④ 과학기술정보통신부장관과 보호위원회는 사후관리 결과 지정기준의 충족여부 등에 결격사유가 확인될 경우 보완을 요구할 수 있다.

제11조제1항제4호 중 "정보통신망법 제47조제11항"을 "정보통신망법 제47조제11항 및 개인정보보호법 제32조의2제5항"으로 하고, 같은 항 제5호 중 "정보통신망법 제47조제12항"을 "정보통신망법 제47조제12항 및 개인정보보호법 시행령 제34조의6제1항제2호"로 하며, 같은 조에 제3항을 다음과 같이 신설한다.

③ 과학기술정보통신부장관과 보호위원회는 제1항에 따라 지정을 취소하거나 업무정지를 명한 사실을 관보 또는 인터넷 홈페이지에 공고 하여야 한다.

제15조에 제6항을 다음과 같이 신설한다.

⑥ 제5항에도 불구하고 인터넷진흥원은 다음 각 호의 어느 하나에 해당하면 인증심사원 자격의 유효기간을 연장할 수 있다.

1. 제29조제2항에 따른 인증위원회 위원으로 인정된 자

2. 「재난 및 안전관리 기본법」 제3조에 따른 재난의 발생 등 협의회가 인정하는 불가피한 경우

제17조제2항제1호 중 "증적자료"를 "증거자료"로 한다.

제19조에 제5항을 다음과 같이 신설한다.

⑤ 「재난 및 안전관리 기본법」제3조에 따른 재난의 발생 등 협의회가 인정하는 불가피한 사유로 제4항의 기한까지 인증을 받지 못한 경우 의무대상자의 인증 의무 이행 기한을 협의회가 정하는 바에 따라 연장할 수 있다.

제20조제1항 각 호 외의 부분 중 "제18조제1항제2호의 정보보호 관리체계 인증을 신청한 자가"를 "신청인이"로 하고, 같은 조에 제5항 및 제6항을 각각 다음과 같이 신설한다.

⑤ 정보통신망법 시행규칙 제3조제3항에서 "과학기술정보통신부장관이 고시하는 결과"란 「교육부 정보보안 기본지침」 제94조제1항에 따른 정보보안 수준에 대한 해당 연도의 평가결과가 만점의 100분의 80 이상인 것을 말한다.

⑥ 심사수행기관은 신청인의 인증범위 내에서 업무를 위탁받아 처리하는 자가 제18조제1항 각 호의 인증을 받은 범위의 현장심사를 생략할 수 있다.

제21조제3항 각 호 외의 부분 중 "호"를 "호의 어느 하나"로 하고, 같은 항 제1호를 다음과 같이 하며, 같은 항 제3호를 제4호로 하고, 같은 항에 제3호를 다음과 같이 신설한다.

1. 「중소기업기본법」제2조제2항에 따른 소기업

3. 「정보보호산업의 진흥에 관한 법률」제13조에 따라 정보보호 현황을 공시한 자

제23조제1항을 다음과 같이 하고, 같은 조 제2항 중 "심사수행기관은 신청인과 협의를 통해"를 "과학기술정보통신부장관과 보호위원회는"으로, "업무특성"을 "업무특성, 기업규모"로, "인증심사 항목을 조정"을 "구체적인 확인사항을 관보 또는 인터넷 홈페이지에 공고"로 한다.

① 다음 각 호의 인증의 구분에 따라 별표 7의 인증기준을 적용한다.

1. 정보보호 및 개인정보보호 관리체계 인증 : 별표 7 가목부터 다목

2. 정보보호 관리체계 인증 : 별표 7 가목 및 나목

제24조제2항 중 "구성하고 심사팀장은 심사수행기관 소속의 심사원 이상으로 선정"을 "구성"으로 하고, 같은 조 제3항 중 "해당 심사원"을 "인증심사원"으로 한다.

제25조제2항 중 "증적자료"를 "증거자료"로 하고, 같은 조 제6항을 다음과 같이 한다.

⑥ 제1항에도 불구하고 「재난 및 안전관리 기본법」 제3조에 따른 재난의 발생 등 협의회가 인정하는 불가피한 경우 원격심사를 병행할 수 있다.

제26조제1항제4호 중 "천재지변 및"을 "「재난 및 안전관리 기본법」제3조에 따른 재난의 발생 또는"으로 한다.

별표 제6 제