통신위원회 고시로 정하게 되며, 안전진단대상자의 서비스 특성을 반영하여 일부 세부조치사항별로 준수사항을 차별화
- 「정보보호조치」의 구체적인 내용은 크게 관리적, 기술적, 물리적으로 구분했으며 이의 이행을 통해 대상사업자가 실질적으로 보안 수준을 제고하는데 도움이 될 수 있도록 작성함
o 「정보보호조치 및 안전진단 방법절차수수료에 관한 지침」해설서(정보보호 안전진단 해설서)
- 안전진단대상자, 안전진단수행기관 등 정보보호 안전진단 주체들의 「정보보호조치 및 안전진단 방법절차수수료에 관한 지침」에 대한 이해를 돕고 안전진단 이행 편의 도모와 수행기관의 객관적이고 일관된 안전진단 시행을 위함
- 「정보보호조치 및 안전진단 방법절차수수료에 관한 지침」해설서는 정보보호 안전진단을 받아야 하는 안전진단대상자가 보호조치를 이행하는데 유용하게 활용할 수 있도록 작성되었음. 다시 말하면 안전진단 준비를 함에 있어 「정보보호조치」에서 제시하고 있는 필요사항을 충족시키고 조직의 포괄적인 정보보호 대책을 수립하는 방법을 알 수 있도록 제작하였음
- 해설서에서 제시하는 기준에 대한 설명이 모든 조직에 적용 가능한 것은 아니나, 「정보보호조치」를 수립ㆍ이행하고자 하는 조직에서는 가능한 범위 내에서 본 해설서를 따르기를 권고함
※ 「정보보호조치 및 안전진단 방법절차수수료에 관한 지침」해설서 근거 조항(제9조) : 한국인터넷진흥원장은 이 지침에 대한 해설서를 마련하여 방송통신위원장의 승인을 받아 공표할 수 있다.
o 「정보보호조치」의 구성은 다음과 같다
구 분
주요내용
세부조치사항 항목 수
관리적
보호조치
o 정보보호조직의 구성운영
o 정보보호계획 등의 수립 및 관리
o 인적 보안
o 이용자 보호
o 침해사고 대응
o 정보보호조치 점검
o 정보자산 관리
5
6
5
1
1
1
2
기술적
보호조치
o 네트워크 보안
o 정보통신설비 보안
3
21
물리적
보호조치
o 출입 및 접근 보안
o 부대설비 및 시설 운영관리
2
1
총계
48
4) 용어의 정의
o “안전진단수행기관”이라 함은 정보통신망법 제46조의3 규정에 의한 안전진단수행기관으로서 안전진단을 수행하는 자를 말한다.
o “안전진단대상자”라 함은 정보통신망법 제46조의3제1항 제1호, 제2호, 제3호의 규정에 의하여 안전진단을 받아야 하는 자를 말한다.
o “정보통신설비 및 시설”라 함은 정보통신서비스제공자가 정보통신서비스를 제공하기 위한 서버, 네트워크 장비, 정보보호시스템 등의 정보통신설비와 정보통신설비의 운영관리에 필요한 전산시설, 부대시설 등의 정보통신시설을 총칭한다.
o "개선권고“라 함은 안전진단수행기관이 안전진단대상자에 대한 안전진단 수행 결과, 「정보보호조치 및 안전진단 방법절차수수료에 관한 지침」에 부합하지 않은 사항이 발견되어 안전진단대상자에게 개선을 권고하는 것을 말하며 또한 안전진단결과보고서 검토결과 안전진단수행기관의 형식적 진단 결과로 인해 안전진단 결과에 대한 신뢰성이 보장되지 않을 경우 이에 대해 방송통신위원회에서 개선명령을 내릴 수 있음을 의미한다.
o “개선권고 이행 확인”이라 함은 안전진단수행기관이 안전진단 결과로 요청한 개선권고 내용을 안전진단대상자가 이행하였는가를 수행기관이 재확인하는 것을 말한다.
o “개선명령”이라 함은 안전진단대상자가 안전진단수행기관의 개선권고를 정해진 기간 내에 조치하지 않은 경우 방송통신위원화가 개선권고의 이행을 명령하는 것을 말한다.
o “개선명령 이행 확인”이라 함은 방송통신위원화가 안전진단대상자에게 개선 명령을 하고 그 개선명령에 대한 이행 결과를 확인하는 것을 말한다.
o “안전진단수행기관인정서 반납”이라함은 시행령 제46조 안전진단수행기관의 인정절차 등에 따라 정보보호기술인력의 자격기준 및 정보보호컨설팅 수행실적을 충족하지 못하는 경우에는 방송통신위원회에게 안전진단수행기관인정서를 반납함을 의미한다.
o “안전진단 계획”이라 함은 안전진단대상자가 안전진단을 받기 위하여 안전진단의 일정, 범위 설정, 「정보보호조치 및 안전진단 방법절차수수료에 관한 지침」이행 등을 수립하는 것을 말한다.
o “안전진단 수행계획”이라 함은 안전진단수행기관이 안전진단대상자와의 계약에 따라 필요시 안전진단대상자에게 제공하는 안전진단의 상세 일정과 인력, 수검범위 등을 포함하는 수행 계획을 말한다.
o “쇼핑몰 등 정보통신서비스제공자”라 함은 매출액시설규모 등 대통령령이 정하는 기준에 해당하는 정보통신서비스제공자를 말한다.
※ 쇼핑몰 등도 다중이 이용하는 서비스제공자를 포함하여 타 정보통신서비스제공자도 포함
o “정보통신망“이라 함은 전기통신기본법 제2조제2호의 규정에 의한 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 정보통신체제를 말한다.
o “정보통신서비스“라 함은 전기통신기본법 제2조제7호의 규정에 의한 전기통신역무와 이를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 것을 말한다.
o “정보통신서비스제공자“라 함은 전기통신사업법 제2조제1항제1호의 규정에 의한 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다.
o “이용자“라 함은 정보통신서비스제공자가 제공하는 정보통신서비스를 이용하는 자를 말한다.
o “침해사고“라 함은 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부 또는 고출력 전자기파 등에 의하여 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인하여 발생한 사태를 말한다.
o “전기통신“이라 함은 유선무선광선 및 기타의 전자적 방식에 의하여 부호문언음향 또는 영상을 송신하거나 수신하는 것을 말한다.
o “전기통신설비“라 함은 전기통신을 하기 위한 기계기구선로 기타 전기통신에 필요한 설비를 말한다.
o “전기통신회선설비“라 함은 전기통신설비중 전기통신을 행하기 위한 송수신 장소간의 통신로 구성설비로서 전송선로설비 및 이것과 일체로 설치되는 교환설비 및 이들의 부속설비를 말한다.
o “전기통신역무“라 함은 전기통신설비를 이용하여 타인의 통신을 매개하거나 전기통신설비를 타인의 통신용으로 제공하는 것을 말한다.