안녕하세요

2023년도에 6월 30일까지 과학기술정보통신부에서 운영하는 "ISDS"에 공시를 해야한다.

질의사항을 정리해 보았습니다.

정보보호공시 적용대상

(자율공시) 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자(정보보호 산업법 제13조제1항) ※ 정보통신서비스(유·무선통신 서비스, 방송 서비스 등), 쇼핑몰, 포털, 인터넷 뱅킹 등 인터넷을 통하여 사업 활동을 하는 영리·비영리 업체 모두 포함 (의무공시) 사업분야, 매출액 및 서비스 이용자 수 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자(정보보호산업법 제13조제2항, 이하 ‘정보보호 공시 의무자’

1. 모든 기업은 반드시 정보보호 공시를 해야 하나요

「정보보호산업법」 시행령 제8조제1항의 기준을 충족하는 기업은 ‘정보보호 공시 의무자’로 반드시 정보보호 공시를 하여야 합니다. 정보보호 공시 의무자가 아니더라도 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자라면 누구나 자율적으로 정보보호 공시를 할 수 있습니다. 정보보호 현황 공시를 자율적으로 이행한 기업은 ISMS 인증 수수료 30% 할인 등 혜택을 받을 수 있습니다(정보보호 공시 의무자는 할인 미해당).

2. 의무대상 여부는 어떻게 알 수 있나요?

매년 4월 중 ‘정보보호 공시 의무자’ 대상(안)을 KISA 대표 홈페이지, ISDS 공지사항 등에 게시할 예정입니다(게시 일정 변동 가능). 확인 후, 의무대상 기준에 해당하지 않는다고 생각하는 기업은 의무 제외에 대한 소명자료를 안내 기일까지 정보보호 공시 담당자 메일*로 제출하면 내용 검토 후 개별 회신하여 드립니다. * KISA 정보보호 공시 담당자 이메일 주소: isds@kisa.or.kr

3. 의무대상 기준 중 일평균 이용자 수 100만은 어떻게 산정하나요?

이용자 수에 대한 의무대상 기준은 전년도 말 기준 직전 3개월간 정보통신서비스 일평균 이용자 수 100만 명 이상입니다. 여러 가지 정보통신서비스(홈페이지 및 앱 등)를 제공할 경우에는 해당 서비스의 이용자 수를 모두 합하여 계산합니다. 산정 기준은 전년도 10~12월의 순방문자 수(UV)*의 일일 평균입니다. * UV(Unique View): IP 기준 1일 방문자 수(동일 IP로 동일 일에 몇 회 방문 시 1명으로 산정)

4. 글로벌 기업의 경우 공시 주체는 누구인가요?

글로벌 기업 본사 또는 국내법인 중 국내 서비스의 제공 주체가 누구인지를 판단하여 정보보호 공시 의무대상이 결정됩니다. 의무공시 대상이 아닌 글로벌 기업도 자율적으로 정보보호 공시를 할 수 있습니다. 글로벌 차원에서 정보보호 체계를 구축·운영 중 기업이 국내에 한정된 정보를 취합하는 것이 어려운 경우 정보보호 투자, 인력 수치를 작성하지 않아도 무방하나, ‘특기사항’ 항목을 통하여 정보보호에 대한 기업의 노력을 작성하여야 합니다.

5. 우수정보보호 제품, 정보보호제품 성능평가 등도 정보보호 관련 인증, 평가, 점검 등에 관한 사항에 포함되나요?

우수정보보호 제품, 정보보호제품 성능평가 등은 기업에서 생산하는 제품 및 서비스 등에 대한 인증이기 때문에 이를 기업 전체의 정보보호 관련 인증, 평가, 점검으로 보기에는 한계가 있습니다. 따라서 제품 및 서비스에 대한 인증·평가는 정보보호 관련 인증, 평가, 점검 등에 관한 사항에 포함되지 않지만, 우수정보보호 제품, 정보보호제품 성능평가 제품을 개발·구매한 비용은 정보보호부문 투자비용으로 인정됩니다.

6. 정보보호 공시는 언제까지 해야 하나요?

정보보호산업의 진흥에 관한 법률(이하 ‘정보보호산업법’) 시행령 제8조제6항에 따라 매년 6월 30일까지 과학기술정보통신부장관이 운영하는 ISDS에 정보보호 현황을 제출하여야 합니다. 정보보호 현황은 공시연도의 직전연도(공시대상연도)에 해당하는 회계 및 인증 내용을 바탕으로 작성하며, 매년 정기적으로 공시를 이행하고 이용자·투자자 보호를 목적으로 신속하게 정보를 전달하기 위하여 신속하게 이행하는 것이 바람직합니다.

7. ISDS와 KIND 두 곳에 같이 공시를 해야 하나요?

과학기술정보통신부장관이 운영하는 ISDS에 하는 것이 원칙입니다. 다만, 자율적으로 정보보호 공시를 하는 자가 유가증권·코스닥·코넥스시장 상장법인일 경우에는 ISDS·KIND에 각각 공시 가능하며, 원하는 곳 한 곳에만 공시도 가능합니다(정보보호 공시 의무자는 ISDS 필수 공시).

8. 회계법인 또는 정보시스템 감리법인의 사전점검은 필수인가요?

회계법인 또는 정보시스템 감리법인의 사전점검 절차는 기업의 선택사항입니다. 사전점검 유무에 따라 제출해야 할 자료가 서로 다른 점을 유의하여야 하며, 사전점검을 받아 확인서 2종을 제출한 경우 당해연도 사후검증 대상에서 제외됩니다.

감사합니다.