ISMS-P정보통신망법 주요내용 정리(2) 제46조 ~ 제48조의4

제46조(집적된 정보통신시설의 보호)

ㅇ 집적정보통신시설 사업자는 다음과 같은 보호조치를 하여야 한다. 

• 정보통신시설에 접근 권한이 없는 자의 접근 통제 및 감시를 위한 기술적/관리적 조치
• 정보통신시설의 지속적/안정적 운영을 확보하고 화재/지진/수해 등의 각종 재해와 테러 등의 각종 위협으로부터 정보통신시설을 보호하기 위한 물리적/기술적 조치
• 정보통신시설의 안정적 관리를 위한 관리인원 선발/배치 등의 조치
• 정보통신시설의 안정적 운영을 위한 내부관리계획(비상시 계획을 포함한다)의 수립/시행
• 침해사고의 확산을 차단하기 위한 기술적/관리적 조치의 마련 및 시행
• (집적정보 통신시설 보호지침 참조)

ㅇ 집적정보통신시설 사업자는 사업 개시와 동시에 정보보호 책임보험에 가입하여야 한다. 책임보험의 최저 보험금액은 다음과 같다. 

• 매출액 100억 이상 : 10억원
• 매출액 10억 이상 100억 미만 : 1억 원
• 매출액 10억 미만 : 5천만 원

제46조의 2(집적정보통신시설 사업자의 긴급대응)

ㅇ 집적정보통신시설 사업자는 다음에 해당하는 경우 이용약관으로 정하는 바에 따라 해당 서비스의 전부 또는 일부 제공을 중단할 수 있다. 

1. 시설 이용자의 정보시스템에서 발생한 이상현상으로 다른 시설 이용자에게 장애를 발생시킬 우려가 있는 경우
2. 외부에서 발생한 침해사고로 시설에 심각한 장애가 발생할 우려가 있는 경우
3. 중대한 침해사고로 KISA 또는 과기부에서 요청하는 경우

ㅇ 위 사안에 따라 서비스를 중단하는 경우 중단 사유, 발생 일시, 기간, 내용 등을 구체적으로 시설이용자에게 알려야 하며, 중단 사유가 없어지면 서비스 제공을 재개하여야 한다. 

 

 

제47조(정보보호 관리체계의 인증)

ㅇ ISMS 인증 의무 대상자 

 

사진 출처 : KISA ISMS 포털

ㅇ 인증 의무대상기관이 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우 심사 일부를 생략할 수 있다. 

• ISO/IEC27001 인증을 받거나 정보통신 기반보호법 제9조에 따른 취약점 분석/평가를 받은 경우 심사 일부를 생략할 수 있음 
• 심사 생략은 ISMS 단일 인증만 가능하며, ISMS-P 인증, 혼합 인증은 일부 생략할 수 없음
• 생략 요건 : 정보보호 조치의 범위가 ISMS 인증 범위와 일치할 것, 심사시점에 인증 또는 조치가 유효할 것 
• 인증 신청서 작성 시 생략 신청서를 작성하여 제출
• 생략 사항은 인증서에 표기됨

ㅇ 관리체계 인증의 유효기간은 3년이며, 정보보호 관리등급을 받은 경우 그 유효기간 동안 인증이 유효하다. 

ㅇ ISMS 인증기관은 다음 업무를 수행한다. 

1. 인증 심사
2. 인증심사 결과의 심의
3. 인증서의 발급/관리
4. 인증이 사후관리
5. 정보보호 관리체계 인증심사원의 양성 및 자격 관리
6. 그 밖에 ISMS 인증에 관한 업무

ㅇ 심사기관은 연 1회 이상 사후관리를 실시하고 결과를 과기부에 통보한다. 

• 심사기관은 사후관리 결과 인증 취소의 사유가 있는 경우 KISA 또는 인증기관에 사후관리 결과를 즉시 제출한다. 
• 인증 취소 사유가 있거나, 심사기관으로부터 심사 결과를 제출받은 경우에 KISA 또는 인증기관은 인증위원회 심의를 거쳐 결과를 과기부에 통보한다.

ㅇ 인증을 받은 기관은 인증의 내용을 표시/홍보할 수 있되, 이 경우 인증의 범위와 유효기간을 함께 표시하여야 한다. 

ㅇ 과기부 장관은 다음에 해당하는 경우 인증을 취소할 수 있다. 

1. 거짓이나 부정한 방법으로 정보보호 관리체계 인증을 받은 경우(반드시 취소)
2. 인증기준에 미달하게 된 경우
3. 사후관리를 거부 또는 방해한 경우

ㅇ 인증을 받으려는 자는 다음의 내용을 포함하는 ISMS 인증신청서를 작성하여 KISA 또는 인증기관 또는 심사기관에 제출한다. 

1. ISMS 범위
2. ISMS 범위에 포함된 주요 정보통신설비의 목록과 시스템 구성도
3. ISMS 수립/운영 방법 및 절차
4. ISMS와 관련된 주요 문서의 목록
5. ISMS와 관련된 국내외 품질경영체제의 인증을 취득한 경우 그 명세

ㅇ 심사기관은 인증심사 결과를 KISA 또는 인증기관에 제출하여야 한다. 

ㅇ KISA, 인증기관은 인증심사 결과 심의를 위하여 인증위원회를 설치/운영하여야 한다. 

ㅇ 인증위원회 심의 결과 적합한 경우 인증서를 발급한다. 

 

제47조의 4(이용자의 정보보호) 

ㅇ 주요 정보통신서비스 제공자*는 정보통신망에 중대한 침해사고가 발생한 경우 서비스 이용자에게 심각한 장애가 발생할 가능성이 있으면 이용약관으로 정하는 바에 따라 이용자에게 보호조치를 취하도록 요청하고 이를 이행하지 않는 경우 정보통신망 접속을 일시 제한 할 수 있다. 

 * 주요정보통신서비스 제공자는 전국적으로 정보통신망 서비스를 제공하는 전기통신사업자를 말한다. 

ㅇ 소프트웨어 사업자는 보안 취약점을 보완하는 프로그램을 제작한 경우 KISA에 알려야 하고 소프트웨어 사용자에게는 제작하 날로부터 1개월 이내에 2회 이상 알려야 한다.

ㅇ 이용자에 대한 보호조치 요청에 관하여 이용약관에 다음 사항을 명시해야 한다. 

1. 이용자에게 보호조치를 요청할 수 있는 사유 및 요청하는 방법
2. 이용자가 하여야 할 보호조치의 내용
3. 이용자가 보호조치를 이행하지 아니할 경우 정보통신망으로의 접속 제한 기간
4. 이용자의 보호조치 불이행에 대하여 부당한 접속 제한을 한 경우 이용자의 이의제기 및 배상 절차

제47조의 5(정보보호 관리등급 부여)

ㅇ ISMS 인증을 받은 자는 과기부로부터 정보보호 관리등급을 받을 수 있다. 

ㅇ 과기부 장관은 KISA로 관리 등급 부여 업무를 수행하게 할 수 있다. 

ㅇ 관리등급을 받은 자는 등급의 내용을 표시하거나 홍보용으로 사용할 수 있되, 이 경우 인증의 범위와 유효기간을 함께 표시하여야 한다. 

ㅇ 과기부 장관은 다음에 해당하는 경우 등급 부여를 취소하여야 한다. 

1. 거짓이나 그 밖의 부정한 방법으로 관리등급을 받은 경우(반드시 취소)
2. 등급기준에 미달하게 된 경우

ㅇ 관리등급 심사 기준

1. ISMS 구축 범위 및 운영기간
2. 정보보호를 위한 전담조직 및 예산
3. 정보보호 관리 활동 및 보호조치 수준

ㅇ관리등급 부여 절차

1. 관리등급을 부여받으려는 자는 관리등급 신청서 + ISMS 인증서 사본을 KISA에 제출한다. 
2. 심사는 서면+현장심사로 실시한다. 
3. KISA는 심사 결과가 적합한 경우 정보보호 관리등급 증명서를 발급한다. 

ㅇ 정보보호 관리등급의 유효기간은 1년이다. 

 

 

 

제48조의 2(침해사고의 대응 등) 

ㅇ 과기부에서 다음 각 호의 업무를 수행하고 필요시 KISA가 수행하도록 할 수 있다. 

1. 침해사고에 관한 정보의 수집/전파
2. 침해사고의 예보/경보
3. 침해사고에 대한 긴급조치
4. 주요 정보통신서비스 제공자 및 집적 정보통신 사업자에 대한 접속경로의 차단 요청(침해사고 관련 접속경로만 해당)
5. 소프트웨어 사업자 중 침해사고 관련 SW를 제작/배포한 자에 대하여 취약점을 수정/보완한 프로그램의 제작/배포 요청 및 정보통신서비스 제공자에 대한 보안 취약점 보완 프로그램의 정보통신망 게재 요청
6. 언론기간/정보통신서비스 제공자에 대한 침해사고 예보/경보의 전파
7. 국가 정보통신망 안전에 필요한 경우 관계 기관의 장에 대한 침해사고 관련 정보의 제공

ㅇ 다음에 해당하는 자는 침해사고의 유형별 통계, 해당 정보통신망의 소통량 통계 및 접속 경로별 이용 통계 등 침해사고 관련 정보를 과기부나 KISA에 제공하고, KISA는 해당 정보를 분석하여 과기부에 보고하여야 한다. 

1. 주요 정보통신서비스 제공자
2. IDC
3. 주요 정보통신 기반시설
4. 정보통신서비스 제공자의 정보통신망 운영현황을 주기적으로 관찰하고 침해사고 관련 정보를 제공하는 서비스를 제공하는 자
5. 기간통신사업자
6. 포털 서비스 사업자
7. 호스팅 서비스 제공자
8. 게임 사업자
9. 인터넷 멀티미디어 방송 제공사업자
10. 컴퓨터 바이러스 백신 소프트웨어 제조자

ㅇ 침해사고 관련 정보를 제공하는 자는 다음 방법에 따라 제공하여야 한다. 

1. 과기부에서 정보통신망의 특성, 침해사고 동향 등을 고려하여 정하는 제공 방식에 적합할 것
2. 침해사고 관련 정보의 훼손/멸실 및 변경 등을 방지할 수 있는 조치를 취할 것 
3. 필요할 때에는 과기부에서 정하는 암호기술을 적용할 것

 

제48조의 3(침해사고의 신고 등)

정보통신서비스 제공자 또는 IDC는 침해사고 발생 즉시 과기부 또는 KISA에 신고하여야 한다. 

 

제48조의 4(침해사고의 원인 분석 등) 

정보통신망 운영자는 침해사고 발생 시 침해사고의 원인을 분석하고 피해 확산을 방지하여야 한다. 

과기부 장관은 민관합동조사단을 구성하여 침해사고의 원인을 분석한다.