정보통신망법 주요내용 정리(1) 제2조 ~ 제45조의3

ISMS-P 인증심사원 자격시험 합격 수기 몇 편을 읽어 보았다. 

대부분 개인정보보호법, 정보통신망법, 정보보호 및 개인정보보호 인증 등에 관한 고시에 있는 내용은 모두 암기했다고 한다.

나도 정보통신망 이용촉진 및 정보보호 등에 관한 법률[2020.12.10. 시행] (이하 '정보통신망법' 또는 '망법')의 주요 내용을 몽땅 정리하여 숙지하기로 했다. 

 

정보통신망법은 2020년 데이터3법 개정에 따라, 개인정보보호에 관한 내용이 대거 삭제되었다. 

따라서, ISMS-P를 위해서 공부해야 할 내용이 생각보다 많지 않다. 

내 뇌피셜 상 숙지해야 한다고 생각하는 내용 위주로 정리하였고, 숙지하지 않아도 된다고 판단되는 부분은 기록하지 않았다. 

시간 날 때마다 계속 보면서 암기해야겠다. 

---

제2조(정의) 

해당 조에서 나오는 용어들을 어느정도 숙제할 필요가 있을 것 같다. 

일부 내 뇌피셜 상 중요하지 않은 것 같은 용어는 제외했다.

 

•  "정보통신망"이란 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 정보통신체제를 말한다.
• "정보통신서비스"란 전기통신역무와 이를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 것을 말한다.
• "정보통신서비스 제공자"란 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다.
• "이용자"란 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자를 말한다.
•  "전자문서"란 컴퓨터 등 정보처리능력을 가진 장치에 의하여 전자적인 형태로 작성되어 송수신되거나 저장된 문서 형식의 자료로서 표준화된 것을 말한다.
• "침해사고"란 해킹, 컴퓨터바이러스, 논리 폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태를 말한다.
• "게시판"이란 그 명칭과 관계없이 정보통신망을 이용하여 일반에게 공개할 목적으로 부호ㆍ문자ㆍ음성ㆍ음향ㆍ화상ㆍ동영상 등의 정보를 이용자가 게재할 수 있는 컴퓨터 프로그램이나 기술적 장치를 말한다.
• "전자적 전송매체"란 정보통신망을 통하여 부호ㆍ문자ㆍ음성ㆍ화상 또는 영상 등을 수신자에게 전자문서 등의 전자적 형태로 전송하는 매체를 말한다.

 

제22조의 2(접근권한에 대한 동의) 

o 정보통신서비스 제공자는 이동통신 단말장치에 저장되어 있는 정보 및 기능에 대하여 접근권한이 필요한 경우 다음 사항을 알리고 동의를 받아야 한다. 

• 접근권한이 필요한 정보 및 기능의 항목
• 접근권한이 필요한 이유
• 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실(반드시 필요한 접근권한이 아닌 경우만 해당. 이 경우 동의하지 않아도 서비스를 제공하여야 함)

o 동의를 받는 방법 : 소프트웨어를 설치, 실행하는 과정에서 안내 정보화면 또는 별도 화면 등에 표기

 

 

제23조의 2(주민등록번호의 사용 제한) 

o 주민등록번호를 수집할 수 있는 경우

1. 본인 확인기관
2. 본인 확인업무 수행과 관련하여 이용자의 주민등록번호를 수집/이용하는 경우(이 경우에도 주민등록번호 대체수단을 제공하여야 함)

 

제45조의 2(정보보호 사전점검) 

o 정보통신서비스 제공자는 정보통신망 신규 구축 또는 새로운 정보통신서비스를 제공하고자 할 때 그 계획 또는 설계 단계부터 사전점검을 실시할 수 있다.

o 정보보호 사전점검 기준

1. 해당 시스템의 구조 및 운영환경
2. 해당 시스템의 운영을 위한 하드웨어, 프로그램, 콘텐츠 등 자산 중 보호해야 할 대상의 식별 및 위험성
3. 보호대책의 도출 및 구현 현황

o 정보보호 사전점검 권고 대상 

1. 시스템 구축에 필요한 투자금액이 5억 원 이상인 정보통신서비스 또는 전기통신사업
2. 과학기술정보통신부에서 사업비를 지원하는 정보통신서비스 또는 전기통신사업 

o 정보보호 사전점검은 현장점검 또는 원격 점검으로 실시함

o 정보보호 사전점검 절차

1. 사전점검 준비
2. 설계 검토
3. 보호대책 적용
4. 보호대책 구현 현황 점검
5. 사전점검 결과 정리 

o 사전점검 권고를 받은 자는 직접 실시하거나 KISA, 외부 전문기관으로 실시하게 할 수 있으며, 사전점검은 시행령 별표 2에서 정한 자격기준을 갖춘 사람만 실시할 수 있다. 

 

출처 : 정보보호 사전점검 해설서

 

 

 

제45조의 3(정보보호 최고책임자의 지정 등)

 

o 정보통신서비스 제공자는 정보보호 최고책임자를 지정하고 과학기술정보통신부에 신고하여야 한다. (신고의무가 발생한 날부터 90일 이내에 지정 신고서 제출) 

 

 

o 정보보호 최고책임자를 지정하지 않아도 되는 기관

1. 부가통신 사업자
2. 소상공인
3. 전기통신사업자와 정보통신사업자(IDC 제외) 중 전년도 말 기준 직전 3개월간 일일 평균 이용자 수 100만 명 미만이고 정보통신서비스 부문 매출액 100억 원 미만

o정보보호 최고책임자 자격 기준 : 다음 중 하나에 해당하면 가능

1. 정보보호 또는 정보기술 분야의 석사 학위 이상
2. 정보보호 또는 정보기술 분야의 학사 학위 취득 후 관련 분야 경력 3년 이상
3. 정보보호 또는 정보기술 분야의 전문학사 취득 후 관련 분야 경력 5년 이상
4. 정보보호 또는 정보기술 분야 업무 10년 이상
5. ISMS 인증심사원 자격 보유
6. 해당 기관 소속 정보보호 관련 부서의 장 1년 이상

o 정보보호 최고책임자 겸직금지 기관

1. 직전 사업연도 말 기준 자산총액이 5조 원 이상(매출액 아님)
2. ISMS 인증 대상 기관 중 직전 사업연도 말 기준 자산총액이 5천억 원 이상

o 겸직금지 기관 정보보호 최고책임자 자격 기준

위 정보보호 최고책임자 자격 기준을 충족하면서 다음 어느 하나에 해당

1. 정보보호 분야 4년 이상 경력
2. 정보보호 분야 경력 + IT 경력 5년(그중 정보보호 경력 2년 이상)