ISMS-P 법적 근거 -"피사칠삼이~"

 

ISMS-P의 법적 근거 관련하여,

정보통신망법 제 47조와 개인정보 보호법 제32조의 2를 외우기 위해

피사칠삼이 (P 47, 32/2) 로 두음을 만들어 외웠던 적이 있었습니다.

 

기술사용 국민 법조항

전자정부법 제 57조 1항(행정기관등의 정보시스템 감리)

전자정부법 제 64조의 2(전자정부사업관리의 위탁)  

와 함께 암기하고 있으면 좋을 듯 합니다.

 

2022.06.18 - [정보관리기술사/SW 공학] - 정보시스템 감리 법적 근거 - "오감칠일"

정보시스템 감리 법적 근거 - "오감칠일"

 

ISMS-P 법적 근거
피사칠삼이~
ISMS-P
정보통신망법 제 47조
개인정보 보호법 제 32조의 2

 

 

ISMS-P 법적 근거

---

 

---

정보통신망 이용촉진 및 정보보호 등에 관한 법률 ( 약칭: 정보통신망법 )

 

제47조(정보보호 관리체계의 인증) 

 

① 과학기술정보통신부장관은 정보통신망의 안정성ㆍ신뢰성 확보를 위하여 관리적ㆍ기술적ㆍ물리적 보호조치를 포함한 종합적 관리체계(이하 “정보보호 관리체계”라 한다)를 수립ㆍ운영하고 있는 자에 대하여 제4항에 따른 기준에 적합한지에 관하여 인증을 할 수 있다. <개정 2012. 2. 17., 2013. 3. 23., 2015. 12. 1., 2017. 7. 26.>

② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다. <신설 2012. 2. 17., 2015. 12. 1., 2018. 12. 24., 2020. 6. 9.>

1. 「전기통신사업법」 제6조제1항에 따른 등록을 한 자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자(이하 “주요정보통신서비스 제공자”라 한다)

2. 집적정보통신시설 사업자

3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자

③ 과학기술정보통신부장관은 제2항에 따라 인증을 받아야 하는 자가 과학기술정보통신부령으로 정하는 바에 따라 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에는 제1항에 따른 인증 심사의 일부를 생략할 수 있다. 이 경우 인증 심사의 세부 생략 범위에 대해서는 과학기술정보통신부장관이 정하여 고시한다.
 <신설 2015. 12. 1., 2017. 7. 26.>

④ 과학기술정보통신부장관은 제1항에 따른 정보보호 관리체계 인증을 위하여 관리적ㆍ기술적ㆍ물리적 보호대책을 포함한 인증기준 등 그 밖에 필요한 사항을 정하여 고시할 수 있다. 
<개정 2012. 2. 17., 2013. 3. 23., 2015. 12. 1., 2017. 7. 26.>

⑤ 제1항에 따른 정보보호 관리체계 인증의 유효기간은 3년으로 한다. 다만, 제47조의5제1항에 따라 정보보호 관리등급을 받은 경우 그 유효기간 동안 제1항의 인증을 받은 것으로 본다. 
<신설 2012. 2. 17., 2015. 12. 1.>

⑥ 과학기술정보통신부장관은 한국인터넷진흥원 또는 과학기술정보통신부장관이 지정한 기관(이하 “정보보호 관리체계 인증기관”이라 한다)으로 하여금 제1항 및 제2항에 따른 인증에 관한 업무로서 다음 각 호의 업무를 수행하게 할 수 있다. 
<신설 2012. 2. 17., 2013. 3. 23., 2015. 12. 1., 2017. 7. 26.>

1. 인증 신청인이 수립한 정보보호 관리체계가 제4항에 따른 인증기준에 적합한지 여부를 확인하기 위한 심사(이하 “인증심사”라 한다)

2. 인증심사 결과의 심의

3. 인증서 발급ㆍ관리

4. 인증의 사후관리

5. 정보보호 관리체계 인증심사원의 양성 및 자격관리

6. 그 밖에 정보보호 관리체계 인증에 관한 업무

⑦ 과학기술정보통신부장관은 인증에 관한 업무를 효율적으로 수행하기 위하여 필요한 경우 인증심사 업무를 수행하는 기관(이하 “정보보호 관리체계 심사기관”이라 한다)을 지정할 수 있다. <신설 2015. 12. 1., 2017. 7. 26.>

⑧ 한국인터넷진흥원, 정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관은 정보보호 관리체계의 실효성 제고를 위하여 연 1회 이상 사후관리를 실시하고 그 결과를 과학기술정보통신부장관에게 통보하여야 한다. <신설 2012. 2. 17., 2013. 3. 23., 2015. 12. 1., 2017. 7. 26.>

⑨ 제1항 및 제2항에 따라 정보보호 관리체계의 인증을 받은 자는 대통령령으로 정하는 바에 따라 인증의 내용을 표시하거나 홍보할 수 있다. 
<개정 2012. 2. 17., 2015. 12. 1.>

⑩ 과학기술정보통신부장관은 다음 각 호의 어느 하나에 해당하는 사유를 발견한 경우에는 인증을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 인증을 취소하여야 한다. 
<신설 2012. 2. 17., 2013. 3. 23., 2015. 12. 1., 2017. 7. 26.>

1. 거짓이나 그 밖의 부정한 방법으로 정보보호 관리체계 인증을 받은 경우

2. 제4항에 따른 인증기준에 미달하게 된 경우

3. 제8항에 따른 사후관리를 거부 또는 방해한 경우

⑪ 제1항 및 제2항에 따른 인증의 방법ㆍ절차ㆍ범위ㆍ수수료, 제8항에 따른 사후관리의 방법ㆍ절차, 제10항에 따른 인증취소의 방법ㆍ절차, 그 밖에 필요한 사항은 대통령령으로 정한다. 
<개정 2012. 2. 17., 2015. 12. 1.>

⑫ 정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관 지정의 기준ㆍ절차ㆍ유효기간 등에 필요한 사항은 대통령령으로 정한다. <개정 2012. 2. 17., 2015. 12. 1.>

[전문개정 2008. 6. 13.]

 

개인정보 보호법

 

제32조의2(개인정보 보호 인증) 

 

① 보호위원회는 개인정보처리자의 개인정보 처리 및 보호와 관련한 일련의 조치가 이 법에 부합하는지 등에 관하여 인증할 수 있다. <개정 2017. 7. 26., 2020. 2. 4.>

② 제1항에 따른 인증의 유효기간은 3년으로 한다.

③ 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 대통령령으로 정하는 바에 따라 제1항에 따른 인증을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 취소하여야 한다. <개정 2017. 7. 26., 2020. 2. 4.>

1. 거짓이나 그 밖의 부정한 방법으로 개인정보 보호 인증을 받은 경우

2. 제4항에 따른 사후관리를 거부 또는 방해한 경우

3. 제8항에 따른 인증기준에 미달하게 된 경우

4. 개인정보 보호 관련 법령을 위반하고 그 위반사유가 중대한 경우

④ 보호위원회는 개인정보 보호 인증의 실효성 유지를 위하여 연 1회 이상 사후관리를 실시하여야 한다. 
<개정 2017. 7. 26., 2020. 2. 4.>

⑤ 보호위원회는 대통령령으로 정하는 전문기관으로 하여금 제1항에 따른 인증, 제3항에 따른 인증 취소, 제4항에 따른 사후관리 및 제7항에 따른 인증 심사원 관리 업무를 수행하게 할 수 있다. 
<개정 2017. 7. 26., 2020. 2. 4.>

⑥ 제1항에 따른 인증을 받은 자는 대통령령으로 정하는 바에 따라 인증의 내용을 표시하거나 홍보할 수 있다.

⑦ 제1항에 따른 인증을 위하여 필요한 심사를 수행할 심사원의 자격 및 자격 취소 요건 등에 관하여는 전문성과 경력 및 그 밖에 필요한 사항을 고려하여 대통령령으로 정한다.

⑧ 그 밖에 개인정보 관리체계, 정보주체 권리보장, 안전성 확보조치가 이 법에 부합하는지 여부 등 제1항에 따른 인증의 기준ㆍ방법ㆍ절차 등 필요한 사항은 대통령령으로 정한다.

[본조신설 2015. 7. 24.]