[2014. 7. 7] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안

정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안(1911090)
제안일자:
2014-07-07
제안자: 권은희의원 등 11인 

■ 제안이유
최근 신용카드사 및 KT 고객 개인정보 유출 등 각종 보안사고가 연이어 발생함에 따라 국민들의 불안이 가중되는 상황에서 정보통신망에 대한 서비스 의존도가 높고, 개인정보 등 다량의 민감 정보를 다루는 기관 등이 정보보호 관리체계(ISMS) 인증 의무대상에서 제외되어 있어 유사한 보안사고가 발생할 우려가 큼.

특히, 기관의 주된 업무를 영위하기 위한 목적으로 정보통신망을 활용하고 다량의 민감한 정보를 다루는 대형 의료기관이나 교육기관 등은 비영리법인이라는 이유로 정보보호 관리체계 인증 의무대상에서 제외되어 있어 보안 사각지대가 발생하고 있음. 아울러 정보통신서비스제공자로 분류되지 않으나 침해사고 발생시 사회·경제적 파급효과가 큰 대형 제조업체나 대국민 필수 서비스를 제공하는 전력·가스·에너지 관련 기관 등에 대해서도 정보보호 관리체계 인증을 통한 정보보호 수준 강화가 요구됨.

이에 따라 정보보호 관리체계 인증 의무대상을 기존에 영리를 목적으로 하는 정보통신서비스제공자로 한정하지 아니하고, 주된 업무를 영위하기 위한 목적으로 정보통신망을 활용하며 보안사고 발생시 사회·경제적 파급력(연간 총 매출액 등)이 큰 기관까지 확대해야 한다는 필요성이 제기됨.

한편, 정보보호 안전진단 제도의 실효성을 강화하기 위하여 정보보호 안전진단 의무제도를 정보보호 관리체계 인증 의무제도로 전환함에 따라 2013년부터 정보보호 관리체계 인증 수요가 폭발적으로 증가하고 있으나 인증수요 증가에 따른 인증심사의 효율화, 인증품질의 유지·관리, 미인증자에 대한 행정처분 강화 등 인증제도의 개선이 필요함.

따라서, 인증업무와 심사업무 분리를 통하여 인증의 신뢰성·공정성을 확보하고 인증심사를 전문으로 하는 전담 심사기관 지정에 관한 근거를 마련함으로써 금융, 의료 등 분야별 전문 심사기관 지정·육성을 통한 인증품질 향상을 유도하고자 함.

또한, 정보보호 관리체계 인증에 소요되는 인력·비용 등에 비해 상대적으로 낮은 현행 행정처분(과태료 1,000만원)을 상향하여 인증 의무대상자가 고의적으로 인증을 회피하는 것을 방지함으로써 정보보호 관리체계 인증제도의 실효성을 높이고자 함.

■ 주요내용
가. 정보보호 관리체계 인증 의무대상자의 범위를 현행 영리목적의 정보통신서비스제공자로 한정하지 아니하고, 업무를 목적으로 정보통신망을 활용하면서 사회·경제적 영향력(총 매출액 등)이 큰 모든 기관으로 확대함(안 제47조제2항)

나. 인증기관과 심사기관을 명확히 구분하여 정보보호 관리체계 인증에 관한 업무 중 인증심사 업무만을 수행하는 전담 심사기관의 지정 근거를 마련함(안 제47조제5항 및 제6항)

다. 정보보호 관리체계 인증 미취득자에 대한 과태료 부과 상한을 현행 1천만원 이하에서 3천만원 이하로 인상함(안 제76조제1항제6의3)


첨부파일: 1911090_의사국 의안과_의안원문.hwp

저작권자 © 의료기기뉴스라인 무단전재 및 재배포 금지