신규 IT서비스는 이용자의 서비스 접근 편의성을 제공하나 다양한 보안위협 및 취약점에 노출되어 침해사고 발생 가능성이 높아짐
특히, 신규 IT서비스를 위한 시스템 구축 시 보안 취약점 발생 가능성이 증가하고 있으나 이에 상응하는 예방차원의 선행투자는 미흡
따라서, 보다 안전한 시스템을 구축 및 IT서비스 제공을 위해 정보보호 사전점검 제도 시행(’13.2.18)
※ 정보보호 사전점검 제도 : IT서비스의 구축 단계에서 정보보호 위협 및 취약점 분석·위험분석 등의 절차를 통해 사전에 취약점을 제거하고 보호대책을 수립하는 일련의 보안 컨설팅 활동(정보통신망법 제45조의2(정보보호 사전점검))
수행대상
정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제36조의3
정보통신망 이용촉진 및 정보보호 등에 관한 법 시행령 제36조의3(정보보호 사전점검 권고 대상)
정보통신망 이용촉진 및 정보보호 등에 관한 법 시행령 제36조의3(정보보호 사전점검 권고 대상)
① 법 제45조의2제2항제1호
"대통령령으로 정하는 정보통신서비스 또는 전기통신사업"이란 정보시스템 구축에 필요한 투자금액이 5억원 이상(하드웨어ㆍ소프트웨어의 단순한 구입비용은 제외한 금액을 말한다)인 정보통신서비스 또는 전기통신사업을 말한다.
② 법 제45조의2제2항제2호
"대통령령으로 정하는 정보통신서비스 또는 전기통신사업"이란 과학기술정보통신부장관이 신규 정보통신서비스 또는 전기통신사업의 발굴ㆍ육성을 위하여 사업비의 전부 또는 일부를 지원하는 정보통신서비스 또는 전기통신사업을 말한다.
<개정 2013.3.23., 2017.7.26.>[본조신설 2012.8.17.]
시행령 제36조의3 제1항의 적용 대상은 정보통신서비스 또는 전기통신사업 분야로 통신·금융서비스, 인터넷 포털 사업 등을 말함
시행령 제36조의3 제2항은 과학기술정보통신부로부터 시스템 개발 또는 구축 비용을 지원받는 경우로 공공기관, 연구기관 등을 포함함
수행방법
(방법) 정보보호 사전점검은 서면점검, 현장점검 또는 원격점검의 방법으로 다음의 순서대로 진행
※ 1. 사전점검 준비단계 → 2. 설계 검토 → 3. 보호대책 적용 → 4. 보호대책 구현현황 점검 → 5. 사전점검 결과 정리
정보보호 사전점검은 시행령 제36조의4 제3항에 따라 직접실시하거나, 한국인터넷진흥원 또는 외부 전문기관으로 하여금 실시하게 할 수 있음
※ 관리기관의 자율적인 정보보호 사전점검 수행을 독려하기 위한 점검 해설서를 제작·배포하고 있으며, 정기적으로 수행방법 등 교육프로그램 개발·수행 예정