KISA 인터넷 보호나라&KrCERT

정보보호사전점검

추진배경

• 신규 IT서비스는 이용자의 서비스 접근 편의성을 제공하나 다양한 보안위협 및 취약점에 노출되어 침해사고 발생 가능성이 높아짐

• 특히, 신규 IT서비스를 위한 시스템 구축 시 보안 취약점 발생 가능성이 증가하고 있으나 이에 상응하는 예방차원의 선행투자는 미흡

• 따라서, 보다 안전한 시스템을 구축 및 IT서비스 제공을 위해 정보보호 사전점검 제도 시행(’13.2.18)
  ※ 정보보호 사전점검 제도 : IT서비스의 구축 단계에서 정보보호 위협 및 취약점 분석·위험분석 등의 절차를 통해 사전에 취약점을 제거하고 보호대책을 수립하는 일련의 보안 컨설팅 활동(정보통신망법 제45조의2(정보보호 사전점검))

---

수행대상

• 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제36조의3

정보통신망 이용촉진 및 정보보호 등에 관한 법 시행령 제36조의3(정보보호 사전점검 권고 대상)

정보통신망 이용촉진 및 정보보호 등에 관한 법 시행령 제36조의3(정보보호 사전점검 권고 대상)
① 법 제45조의2제2항제1호	"대통령령으로 정하는 정보통신서비스 또는 전기통신사업"이란 정보시스템 구축에 필요한 투자금액이 5억원 이상(하드웨어ㆍ소프트웨어의 단순한 구입비용은 제외한 금액을 말한다)인 정보통신서비스 또는 전기통신사업을 말한다.
② 법 제45조의2제2항제2호	"대통령령으로 정하는 정보통신서비스 또는 전기통신사업"이란 과학기술정보통신부장관이 신규 정보통신서비스 또는 전기통신사업의 발굴ㆍ육성을 위하여 사업비의 전부 또는 일부를 지원하는 정보통신서비스 또는 전기통신사업을 말한다. <개정 2013.3.23., 2017.7.26.>[본조신설 2012.8.17.]

• 시행령 제36조의3 제1항의 적용 대상은 정보통신서비스 또는 전기통신사업 분야로 통신·금융서비스, 인터넷 포털 사업 등을 말함

• 시행령 제36조의3 제2항은 과학기술정보통신부로부터 시스템 개발 또는 구축 비용을 지원받는 경우로 공공기관, 연구기관 등을 포함함

---

수행방법

• (방법) 정보보호 사전점검은 서면점검, 현장점검 또는 원격점검의 방법으로 다음의 순서대로 진행
  ※ 1. 사전점검 준비단계 → 2. 설계 검토 → 3. 보호대책 적용 → 4. 보호대책 구현현황 점검 → 5. 사전점검 결과 정리

• 정보보호 사전점검은 시행령 제36조의4 제3항에 따라 직접실시하거나, 한국인터넷진흥원 또는 외부 전문기관으로 하여금 실시하게 할 수 있음
  ※ 관리기관의 자율적인 정보보호 사전점검 수행을 독려하기 위한 점검 해설서를 제작·배포하고 있으며, 정기적으로 수행방법 등 교육프로그램 개발·수행 예정

---

문의처 : kisainkbs@kisa.or.kr