정보통신망법 제47조(ISMS-P에서 ISMS 의무인증대상자)

제47조(정보보호 관리체계의 인증)

1. 과학기술정보통신부장관은 정보통신망의 안정성. 신뢰성 확보를 위하여 관리적. 기술적. 물리적 보호조치를 포함한 종합적 관리체계(이하 "정보보호 관리체계"라 한다)를 수립. 운영하고 있는 자에 대하여 적합한지에 관하여 인증을 할 수 있다.
2. 전기통신사업법, 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.
   ① 전기통신사업법 제6조제1항에 따른 허가를 받은 자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자
   ② 집적정보통신시설 사업자
   ③ 연간 매출액 또는 세입 등이 1,500억 원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억 원 이상 또는 3개월 간의 일일평균 이용자수 100만 명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자
3. 과학기술정보통신부장관은 제2항에 따라 인증을 받아야하는 자가 과학기술정보통신부령으로 정하는 바에 따라 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에는 제1항에 따른 인증 심사의 일부를 생략할 수 있다. 이 경우 인증 심사의 세부 생략 범위에 대해서는 과학기술정보통신부장관이 정하여 고시한다.
4. 과학기술정보통신부장관은 제1항에 따른 정보보호 관리체계 인증을 위하여 관리적. 기술적. 물리적 보호대책을 포함한 인증기준 등 그 밖에 필요한 사항을 정하여 고시할 수 있다.
5. 제1항에 따른 정보보호 관리체계 인증의 유효기간은 3년으로 한다. 다만, 제47조의 5제1항에 따라 정보보호 관리등급을 받는 경우 그 유효기간 동안 제1항의 인증을 받은 것으로 본다.
6. 과학기술정보통신부장관은 한국인터넷진흥원 또는 과학기술정보통신부장관이 지정한 기관(이하 "정보보호 관리체계 인증기관"이라 한다)으로 하여금 제1항 및 제2항에 따른 인증에 관한 업무로서 다음 각 호의 업무를 수행하게 할 수 있다.
   ① 인증 신청인이 수립한 정보보호 관리체계가 제4항에 따른 인증기준에 적합한지 여부를 확인하기 위한 심사(이하 "인증심사"라 한다)
   ② 인증심사 결과의 심의
   ③ 인증서 발급.관리
   ④ 인증의 사후관리
   ⑤ 정보보호 관리체계 인증심사원의 양성 및 자격관리
   ⑥ 그 밖에 정보보호 관리체계 인증에 관한 업무
7. 과학기술정보통신부장관은 인증에 관한 업무를 효율적으로 수행하기 위하여 필요한 경우 인증심사 업무를 수행하는 기관(이하 "정보보호 관리체계 심사기관"이라 한다)을 지정할 수 있다.
8. 한국인터넷진흥원, 정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관은 정보보호 관리체계의 실효성 제고를 위하여 연 1회 이상 사후관리를 실시하고 그 결과를 과학기술정보통신부장관에게 통보하여야 한다.
9. 제1항 및 제2항에 따라 정보보호 관리체계의 인증을 받은 자는 대통령령으로 정하는 바에 따라 인증의 내용을 표시하거나 홍보할 수 있다.
10. 과학기술정보통신부장관은 다음 각 호의 어느 하나에 해당하는 사유를 발견한 경우에는 인증을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 인증을 취소하여야 한다.
    ① 거짓이나 그 밖의 부정한 방법으로 정보보호 관리체계 인증을 받은 경우
    ② 제4항에 따른 인증기준에 미달하게 된 경우
    ③ 제8항에 따른 사후관리를 거부 또는 방해한 경우
11. 제1항 및 제2항에 따른 인증의 방법. 절차. 범위. 수수료, 제8항에 따른 사후관리의 방법. 절차, 제10항에 따른 인증 취소의 방법.절차, 그 밖에 필요한 사항은 대통령령으로 정한다.
12. 정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관 지정의 기준. 절차. 유효기간 등에 필요한 사항은 대통령령으로 정한다.