ISMS-P 법령 및 고시 스크랩

출처 : https://isms.kisa.or.kr/main/ispims/intro/

KISA 정보보호 및 개인정보보호관리체계 인증 ISMS-P 제도소개

 

ISMS-P

정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도

 

ISMS

정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도

 

---

ISMS-P 법적근거

(과학기술정보통신부) 정보통신망법 제47조, 시행령 제47조~제54조, 시행규칙 제3조

(개인정보보호위원회) 개인정보보호법 제32조의2, 시행령 제34조의2~제34조의8

정보통신망법 제47조

→ 과학기술정보통신부장관이 정해서 고시한다는 내용이 포함되어 있다.  (정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시)

제47조(정보보호 관리체계의 인증) 

① 과학기술정보통신부장관은 정보통신망의 안정성ㆍ신뢰성 확보를 위하여 관리적ㆍ기술적ㆍ물리적 보호조치를 포함한 종합적 관리체계(이하 “정보보호 관리체계”라 한다)를 수립ㆍ운영하고 있는 자에 대하여 제4항에 따른 기준에 적합한지에 관하여 인증을 할 수 있다. <개정 2012. 2. 17., 2013. 3. 23., 2015. 12. 1., 2017. 7. 26.>

② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다. <신설 2012. 2. 17., 2015. 12. 1., 2018. 12. 24., 2020. 6. 9.>

1. 「전기통신사업법」 제6조제1항에 따른 등록을 한 자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자(이하 “주요정보통신서비스 제공자”라 한다)

2. 집적정보통신시설 사업자

3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자

③ 과학기술정보통신부장관은 제2항에 따라 인증을 받아야 하는 자가 과학기술정보통신부령으로 정하는 바에 따라 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에는 제1항에 따른 인증 심사의 일부를 생략할 수 있다. 이 경우 인증 심사의 세부 생략 범위에 대해서는 과학기술정보통신부장관이 정하여 고시한다. <신설 2015. 12. 1., 2017. 7. 26.>

④ 과학기술정보통신부장관은 제1항에 따른 정보보호 관리체계 인증을 위하여 관리적ㆍ기술적ㆍ물리적 보호대책을 포함한 인증기준 등 그 밖에 필요한 사항을 정하여 고시할 수 있다. <개정 2012. 2. 17., 2013. 3. 23., 2015. 12. 1., 2017. 7. 26.>

⑤ 제1항에 따른 정보보호 관리체계 인증의 유효기간은 3년으로 한다. 다만, 제47조의5제1항에 따라 정보보호 관리등급을 받은 경우 그 유효기간 동안 제1항의 인증을 받은 것으로 본다. <신설 2012. 2. 17., 2015. 12. 1.>

⑥ 과학기술정보통신부장관은 한국인터넷진흥원 또는 과학기술정보통신부장관이 지정한 기관(이하 “정보보호 관리체계 인증기관”이라 한다)으로 하여금 제1항 및 제2항에 따른 인증에 관한 업무로서 다음 각 호의 업무를 수행하게 할 수 있다. <신설 2012. 2. 17., 2013. 3. 23., 2015. 12. 1., 2017. 7. 26.>

1. 인증 신청인이 수립한 정보보호 관리체계가 제4항에 따른 인증기준에 적합한지 여부를 확인하기 위한 심사(이하 “인증심사”라 한다)

2. 인증심사 결과의 심의

3. 인증서 발급ㆍ관리

4. 인증의 사후관리

5. 정보보호 관리체계 인증심사원의 양성 및 자격관리

6. 그 밖에 정보보호 관리체계 인증에 관한 업무

⑦ 과학기술정보통신부장관은 인증에 관한 업무를 효율적으로 수행하기 위하여 필요한 경우 인증심사 업무를 수행하는 기관(이하 “정보보호 관리체계 심사기관”이라 한다)을 지정할 수 있다. <신설 2015. 12. 1., 2017. 7. 26.>

⑧ 한국인터넷진흥원, 정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관은 정보보호 관리체계의 실효성 제고를 위하여 연 1회 이상 사후관리를 실시하고 그 결과를 과학기술정보통신부장관에게 통보하여야 한다. <신설 2012. 2. 17., 2013. 3. 23., 2015. 12. 1., 2017. 7. 26.>

⑨ 제1항 및 제2항에 따라 정보보호 관리체계의 인증을 받은 자는 대통령령으로 정하는 바에 따라 인증의 내용을 표시하거나 홍보할 수 있다. <개정 2012. 2. 17., 2015. 12. 1.>

⑩ 과학기술정보통신부장관은 다음 각 호의 어느 하나에 해당하는 사유를 발견한 경우에는 인증을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 인증을 취소하여야 한다. <신설 2012. 2. 17., 2013. 3. 23., 2015. 12. 1., 2017. 7. 26.>

1. 거짓이나 그 밖의 부정한 방법으로 정보보호 관리체계 인증을 받은 경우

2. 제4항에 따른 인증기준에 미달하게 된 경우

3. 제8항에 따른 사후관리를 거부 또는 방해한 경우

⑪ 제1항 및 제2항에 따른 인증의 방법ㆍ절차ㆍ범위ㆍ수수료, 제8항에 따른 사후관리의 방법ㆍ절차, 제10항에 따른 인증취소의 방법ㆍ절차, 그 밖에 필요한 사항은 대통령령으로 정한다. <개정 2012. 2. 17., 2015. 12. 1.>

⑫ 정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관 지정의 기준ㆍ절차ㆍ유효기간 등에 필요한 사항은 대통령령으로 정한다. <개정 2012. 2. 17., 2015. 12. 1.>

[전문개정 2008. 6. 13.]

 

정보통신망법 시행령 제47조~제54조

 제47조(정보보호 관리체계 인증의 방법ㆍ절차ㆍ범위 등) 

① 법 제47조제1항 또는 제2항에 따라 정보보호 관리체계의 인증을 받으려는 자는 정보보호 관리체계 인증신청서(전자문서로 된 신청서를 포함한다)에 다음 각 호의 사항에 대한 설명이 포함된 정보보호 관리체계 명세서(전자문서를 포함한다)를 첨부하여 인터넷진흥원, 법 제47조제6항에 따라 지정된 기관(이하 “정보보호 관리체계 인증기관”이라 한다) 또는 법 제47조제7항에 따라 지정된 기관(이하 “정보보호 관리체계 심사기관”이라 한다)에 제출하여야 한다. <개정 2013. 3. 23., 2016. 5. 31.>

1. 정보보호 관리체계의 범위

2. 정보보호 관리체계의 범위에 포함되어 있는 주요 정보통신설비의 목록과 시스템 구성도

3. 정보보호 관리체계를 수립ㆍ운영하는 방법과 절차

4. 정보보호 관리체계와 관련된 주요 문서의 목록

5. 정보보호 관리체계와 관련된 국내외 품질경영체제의 인증을 취득한 경우에는 그 명세

② 제1항에 따른 신청을 받은 인터넷진흥원, 정보보호 관리체계 인증기관 또는 정보보호 관리체계 심사기관은 법 제47조제6항제1호에 따른 인증심사(이하 “인증심사”라 한다)를 하는 경우 같은 조 제4항에 따라 과학기술정보통신부장관이 정하여 고시하는 정보보호 관리체계 인증을 위한 관리적ㆍ기술적ㆍ물리적 보호대책을 포함한 인증기준 등(이하 “관리체계인증고시”라 한다)에 따라 신청인과 인증의 범위 및 일정 등에 관한 협의를 하여야 한다. <개정 2013. 3. 23., 2016. 5. 31., 2017. 7. 26.>

③ 인터넷진흥원, 정보보호 관리체계 인증기관 또는 정보보호 관리체계 심사기관은 인증심사를 하는 경우 인증 신청인이 수립한 정보보호 관리체계가 관리체계인증고시에 적합한지 여부를 심사하여야 한다. 이 경우 인증심사는 서면심사 또는 현장심사의 방법으로 실시한다. <개정 2016. 5. 31.>

④ 인증심사는 제53조제1항제1호에 따른 인증심사원만 수행할 수 있다. <개정 2016. 5. 31.>

⑤ 정보보호 관리체계 심사기관은 인증심사의 결과를 인터넷진흥원 또는 정보보호 관리체계 인증기관에 제출하여야 한다. <신설 2016. 5. 31.>

⑥ 인터넷진흥원 또는 정보보호 관리체계 인증기관은 인증심사의 결과를 심의하기 위하여 정보보호에 관한 학식과 경험이 풍부한 자를 위원으로 하는 인증위원회를 설치ㆍ운영하여야 한다. <개정 2016. 5. 31.>

⑦ 인터넷진흥원 또는 정보보호 관리체계 인증기관은 제6항에 따른 인증위원회의 심의 결과 관리체계인증고시에 적합한 때에는 그 인증신청을 한 자에게 정보보호 관리체계 인증서를 발급하여야 한다. <개정 2016. 5. 31.>

⑧ 제1항부터 제7항까지에서 규정한 사항 외에 인증신청, 인증심사, 인증위원회의 설치ㆍ운영 및 인증서의 발급 등에 필요한 세부사항은 과학기술정보통신부장관이 정하여 고시한다. <개정 2013. 3. 23., 2016. 5. 31., 2017. 7. 26.>

[전문개정 2012. 8. 17.]
[제50조에서 이동, 종전 제47조는 제53조로 이동 <2012. 8. 17.>]

 

제48조(정보보호 관리체계 인증의 수수료) 

① 제47조제1항에 따라 인증을 신청하는 자는 인터넷진흥원, 정보보호 관리체계 인증기관 또는 정보보호 관리체계 심사기관에 수수료를 납부하여야 한다. <개정 2016. 5. 31.>

② 과학기술정보통신부장관은 인증심사에 투입되는 인증심사원의 수, 인증심사에 필요한 일수 등을 고려하여 정보보호 관리체계 인증 수수료 산정을 위한 구체적인 기준을 정하여 고시한다. <개정 2013. 3. 23., 2017. 7. 26.>

[본조신설 2012. 8. 17.]
[종전 제48조는 제53조의2로 이동 <2012. 8. 17.>]

 

제49조(정보보호 관리체계 인증 대상자의 범위) 

① 법 제47조제2항제1호에서 “대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자”란 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자를 말한다.

② 법 제47조제2항제3호에서 “대통령령으로 정하는 기준에 해당하는 자”란 다음 각 호의 어느 하나에 해당하는 자를 말한다. <개정 2016. 5. 31.>

1. 연간 매출액 또는 세입이 1,500억원 이상인 자로서 다음 각 목의 어느 하나에 해당하는 자

가. 「의료법」 제3조의4에 따른 상급종합병원

나. 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교

2. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다.

3. 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다.

[본조신설 2012. 8. 17.]
[종전 제49조는 제53조의3으로 이동 <2012. 8. 17.>]

 

제50조

[제47조로 이동 <2012. 8. 17.>]

 

제51조(인증의 사후관리) 

① 법 제47조제8항에 따른 사후관리는 서면심사 또는 현장심사의 방법으로 실시한다. <개정 2016. 5. 31.>

② 정보보호 관리체계 심사기관은 법 제47조제8항에 따라 사후관리를 실시한 결과 같은 조 제10항 각 호의 사유가 있는 경우에는 인터넷진흥원 또는 정보보호 관리체계 인증기관에 그 사후관리 실시결과를 즉시 제출하여야 한다. <신설 2016. 5. 31.>

③ 인터넷진흥원 또는 정보보호 관리체계 인증기관은 다음 각 호의 어느 하나에 해당하는 경우에는 제47조제6항에 따른 인증위원회의 심의를 거쳐 그 결과를 과학기술정보통신부장관에게 통보하여야 한다. <개정 2016. 5. 31., 2017. 7. 26.>

1. 법 제47조제8항에 따른 사후관리를 실시한 결과 같은 조 제10항 각 호의 사유가 있는 경우

2. 제2항에 따라 정보보호 관리체계 심사기관으로부터 그 사후관리 실시결과를 제출받은 경우

[전문개정 2012. 8. 17.]
[제52조에서 이동, 종전 제51조는 삭제 <2012. 8. 17.>]

 

제52조(인증표시 및 홍보) 

법 제47조제1항 및 제2항에 따라 정보보호 관리체계 인증을 받은 자는 같은 조 제9항에 따라 인증받은 내용을 문서ㆍ송장ㆍ광고 등에 표시ㆍ홍보하는 경우 과학기술정보통신부장관이 정하여 고시하는 정보보호 관리체계 인증표시를 사용할 수 있다. 이 경우 인증의 범위와 유효기간을 함께 표시하여야 한다. <개정 2013. 3. 23., 2016. 5. 31., 2017. 7. 26.>

[전문개정 2012. 8. 17.]
[제53조에서 이동, 종전 제52조는 제51조로 이동 <2012. 8. 17.>]

 

정보통신망법 시행규칙 제3조

제3조(정보보호 관리체계 인증심사 일부의 생략) 

① 과학기술정보통신부장관은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 “법”이라 한다) 제47조제2항에 따라 인증을 받아야 하는 자가 다음 각 호의 어느 하나에 해당하는 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에는 같은 조 제3항에 따라 같은 조 제1항에 따른 인증심사의 일부를 생략할 수 있다. <개정 2017. 7. 26., 2021. 3. 31.>

1. 「품질경영 및 공산품안전관리법」 제7조제2항에 따른 국제인정기관협력기구에 가입된 인정기관이 인정한 인증기관으로부터 받은 국제표준 정보보호경영시스템 인증

2. 「개인정보 보호법」 제32조의2에 따른 개인정보 보호 인증

3. 「정보통신기반 보호법」제9조에 따른 주요정보통신기반시설의 취약점 분석ㆍ평가

4. 「전자정부법」 제56조제3항에 따른 보안조치(영 제49조제2항제1호나목에 해당하는 자가 법 제47조제2항에 따라 인증을 받아야 하는 해를 기준으로 그 전년도에 해당 보안조치를 한 경우로 한정한다)

② 제1항에 따라 정보보호 관리체계 인증심사의 일부를 생략하려는 경우에는 다음 각 호의 요건을 모두 충족하여야 한다.

1. 해당 국제표준 정보보호 인증 또는 정보보호 조치의 범위가 영 제47조제2항에 따른 정보보호 관리체계 인증의 범위와 일치할 것

2. 정보보호 관리체계 인증 신청 및 심사 시에 해당 국제표준 정보보호 인증이나 정보보호 조치가 유효하게 유지되고 있을 것

③ 법 제47조제3항에 따라 정보보호 관리체계 인증심사 일부의 생략을 받으려는 자는 인증심사 일부의 생략을 신청하는 서류에 국제표준 정보보호 인증서, 정보보호 조치 결과보고서, 「전자정부법」 제56조제3항에 따른 보안조치에 관하여 과학기술정보통신부장관이 정하여 고시하는 결과보고서(제1항제4호에 해당하는 경우로 한정한다) 등 인증심사의 일부 생략 대상인 사실을 증명할 수 있는 서류를 첨부하여 제출해야 한다. <개정 2021. 3. 31.>

[본조신설 2016. 6. 2.]

 

정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 (시행 2022.7.21)

→ 과학기술정보통신부와 개인정보보호위원회 공동고시

정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(과학기술정보통신부고시)(제2022-46호)(20220721).pdf

0.11MB

 

개인정보보호법 제32조의2

→ 참고1. 개인정보보호법은 2023.3.14 일부개정되었다 (법률 제19234호)

→ 참고2. 본 글은 일부 개정된 법령이 아닌 현재 시행법령(시행 2020.8.5) 기준으로 작성되었다.

 제32조의2(개인정보 보호 인증) 

① 보호위원회는 개인정보처리자의 개인정보 처리 및 보호와 관련한 일련의 조치가 이 법에 부합하는지 등에 관하여 인증할 수 있다. <개정 2017. 7. 26., 2020. 2. 4.>

② 제1항에 따른 인증의 유효기간은 3년으로 한다.

③ 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 대통령령으로 정하는 바에 따라 제1항에 따른 인증을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 취소하여야 한다. <개정 2017. 7. 26., 2020. 2. 4.>

1. 거짓이나 그 밖의 부정한 방법으로 개인정보 보호 인증을 받은 경우

2. 제4항에 따른 사후관리를 거부 또는 방해한 경우

3. 제8항에 따른 인증기준에 미달하게 된 경우

4. 개인정보 보호 관련 법령을 위반하고 그 위반사유가 중대한 경우

④ 보호위원회는 개인정보 보호 인증의 실효성 유지를 위하여 연 1회 이상 사후관리를 실시하여야 한다. <개정 2017. 7. 26., 2020. 2. 4.>

⑤ 보호위원회는 대통령령으로 정하는 전문기관으로 하여금 제1항에 따른 인증, 제3항에 따른 인증 취소, 제4항에 따른 사후관리 및 제7항에 따른 인증 심사원 관리 업무를 수행하게 할 수 있다. <개정 2017. 7. 26., 2020. 2. 4.>

⑥ 제1항에 따른 인증을 받은 자는 대통령령으로 정하는 바에 따라 인증의 내용을 표시하거나 홍보할 수 있다.

⑦ 제1항에 따른 인증을 위하여 필요한 심사를 수행할 심사원의 자격 및 자격 취소 요건 등에 관하여는 전문성과 경력 및 그 밖에 필요한 사항을 고려하여 대통령령으로 정한다.

⑧ 그 밖에 개인정보 관리체계, 정보주체 권리보장, 안전성 확보조치가 이 법에 부합하는지 여부 등 제1항에 따른 인증의 기준ㆍ방법ㆍ절차 등 필요한 사항은 대통령령으로 정한다.

[본조신설 2015. 7. 24.]

 

개인정보보호법 시행령 제34조의2~제34조의8

→ 보호위원회가 정하여 고시한다는 내용이 포함되어 있다. (정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시)

제34조의2(개인정보 보호 인증의 기준ㆍ방법ㆍ절차 등) 

① 보호위원회는 제30조제1항 각 호의 사항 및 제48조의2제1항 각 호의 사항을 고려하여 개인정보 보호의 관리적ㆍ기술적ㆍ물리적 보호대책의 수립 등을 포함한 법 제32조의2제1항에 따른 인증의 기준을 정하여 고시한다. <개정 2017. 7. 26., 2020. 8. 4.>

② 법 제32조의2제1항 따라 개인정보 보호의 인증을 받으려는 자(이하 이 조 및 제34조의3에서 “신청인”이라 한다)는 다음 각 호의 사항이 포함된 개인정보 보호 인증신청서(전자문서로 된 신청서를 포함한다)를 제34조의6에 따른 개인정보 보호 인증 전문기관(이하 “인증기관”이라 한다)에 제출하여야 한다.

1. 인증 대상 개인정보 처리시스템의 목록

2. 개인정보 보호 관리체계를 수립ㆍ운영하는 방법과 절차

3. 개인정보 보호 관리체계 및 보호대책 구현과 관련되는 문서 목록

③ 인증기관은 제2항에 따른 인증신청서를 받은 경우에는 신청인과 인증의 범위 및 일정 등에 관하여 협의하여야 한다.

④ 법 제32조의2제1항에 따른 개인정보 보호 인증심사는 제34조의8에 따른 개인정보 보호 인증심사원이 서면심사 또는 현장심사의 방법으로 실시한다.

⑤ 인증기관은 제4항에 따른 인증심사의 결과를 심의하기 위하여 정보보호에 관한 학식과 경험이 풍부한 사람을 위원으로 하는 인증위원회를 설치ㆍ운영하여야 한다.

⑥ 제1항부터 제5항까지에서 규정한 사항 외에 인증신청, 인증심사, 인증위원회의 설치ㆍ운영 및 인증서의 발급 등 개인정보 보호 인증에 필요한 세부사항은 보호위원회가 정하여 고시한다. <개정 2017. 7. 26., 2020. 8. 4.>

[본조신설 2016. 7. 22.]

 

 제34조의3(개인정보 보호 인증의 수수료) 

① 신청인은 인증기관에 개인정보 보호 인증 심사에 소요되는 수수료를 납부하여야 한다.

② 보호위원회는 개인정보 보호 인증 심사에 투입되는 인증 심사원의 수 및 인증심사에 필요한 일수 등을 고려하여 제1항에 따른 수수료 산정을 위한 구체적인 기준을 정하여 고시한다. <개정 2017. 7. 26., 2020. 8. 4.>

[본조신설 2016. 7. 22.]

 

제34조의4(인증취소) 

① 인증기관은 법 제32조의2제3항에 따라 개인정보 보호 인증을 취소하려는 경우에는 제34조의2제5항에 따른 인증위원회의 심의ㆍ의결을 거쳐야 한다.

② 보호위원회 또는 인증기관은 법 제32조의2제3항에 따라 인증을 취소한 경우에는 그 사실을 당사자에게 통보하고, 관보 또는 인증기관의 홈페이지에 공고하거나 게시해야 한다. <개정 2017. 7. 26., 2020. 8. 4.>

[본조신설 2016. 7. 22.]

 

제34조의5(인증의 사후관리) 

① 법 제32조의2제4항에 따른 사후관리 심사는 서면심사 또는 현장심사의 방법으로 실시한다.

② 인증기관은 제1항에 따른 사후관리를 실시한 결과 법 제32조의2제3항 각 호의 사유를 발견한 경우에는 제34조의2제5항에 따른 인증위원회의 심의를 거쳐 그 결과를 보호위원회에 제출해야 한다. <개정 2017. 7. 26., 2020. 8. 4.>

[본조신설 2016. 7. 22.]

 

제34조의6(개인정보 보호 인증 전문기관) 

① 법 제32조의2제5항에서 “대통령령으로 정하는 전문기관”이란 다음 각 호의 기관을 말한다. <개정 2016. 9. 29., 2017. 7. 26., 2020. 8. 4.>

1. 한국인터넷진흥원

2. 다음 각 목의 요건을 모두 충족하는 법인, 단체 또는 기관 중에서 보호위원회가 지정ㆍ고시하는 법인, 단체 또는 기관

가. 제34조의8에 따른 개인정보 보호 인증심사원 5명 이상을 보유할 것

나. 보호위원회가 실시하는 업무수행 요건ㆍ능력 심사에서 적합하다고 인정받을 것

② 제1항제2호에 해당하는 법인, 단체 또는 기관의 지정과 그 지정의 취소에 필요한 세부기준 등은 보호위원회가 정하여 고시한다. <개정 2017. 7. 26., 2020. 8. 4.>

[본조신설 2016. 7. 22.]

 

34조의7(인증의 표시 및 홍보) 법 제32조의2제6항에 따라 인증을 받은 자가 인증 받은 내용을 표시하거나 홍보하려는 경우에는 보호위원회가 정하여 고시하는 개인정보 보호 인증표시를 사용할 수 있다. 이 경우 인증의 범위와 유효기간을 함께 표시해야 한다. <개정 2017. 7. 26., 2020. 8. 4.>

[본조신설 2016. 7. 22.]

 

제34조의8(개인정보 보호 인증심사원의 자격 및 자격 취소 요건) 

① 인증기관은 법 제32조의2제7항에 따라 개인정보 보호에 관한 전문지식을 갖춘 사람으로서 인증심사에 필요한 전문 교육과정을 이수하고 시험에 합격한 사람에게 개인정보 보호 인증심사원(이하 “인증심사원”이라 한다)의 자격을 부여한다.

② 인증기관은 법 제32조의2제7항에 따라 인증심사원이 다음 각 호의 어느 하나에 해당하는 경우 그 자격을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 자격을 취소하여야 한다.

1. 거짓이나 부정한 방법으로 인증심사원 자격을 취득한 경우

2. 개인정보 보호 인증 심사와 관련하여 금전, 금품, 이익 등을 부당하게 수수한 경우

3. 개인정보 보호 인증 심사 과정에서 취득한 정보를 누설하거나 정당한 사유 없이 업무상 목적 외의 용도로 사용한 경우

③ 제1항 및 제2항에 따른 전문 교육과정의 이수, 인증심사원 자격의 부여 및 취소 등에 관한 세부 사항은 보호위원회가 정하여 고시한다. <개정 2017. 7. 26., 2020. 8. 4.>

[본조신설 2016. 7. 22.]