2025. 6. 30. 이 제출 기한인 2025년도 정보보호 공시 의무 이행 관련 유의할 점을 안내드립니다.

과학기술정보통신부(이하 “과기부”)는 2025. 5. 1. “2025년 정보보호 공시의무 대상 기업”을 발표하였는데, 올해 정보보호 공시의무 대상 기업에 포함된 관련 기업들이 참고하실 수 있도록 아래 내용을 보내드립니다.

‘정보보호산업의 진흥에 관한 법률’(이하 “정보보호산업법”) 제13조 제2항에 의하면 사업분야, 매출액 및 서비스 이용자 수 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자(이하 “정보보호 공시의무자”)는 정보보호부문 투자 현황, 정보보호부문 전담인력 현황, 정보보호 관련 인증·평가·점검 등에 관한 사항, 그 밖에 이용자의 정보보호를 위한 활동 현황 등을 공시하여야 합니다(정보보호산업법 시행령 제8조 제3항).
 
이에 따라, 관련 기업은 회사의 정보보호 현황을 과기부 정보보호 공시 종합 포털(링크)을 통해 2025. 6. 30.까지 제출하여야 하며, 공시의무를 위반하여 정보보호 현황 공시를 미이행할 경우 1천만 원 이하의 과태료가 부과될 수 있습니다(정보보호산업법 제41조 제1항 제1호).

특히, 올해부터는 기존의 정보보호 공시내용 양식만으로 설명하기 어려운 기업의 정보보호 조직 체계, 전략, 인프라 등 정보보호 관련 내용을 상세하게 기술할 수 있는 주석 양식이 새롭게 도입되었는바, 필요시 아래와 같은 항목에 대해서도 추가로 작성 및 공시할 수 있다는 점을 안내드립니다.
 

• 정보보호 전략 및 정책: 기업의 주요 정보보호 리스크 식별 및 내용, 정보보호를 위한 주요 전략 수립 내용, 정보보호 정책과 추진 체계 등

• 정보보호 조직 및 체계: 기업의 정보보호 관련 조직 현황 및 거버넌스, 정보보호 최고 책임자(CISO) 및 개인정보보호 책임자(CPO) 운용, 정보보호 전문인력 보유, 정보보호 관련 규정 및 지침·제도 등

• 정보보호 인프라: 정보보호 시스템 구축 및 운영, 정보보호 솔루션 도입 및 운영, 보안 사고 대응 및 위험관리 체계 등

• 정보보호 인증·평가 및 활동: 정보보호 관련 인증 획득, 보안 관제 활동, 취약점 점검 활동, 임직원 정보보호 교육 및 훈련, 기타 정보보호 관련 행사 및 캠페인 등

[영문] Notice on Changes in Disclosure Requirements for Information Protection in 2025