태그검색
찾고 싶은 것이 있나요?
정보보호공시에 대한 3개의 태그 검색결과가 있습니다.
- 블로그 [보안동향] ‘정보보호 공시’ 분석부터 작성까지 한 번에 끝내세요! 지난 글에서는 정보보호 공시 개요와 대응 업무 절차, 정보보호 공시 준비 자료를 살펴보았습니다. 이번 글에서는 정보보호 공시 자료 분석 및 작성에 관해 알아보겠습니다. 정보보호 공시 자료 분석 및 작성 정보보호 공시 투자 영역 집계는 자산 대장과 비용 원장을 기반으로 분석을 진행합니다. 아래는 분석과 관련된 한국인터넷진흥원(KISA)의 가이드와 공시 실무교육 자료를 요약한 내용입니다. 앞에서 언급한 기본적인 분류 기준 방안을 기반으로 아래 세부 항목별 작성을 진행해 보도록 하겠습니다. 자산 분류, 집계와 관련해 KISA...
- 블로그 [보안동향] 정보보호도 ESG! 어떻게 진행해야 할지 막막하다면? 지난 글에서는 정보보호 공시 배경과 정보보호 관련 ESG 동향에 관해 알아보았습니다. 이번 글에서는 정보보호 공시 개요와 함께 대응 업무 범위 및 수행 절차를 살펴보겠습니다. 정보보호 공시 배경 정보보호 공시는 아래의 의무 대상 기업이 정보보호 투자액, 인력, 정보보호 인증, 정보보호 활동을 공시하도록 규정하고 있습니다. 정보보호 공시 진행 시에 회계법인 또는 감리법인을 통해 정보보호 공시 사전 점검자료를 제출한 후 공시하는 경우에는 사후 검증 면제의 혜택이 제공됩니다. 사후 검증의 경우, 공시 후 제출 기업 중 20% 표본 기업을 대상으로 제출한 공시 내용에 대한 사후 점검을 수행합니다. 제출 기업의 정확한 공시 작성은 물론 제출된 공시 자료를 검증해 신뢰도를 높이고자 하는 검증 절차상의 단계입니다. 다수의 기업이 전문 회계 법인이나 감리 법인을 통해 정보보호 공시를 준비하는데요. 이는 보안 관련한 공시 작성 분야지만 회계, 인사의 인건비 회계 처리 등과 관련한 전문성이 필요하기 때문입니다. 또한, 고객 현업팀의 경우 수행 업무의 부담을 최소화하고 사후 검증에 대한 부담을 줄이고자 전문 회계법인, 감리법인을 통해 수행하고 있음을 알게 됐습니다. 정보보호 공시를 진행할 때 주의해야 하는 사항이 몇 가지 있습니다. 이 중 첫 번째가 정보보호 공시 시스템의 선정입니다. 아래의 표와 같이 기본은 과학기술정보통신부에서 운영하는 전자공시시스템(ISDS)에 공시하는 것이 원칙인데요. 특히 주의사항으로 한국거래소 상장공시시스템(KIND)에 자율 공시하는 경우, 예를 들어 정정 공시 처리 규정 등에 따라 공시 위반 제재를 받을 수 있습니다. 따라서 정보보호 ISDS를 통해 공시를 진행해야 합니다. 정보보호 공시 준비/대응 업무 범위 및 수행 절차 공시 대응과 준비를 위해서 제일 먼저 해야 하는 업무는 설명회를 기반으로 한 착수 회의의 진행입니다. 회계팀, 정보기술팀, 인사팀, 기타 유관 부서를 식별하고 관련 부서장과 실무자를 대상으로 한 설명회를 진행하는데요. 이를 통해 제도 및 필요한 자료 요청에 대한 설명, 진행 일정을 공유해 효율적으로 수행할 수 있습니다. 설명회 전에는 정보기술 전담 조직 식별 및 정보보호 조직의 식별을 선행해야 합니다. 이후 설명회 시에 인사팀을 통해 인원, 인건비와 관련한 자료 작성을 요청해야 합니다. 이때 아래 가이드와 같이 전담 조직의 경우, 조직 즉 상위 부서 또는 팀 단위 전체를 대상으로 요청하면 작업이 좀 더 쉽습니다. 정보보호 조직의 경우, 정보보호 업무를 전담으로 하는 인원을 대상으로 인원별 인건비 산정을 진행해야 합니다. 만약 보안 전담 부서는 아니지만, 정보보호 직무를 100% 전담하고 있는 인원이 있는 경우는 정보보호 부문 직무기술서를 작성하고 CEO 또는 CISO(Chief Information Security Officer)의 서명을 받아 증거자료를 준비하고, 인원수와 인건비 산정을 진행해야 합니다. 근무 인원수와 인건비 산정 시 월별로 대상 연도에 근무한 인원의 수와 해당 인원의 급여, 상여, 퇴직급여, 급여성 복리후생비의 합계를 급여 대장을 통해 비용 산정해야 합니다. 또한, 비용 원장 분석 시 인사팀을 통해 별도 산정을 진행하게 되면 비용원장에서 급여성 비용 계정을 제외해 중복으로 합산되지 않도록 진행해야 합니다. 정보보호 공시 준비 자료 요청 투자액 산정 시 사용되는 자산 대장과 비용원장 분석은 가장 많은 시간이 소요되는 작업입니다. 두 자료 모두 회계팀을 통해 입수하게 되는데요. 사전 설명회를 통해 원하는 데이터를 정확하게 받기 위해 템플릿과 샘플 양식(KISA 가이드 참조)을 기반으로 사전 요청을 진행해야 합니다. 자산 대장의 경우 자산 유형 중 정보기술이나 정보보호와 관련된 유형을 식별해서 요청할 수도 있지만, 누락 등이 발생할 수 있으므로 전체 자산대장을 입수해 분석하는 것을 권장합니다. 비용원장의 경우, 자산 대장보다는 정보기술/정보보호 비용이 회계기준에 따라 처리되는 계정이 비교적 명확합니다. 따라서 KISA에서 요구하는 주요 정보기술과 관련한 비용 계정을 중심으로 입수해 분석을 진행합니다. 외주 용역비 내역의 경우 비용원장상에서 수수료-외주용역 또는 수수료-전산 용역을 통해 정보기술의 비용 분류가 가능하지만, 대부분의 경우 정보보안관련 내역이 포함돼 있습니다. 따라서 용역과 관련 기안서 및 계약서를 확보해 관련 비용 중 정보보안 관련한 인원, 비용 금액을 별도로 확인해야 합니다. [출처 및 참고...
- 블로그 [보안동향] 이것도 ESG? 이젠 ‘정보보호 공시’도 챙겨야 할 때! 정보보호 공시 배경 정보보호 공시제도는 2021년 처음으로 시행됐습니다. 정보보호산업의 진흥에 관한 법률 개정에 따라 공시의무대상 기업은 작년 6월 30일 전까지 정보보호 투자/인력/인증/활동 현황을 공시시스템상에서 의무 공시를 하게 됐습니다. 제도가 시행되기 전인 2016년부터 한국인터넷진흥원(KISA)에서는 사전 정보보호 공시 모의 수행 및 검증 지원 사업을 진행해 왔는데요.정보보호에 대한 객관적인 기업의 투자와 정보보호 활동을 판단할 수 있는 기준을 제시했습니다. 이를 통해 투자자/이용자에게 기업 신뢰도 평가와 이용자 보호를 위한 객관적 정보를 제공받아 평가할 수 있게 됐습니다. 최근 ESG 경영과 기업의 ESG 평가에 국내외 정보보호 항목이 포함됐습니다. 기업 경영에서 고려해야 할 중요한 변수로 정보보호 투자 및 인력 현황과 같은 보안과 관련된 비재무적 요소가 포함된 것이죠. 이러한 흐름 속에서 정보보호 공시제도와 정보보호의 중요성이 급부상하게 됐습니다. 작년 첫 시행된 정보보호 공시제도를 통해 기업 고객과 서비스 사용자는 기업이 어느 정도 정보보호에 투자하고 있고, 정보보호 전담 인력을 얼마나 보유하고 있는지 알 수 있게 됐습니다. 기업 경영에 있어 보안을 얼마나 중요시하는지 객관적인 공시 자료를 통해 살펴볼 수 있게 된 것인데요. 특히 개인정보를 다수 보유하고 있는 서비스 기업의 보안 관련 투자와 전담 인력 보유 수준 등은 향후 제품이나 서비스 선택에 있어 하나의 기준이 될 수 있음을 보여줬습니다. 또한, ESG 경영이나 평가에 있어 정보보호 준수 및 수준 향상 등이 앞으로의 기업 경영과 향후 예상되는 공시 의무화 및 제품 서비스의 해외 수출에 있어서 리스크가 될 수 있는데요. 따라서 중 장기적인 관점에서 ESG 경영의 일환 및 평가지표로서 정보보호 공시제도의 중요성이 더욱 커질 것으로 예상됩니다. 아래는 제도 첫 시행 후 다수 언론을 통해 보도된 기사입니다. 전과 달리 정보보호 투자액과 비중, 그리고 전담인력의 수준을 기업별로 한눈에 확인할 수 있습니다. 한 가지 놀라운 사실은 국내에서 대규모의 사용자와 서비스를 제공하는 해외 서비스임에도 불구하고 정보보호 인력을 보유하고 있지 않거나 투자액을 공개하지 않는 다국적 기업이 있다는 사실이었습니다. 과연 내년에는 인력을 채용하거나 투자현황을 공개하게 될지 궁금해집니다. 정보보호 공시를 통한 ESG경영 기여 및 대외 신뢰도 향상 정보보호 자율 공시를 통해 정보를 공개하는 기업의 경우, K-ESG 점검 항목 충족을 통해 ESG 평가 지수가 향상될 수 있습니다. 이를 통해 기업의 대외 신뢰도 향상 및 사이버 대응 신뢰도와 대응 능력을 향상시킬 수 있죠. 또한 이용자 보호와 국내...