신구법 비교: 정보통신기반 보호법 시행령
현행법
공포일: 2025년 12월 30일 | 35947
제1장 총칙
제1조(목적) 이 영은 정보통신기반보호법에서 위임된 사항과 그 시행에 관하여 필요한 사항을 규정함을 목적으로 한다.
제2조(정보통신기반보호위원회의 위원) 「정보통신기반 보호법」(이하 "법"이라 한다) 제3조제3항에서 "대통령령으로 정하는 중앙행정기관의 차관급 공무원"이란 다음 각 호의 사람을 말한다. 이 경우 차관급 공무원이 2명 이상인 기관은 해당 기관의 장이 지정하는 사람을 말한다. <개정 2013.3.23, 2014.11.19, 2017.7.26, 2024.12.3, 2025.10.1, 2025.12.30>
제3조(정보통신기반보호위원회의 운영)
①정보통신기반보호위원회(이하 "위원회"라 한다)의 위원장은 회의를 소집하고, 그 의장이 된다.
②위원장이 부득이한 사유로 직무를 수행할 수 없는 때에는 위원장이 지명하는 위원의 순으로 그 직무를 대행한다.
③위원회의 사무를 처리하기 위하여 위원회에 간사 1인을 두되, 간사는 국무조정실의 정보통신기반시설 보호 업무를 담당하는 고위공무원단에 속하는 공무원이 된다. <개정 2008.2.29, 2012.5.23, 2013.3.23>
④위원회의 회의를 소집하고자 하는 때에는 회의 일시ㆍ장소 및 회의에 부치는 사항을 회의 개최 7일 전까지 각 위원에게 서면 또는 전자문서로 통지해야 한다. 다만, 긴급을 요하거나 부득이한 사유가 있는 경우에는 그렇지 않다. <개정 2021.1.5>
⑤위원장은 법 제4조 각호의 규정에 의한 사항의 심의를 위하여 필요하다고 인정되는 경우에는 관련 전문가 또는 전문기관의 장으로 하여금 그에 관한 검토보고를 하게 할 수 있다.
제4조(의사 및 의결정족수) 위원회는 재적위원 과반수의 출석과 출석위원 과반수의 찬성으로 의결한다.
제5조(실무위원회의 구성ㆍ운영)
① 법 제3조제4항에 따라 위원회에 두는 공공분야를 담당하는 실무위원회(이하 "공공분야 실무위원회"라 한다)와 민간분야를 담당하는 실무위원회(이하 "민간분야 실무위원회"라 한다)는 각각 위원장 1명을 포함한 25명 이내의 위원으로 구성한다.
② 공공분야 실무위원회의 위원장은 국가정보원 차장이 되고, 민간분야 실무위원회의 위원장은 과학기술정보통신부 제2차관이 되며, 각 실무위원회 위원장은 해당 실무위원회의 회의를 소집하고 그 의장이 된다. <개정 2013.3.23, 2017.7.26>
③ 각 실무위원회의 위원은 다음 각 호의 어느 하나에 해당하는 사람 중에서 각 실무위원회의 위원장이 임명하거나 위촉한다.
④ 각 실무위원회는 다음 각 호의 구분에 따른 주요정보통신기반시설의 보호에 관하여 위원회의 심의를 지원한다.
⑤ 각 실무위원회는 제4항 각 호의 구분에 따른 주요정보통신기반시설의 보호에 관하여 위원회가 위임하거나 위원회의 위원장이 지시한 사항을 검토ㆍ심의한다.
⑥ 실무위원회의 운영에 관하여는 제3조제2항부터 제5항까지 및 제4조를 각각 준용한다. 이 경우 "위원회"는 "각 실무위원회"로, "위원장"은 "실무위원회 위원장"으로, "국무조정실의 정보통신기반시설 보호 업무를 담당하는 고위공무원단에 속하는 공무원"은 "실무위원회 위원장이 지명하는 소속 공무원"으로 본다. <개정 2013.3.23>
제6조(위원회의 수당 등) 위원회 또는 실무위원회에 출석한 위원ㆍ관계인 및 전문가에 대하여 예산의 범위안에서 수당 및 여비를 지급할 수 있다. 다만, 공무원이 그 소관 업무와 직접적으로 관련되는 위원회에 출석하는 경우에는 그러하지 아니하다.
제7조(운영세칙) 이 영에서 규정한 것 이외에 위원회 및 실무위원회의 운영에 관하여 필요한 사항은 각 해당위원회의 의결을 거쳐 해당 위원회의 위원장이 각각 정한다.
제8조(주요정보통신기반시설보호대책의 수립) 법 제5조제2항 또는 제3항에 따라 관리기관의 장 및 지방자치단체의 장은 다음 연도의 법 제5조제1항에 따른 주요정보통신기반시설보호대책(이하 "주요정보통신기반시설보호대책"이라 한다)을 수립하여 매년 8월 31일까지 관계중앙행정기관의 장에게 제출하여야 한다.
제9조(정보보호책임자의 지정 등)
①법 제5조제4항 본문에 따라 관리기관의 장은 소관 주요정보통신기반시설의 보호 업무를 담당하는 4급ㆍ4급상당 공무원, 5급ㆍ5급상당 공무원, 영관급장교 또는 임원급 관리ㆍ운영자를 정보보호책임자로 지정하여야 한다. <개정 2012.5.23>
② 제1항에 따른 정보보호책임자가 총괄하는 업무는 다음 각 호와 같다. <개정 2025.1.14>
③관리기관의 장이 정보보호책임자를 지정한 때에는 이를 관할 중앙행정기관의 장에게 통지하여야 한다.
제9조의2(주요정보통신기반시설보호대책 이행 여부의 확인)
① 법 제5조의2제1항에서 "국가정보원장 등 대통령령으로 정하는 국가기관의 장"이란 국가정보원장 및 국방부장관을 말한다.
② 법 제5조의2제1항에 따라 과학기술정보통신부장관, 국가정보원장 및 국방부장관은 다음 각 호의 구분에 따른 관할 주요정보통신기반시설에 대한 관리기관의 주요정보통신기반시설보호대책 이행 여부를 확인할 수 있다. <개정 2013.3.23, 2017.7.26>
③ 과학기술정보통신부장관, 국가정보원장 및 국방부장관은 법 제5조의2에 따라 주요정보통신기반시설보호대책 이행 여부를 확인하기 위하여 필요한 자료의 제출을 제2항의 구분에 따른 관할 주요정보통신기반시설 관리기관에 요청하고, 해당 주요정보통신기반시설보호대책에 따른 보호조치의 세부적인 내용을 확인ㆍ점검할 수 있다. <개정 2013.3.23, 2017.7.26>
④ 과학기술정보통신부장관과 국가정보원장은 법 제5조의2에 따라 주요정보통신기반시설보호대책의 이행 여부를 확인하려는 경우 미리 확인 절차 등에 관하여 관계중앙행정기관의 장과 협의하여야 하고, 과학기술정보통신부장관, 국가정보원장 및 국방부장관은 확인 절차 등에 관하여 해당 관리기관에 통보하여야 한다. <개정 2013.3.23, 2017.7.26>
⑤ 과학기술정보통신부장관, 국가정보원장 및 국방부장관은 법 제5조의2에 따른 주요정보통신기반시설보호대책 이행 여부 확인을 위하여 필요한 경우 제12조에 따른 주요정보통신기반시설 보호지원기관에 지원을 요청할 수 있다. <개정 2013.3.23, 2017.7.26>
⑥ 제1항부터 제5항까지에서 규정한 사항 외에 법 제5조의2에 따른 주요정보통신기반시설보호대책 이행 여부의 확인에 관한 세부 사항은 과학기술정보통신부장관과 국가정보원장이 협의하여 정한다. <개정 2013.3.23, 2017.7.26>
제9조의3(주요정보통신기반시설보호대책 이행 여부 확인 결과 보고 등)
① 과학기술정보통신부장관, 국가정보원장 및 국방부장관은 법 제5조의2에 따른 주요정보통신기반시설보호대책의 이행 여부 확인 결과를 위원회에 보고하여야 한다. <개정 2013.3.23, 2017.7.26>
② 과학기술정보통신부장관, 국가정보원장 및 국방부장관은 법 제5조의2에 따른 주요정보통신기반시설보호대책의 이행 여부 확인 결과 보완이 필요하다고 판단되는 관리기관에 대해서는 개선을 권고할 수 있다. <개정 2013.3.23, 2017.7.26>
③ 과학기술정보통신부장관과 국가정보원장은 법 제5조의2에 따른 주요정보통신기반시설보호대책의 이행 여부 확인 결과를 다음 연도의 주요정보통신기반시설보호대책 및 법 제6조제1항에 따른 주요정보통신기반시설보호계획(이하 "주요정보통신기반시설보호계획"이라 한다)의 수립지침에 반영할 수 있다. <개정 2013.3.23, 2017.7.26>
④ 과학기술정보통신부장관과 국가정보원장은 법 제7조에 따른 주요정보통신기반시설의 보호지원을 효율적으로 하기 위하여 주요정보통신기반시설보호대책의 이행 여부 확인 결과를 서로 제공하여야 한다. <개정 2013.3.23, 2017.7.26>
제10조(주요정보통신기반시설보호계획의 수립 등)
① 관계중앙행정기관의 장은 법 제6조제2항에 따라 전년도 주요정보통신기반시설보호계획의 추진실적과 다음 연도의 주요정보통신기반시설보호계획을 매년 10월 31일까지 위원회에 제출하여야 한다. <개정 2012.5.23>
② 과학기술정보통신부장관과 국가정보원장은 법 제6조제4항에 따라 매년 5월 31일까지 다음 연도의 주요정보통신기반시설보호대책 및 주요정보통신기반시설보호계획의 수립지침을 작성하여 이를 관계중앙행정기관의 장에게 통보할 수 있다. 이 경우 주요정보통신기반시설보호대책의 수립지침을 통보받은 관계중앙행정기관의 장은 관할 주요정보통신기반시설의 관리기관의 장(법 제5조제3항에 따라 주요정보통신기반시설보호대책을 제출하여야 하는 지방자치단체의 장을 포함한다)에게 그 수립지침을 통보하여야 한다. <개정 2008.2.29, 2012.5.23, 2013.3.23, 2017.7.26>
③ 관계중앙행정기관의 장은 다음 연도의 주요정보통신기반시설보호계획을 위원회의 심의를 거쳐 12월 31일까지 확정한다. <개정 2012.5.23>
제11조(정보보호책임관의 지정 등)
① 관계중앙행정기관의 장은 소속 공무원 중 주요정보통신기반시설 보호업무를 담당하는 고위공무원단에 속하는 공무원 또는 그에 상당하는 공무원을 법 제6조제5항에 따른 정보보호책임관(이하 "정보보호책임관"이라 한다)으로 지정해야 하며, 정보보호책임관의 업무 수행을 위해 필요한 경우에는 과장급 공무원을 그 지원인력으로 지정할 수 있다.
② 정보보호책임관이 총괄하는 업무는 다음 각 호와 같다. <개정 2025.1.14>
③ 과학기술정보통신부장관 또는 국가정보원장은 정보보호책임관이 제2항에 따른 업무를 원활히 수행할 수 있도록 다음 각 호의 사항을 지원할 수 있다.
제12조(주요정보통신기반시설 보호지원기관의 범위) 법 제7조제1항 각 호 외의 부분에서 "대통령령으로 정하는 전문기관"이란 다음 각 호의 기관을 말한다. <개정 2015.12.22, 2025.1.14>
제13조(지정단위의 선정)
①중앙행정기관의 장은 주요정보통신기반시설로 지정됨이 상당하다고 판단되는 시설의 관리기관(이하 "지정대상시설관리기관"이라 한다)의 장에게 법 제8조제1항 각호의 사항을 고려하여 주요정보통신기반시설을 지정하기 위한 기본단위(이하 "지정단위"라 한다)를 선정하도록 한다.
②지정대상시설관리기관의 장은 법 제8조제1항 각호의 사항을 고려하고 당해 기관의 특수성을 반영하여 지정단위를 선정한다.
③지정대상시설관리기관의 장은 지정단위와 관련된 세부시설의 범위를 정할 수 있다.
④ 삭제 <2014.12.9>
⑤중앙행정기관의 장은 제2항에 따른 지정단위 선정 및 제3항에 따른 지정단위와 관련된 세부시설 범위의 타당성 등을 검토하고, 필요한 경우 이를 조정할 수 있다. 다만, 중앙행정기관의 장이 지정대상시설관리기관의 장인 경우에는 소관 시설에 대하여 직접 지정단위와 관련된 세부시설의 범위를 정한다. <개정 2012.5.23, 2014.12.9>
제14조(지정여부의 자체평가)
①중앙행정기관의 장은 주요정보통신기반시설의 지정여부 평가를 위한 기준을 마련하여 지정대상시설관리기관의 장에게 통보할 수 있다.
②지정대상시설관리기관의 장은 제13조제2항 및 제3항의 규정에 의하여 선정된 지정단위 및 그와 관련된 세부시설에 대하여 제1항의 규정에 의한 지정여부 평가를 위한 기준을 근거로 주요정보통신기반시설 지정여부를 자체 평가하고, 그 결과를 중앙행정기관의 장에게 제출한다. 다만, 지정대상시설관리기관의 장인 중앙행정기관의 장이 지정여부를 평가한 경우에는 그러하지 아니하다.
제15조(지정여부 심사)
①중앙행정기관의 장은 지정대상시설관리기관의 장이 제14조제2항 본문의 규정에 의하여 제출한 주요정보통신기반시설 지정여부에 대한 자체 평가결과에 대하여 법 제8조제1항 각호에 따라 객관적이고 적정하게 평가가 이루어졌는지 여부를 심사한다.
②중앙행정기관의 장은 제1항의 규정에 의한 심사를 하는 때에는 지정의 객관성을 확보하기 위하여 관계전문가로 구성된 협의회에서 심의하게 할 수 있다.
③중앙행정기관의 장은 제1항의 규정에 의한 심사에서 지정대상시설관리기관의 장이 해당 시설에 대한 평가를 부실하게 하였거나 상당한 이유없이 누락하였다고 판단되는 경우 이를 다시 평가하도록 지시하거나 권고할 수 있다.
제16조(지정 및 지정취소의 통보 등) 중앙행정기관의 장은 주요정보통신기반시설을 지정 또는 지정 취소하는 경우 지체없이 해당 관리기관의 장에게 그 사실을 통보하고 다음 각호의 사항을 관보에 고시하여야 한다.
제16조의2(주요정보통신기반시설의 지정 권고 등)
① 과학기술정보통신부장관과 국가정보원장은 법 제8조의2에 따른 주요정보통신기반시설 지정 대상의 선정을 위하여 제9조의2제2항 각 호의 구분에 따른 관할별로 주요정보통신기반시설지정조사반(이하 "조사반"이라 한다)을 두고, 각 조사반으로 하여금 법 제8조제1항 각 호의 사항을 고려하여 주요정보통신기반시설 지정 필요성을 검토하게 할 수 있다. <개정 2013.3.23, 2017.7.26>
② 과학기술정보통신부장관과 국가정보원장은 법 제8조의2제1항에 따라 중앙행정기관의 장에게 주요정보통신기반시설로 지정할 것을 권고하기 전에 미리 지정 대상 정보통신기반시설을 관리하는 기관의 장 및 관할 중앙행정기관의 장과 협의할 수 있다. <개정 2013.3.23, 2017.7.26>
③ 중앙행정기관의 장은 법 제8조의2제1항에 따라 과학기술정보통신부장관 또는 국가정보원장으로부터 관할 정보통신기반시설에 대해 주요정보통신기반시설의 지정 권고를 받은 경우 60일 이내에 제13조에 따른 지정단위 선정, 제14조에 따른 자체평가 및 제15조에 따른 심사 절차를 거쳐 주요정보통신기반시설 지정 여부를 결정해야 한다. <개정 2013.3.23, 2017.7.26, 2021.3.9>
④ 제3항에 따라 주요정보통신기반시설 지정 여부를 결정한 중앙행정기관의 장은 지정한 날부터 30일 이내에 그 결과를 지정 권고한 과학기술정보통신부장관 또는 국가정보원장에게 통보해야 한다. <신설 2021.3.9>
⑤ 조사반의 구성과 운영에 필요한 사항은 과학기술정보통신부장관과 국가정보원장이 협의하여 정한다. <개정 2013.3.23, 2017.7.26, 2021.3.9>
제17조(취약점 분석ㆍ평가의 시기)
①관리기관의 장은 소관 정보통신기반시설이 주요정보통신기반시설로 지정된 때에는 지정 후 6월 이내에 법 제9조제1항의 규정에 의한 취약점의 분석ㆍ평가를 실시하여야 한다. 다만, 관리기관의 장은 소관 주요정보통신기반시설 지정 후 6월 이내에 동 시설에 대한 취약점의 분석ㆍ평가를 시행하지 못할 특별한 사유가 있다고 판단되는 경우에는 관할 중앙행정기관의 장의 승인을 얻어 지정 후 9월 이내에 이를 실시하여야 한다.
②관리기관의 장은 제1항에 따라 소관 주요정보통신기반시설이 지정된 후 당해 주요정보통신기반시설에 대한 최초의 취약점 분석ㆍ평가를 한 후에는 매년 취약점의 분석ㆍ평가를 실시한다. 다만, 소관 주요정보통신기반시설에 중대한 변화가 발생하였거나 관리기관의 장이 취약점 분석ㆍ평가가 필요하다고 판단하는 경우에는 1년이 되지 아니한 때에도 취약점의 분석ㆍ평가를 실시할 수 있다. <개정 2012.5.23>
③ 관리기관의 장은 법 제9조제2항에 따라 중앙행정기관의 장으로부터 주요정보통신기반시설의 취약점을 분석ㆍ평가하도록 명령을 받은 경우에는 그 명령을 받은 날부터 6개월 이내에 해당 시설의 취약점 분석ㆍ평가를 실시해야 한다. <신설 2021.3.9>
제18조(취약점 분석ㆍ평가 방법 및 절차)
①법 제9조제3항에 따라 관리기관의 장은 취약점을 분석ㆍ평가하기 위한 전담반을 구성하는 때에는 별표 1의 사항을 고려하여 취약점 분석ㆍ평가의 객관성과 실효성을 확보할 수 있도록 하여야 한다. <개정 2025.1.14>
②관리기관의 장은 법 제9조제4항 각 호의 어느 하나에 해당하는 기관으로 하여금 소관 주요정보통신기반시설의 취약점을 분석ㆍ평가하게 하는 때에는 취약점 분석ㆍ평가 수행기관이 취득한 관리기관의 비밀정보가 외부에 유출되지 아니하도록 적정한 조치를 취하여야 한다. <개정 2025.1.14>
③법 제9조제4항에 따라 관리기관의 장이 같은 항 각 호의 어느 하나에 해당하는 기관으로 하여금 취약점을 분석ㆍ평가하게 하는 때에는 취약점 분석ㆍ평가 업무를 위탁받은 기관이 이를 직접 수행하도록 하여야 한다. <개정 2025.1.14>
④법 제9조제5항에 따른 취약점 분석ㆍ평가 기준에는 다음 각 호의 사항이 포함되어야 한다. <개정 2025.1.14>
제19조(정보공유ㆍ분석센터의 취약점 분석ㆍ평가)
①법 제9조제4항제2호에서 "대통령령이 정하는 기준"이란 별표 2의 기준을 말한다. <개정 2025.1.14>
②정보공유ㆍ분석센터에 가입한 복수의 관리기관이 정보통신망을 통하여 영업을 수행하는 분야에 있어서 상호 연동된 주요정보통신기반시설에 대한 취약점 분석ㆍ평가는 해당 관리기관의 동의를 받아 수행하여야 한다. <개정 2025.1.14>
제20조(보호지침의 제정)
①법 제10조의 규정에 의한 보호지침에는 주요정보통신기반시설 보호에 필요한 다음 각호에 관한 사항이 포함되어야 한다.
②관계중앙행정기관의 장은 보호지침을 제정ㆍ수정 또는 보완한 경우에는 이를 소관 관리기관의 장에게 통지한다.
제21조(침해사고의 통지)
①법 제13조제1항 전단의 규정에 의한 침해사고의 통지에는 다음 각호의 사항이 포함되어야 한다.
②법 제13조제1항의 규정에 의한 관계 행정기관은 국가보안업무를 수행하는 기관(국가기관 또는 지방자치단체의 장이 관리기관의 장인 주요정보통신기반시설 및 법 제7조제2항 각호에 해당하는 주요정보통신기반시설의 경우에 한한다) 또는 관계중앙행정기관으로 한다.
③침해사고 상황의 통지 절차 및 방법에 관하여 이 영에서 규정한 것 이외의 필요한 사항은 관계중앙행정기관의 장이 정할 수 있다.
제22조(정보통신기반침해사고대책본부의 구성 등)
①법 제15조제1항의 규정에 의한 정보통신기반침해사고대책본부(이하 "대책본부"라 한다)는 정보통신기반보호와 직접 관련이 있는 중앙행정기관 소속 공무원중에서 대책본부장이 지명하는 자 및 법 제15조제2항의 규정에 의하여 파견된 자로 구성한다.
②대책본부장을 보좌하기 위하여 차장 2인을 두되, 차장은 제1항의 규정에 의한 대책본부의 구성원 중에서 대책본부장이 임명한다.
③대책본부장은 침해사고에 적절히 대응하기 위하여 필요한 기능별로 실무반을 설치ㆍ운영할 수 있다.
제23조(대책본부의 운영)
①대책본부장은 대책본부를 대표하고, 그 업무를 총괄한다.
②대책본부장은 침해사고 피해의 효율적인 수습을 위하여 필요하다고 인정할 때에는 제22조제1항의 규정에 의한 대책본부의 구성원이 참여하는 회의(이하 "대책본부회의"라 한다. 이하 이 조에서 같다)를 소집할 수 있다. 다만, 다음 각호의 사항에 관하여는 반드시 대책본부 회의를 거쳐야 한다.
③ 대책본부장은 침해사고 조사결과와 침해사고 재발방지를 위한 예방대책을 위원회에 보고하여야 한다. <신설 2012.5.23>
④이 영에서 규정한 것 외에 대책본부의 운영, 대책본부회의 및 제22조제3항의 규정에 의한 기능별 실무반의 구성ㆍ운영 등에 관하여 필요한 사항은 대책본부장이 정한다. <개정 2012.5.23>
제24조 삭제 <2021.3.9>
제24조의2 삭제 <2023.3.7>
제25조(과태료의 부과기준) 법 제30조제1항부터 제3항까지의 규정에 따른 과태료의 부과기준은 별표 3과 같다. <개정 2022.9.6, 2025.1.14>
구법
공포일: 2025년 10월 1일 | 35801
제1장 총칙
제1조(목적) 이 영은 정보통신기반보호법에서 위임된 사항과 그 시행에 관하여 필요한 사항을 규정함을 목적으로 한다.
제2조(정보통신기반보호위원회의 위원) 「정보통신기반 보호법」(이하 "법"이라 한다) 제3조제3항에서 "대통령령으로 정하는 중앙행정기관의 차관급 공무원"이란 다음 각 호의 사람을 말한다. 이 경우 차관급 공무원이 2명 이상인 기관은 해당 기관의 장이 지정하는 사람을 말한다. <개정 2013.3.23, 2014.11.19, 2017.7.26, 2024.12.3, 2025.10.1, 2025.12.30>
제3조(정보통신기반보호위원회의 운영)
①정보통신기반보호위원회(이하 "위원회"라 한다)의 위원장은 회의를 소집하고, 그 의장이 된다.
②위원장이 부득이한 사유로 직무를 수행할 수 없는 때에는 위원장이 지명하는 위원의 순으로 그 직무를 대행한다.
③위원회의 사무를 처리하기 위하여 위원회에 간사 1인을 두되, 간사는 국무조정실의 정보통신기반시설 보호 업무를 담당하는 고위공무원단에 속하는 공무원이 된다. <개정 2008.2.29, 2012.5.23, 2013.3.23>
④위원회의 회의를 소집하고자 하는 때에는 회의 일시ㆍ장소 및 회의에 부치는 사항을 회의 개최 7일 전까지 각 위원에게 서면 또는 전자문서로 통지해야 한다. 다만, 긴급을 요하거나 부득이한 사유가 있는 경우에는 그렇지 않다. <개정 2021.1.5>
⑤위원장은 법 제4조 각호의 규정에 의한 사항의 심의를 위하여 필요하다고 인정되는 경우에는 관련 전문가 또는 전문기관의 장으로 하여금 그에 관한 검토보고를 하게 할 수 있다.
제4조(의사 및 의결정족수) 위원회는 재적위원 과반수의 출석과 출석위원 과반수의 찬성으로 의결한다.
제5조(실무위원회의 구성ㆍ운영)
① 법 제3조제4항에 따라 위원회에 두는 공공분야를 담당하는 실무위원회(이하 "공공분야 실무위원회"라 한다)와 민간분야를 담당하는 실무위원회(이하 "민간분야 실무위원회"라 한다)는 각각 위원장 1명을 포함한 25명 이내의 위원으로 구성한다.
② 공공분야 실무위원회의 위원장은 국가정보원 차장이 되고, 민간분야 실무위원회의 위원장은 과학기술정보통신부 제2차관이 되며, 각 실무위원회 위원장은 해당 실무위원회의 회의를 소집하고 그 의장이 된다. <개정 2013.3.23, 2017.7.26>
③ 각 실무위원회의 위원은 다음 각 호의 어느 하나에 해당하는 사람 중에서 각 실무위원회의 위원장이 임명하거나 위촉한다.
④ 각 실무위원회는 다음 각 호의 구분에 따른 주요정보통신기반시설의 보호에 관하여 위원회의 심의를 지원한다.
⑤ 각 실무위원회는 제4항 각 호의 구분에 따른 주요정보통신기반시설의 보호에 관하여 위원회가 위임하거나 위원회의 위원장이 지시한 사항을 검토ㆍ심의한다.
⑥ 실무위원회의 운영에 관하여는 제3조제2항부터 제5항까지 및 제4조를 각각 준용한다. 이 경우 "위원회"는 "각 실무위원회"로, "위원장"은 "실무위원회 위원장"으로, "국무조정실의 정보통신기반시설 보호 업무를 담당하는 고위공무원단에 속하는 공무원"은 "실무위원회 위원장이 지명하는 소속 공무원"으로 본다. <개정 2013.3.23>
제6조(위원회의 수당 등) 위원회 또는 실무위원회에 출석한 위원ㆍ관계인 및 전문가에 대하여 예산의 범위안에서 수당 및 여비를 지급할 수 있다. 다만, 공무원이 그 소관 업무와 직접적으로 관련되는 위원회에 출석하는 경우에는 그러하지 아니하다.
제7조(운영세칙) 이 영에서 규정한 것 이외에 위원회 및 실무위원회의 운영에 관하여 필요한 사항은 각 해당위원회의 의결을 거쳐 해당 위원회의 위원장이 각각 정한다.
제8조(주요정보통신기반시설보호대책의 수립) 법 제5조제2항 또는 제3항에 따라 관리기관의 장 및 지방자치단체의 장은 다음 연도의 법 제5조제1항에 따른 주요정보통신기반시설보호대책(이하 "주요정보통신기반시설보호대책"이라 한다)을 수립하여 매년 8월 31일까지 관계중앙행정기관의 장에게 제출하여야 한다.
제9조(정보보호책임자의 지정 등)
①법 제5조제4항 본문에 따라 관리기관의 장은 소관 주요정보통신기반시설의 보호 업무를 담당하는 4급ㆍ4급상당 공무원, 5급ㆍ5급상당 공무원, 영관급장교 또는 임원급 관리ㆍ운영자를 정보보호책임자로 지정하여야 한다. <개정 2012.5.23>
② 제1항에 따른 정보보호책임자가 총괄하는 업무는 다음 각 호와 같다. <개정 2025.1.14>
③관리기관의 장이 정보보호책임자를 지정한 때에는 이를 관할 중앙행정기관의 장에게 통지하여야 한다.
제9조의2(주요정보통신기반시설보호대책 이행 여부의 확인)
① 법 제5조의2제1항에서 "국가정보원장 등 대통령령으로 정하는 국가기관의 장"이란 국가정보원장 및 국방부장관을 말한다.
② 법 제5조의2제1항에 따라 과학기술정보통신부장관, 국가정보원장 및 국방부장관은 다음 각 호의 구분에 따른 관할 주요정보통신기반시설에 대한 관리기관의 주요정보통신기반시설보호대책 이행 여부를 확인할 수 있다. <개정 2013.3.23, 2017.7.26>
③ 과학기술정보통신부장관, 국가정보원장 및 국방부장관은 법 제5조의2에 따라 주요정보통신기반시설보호대책 이행 여부를 확인하기 위하여 필요한 자료의 제출을 제2항의 구분에 따른 관할 주요정보통신기반시설 관리기관에 요청하고, 해당 주요정보통신기반시설보호대책에 따른 보호조치의 세부적인 내용을 확인ㆍ점검할 수 있다. <개정 2013.3.23, 2017.7.26>
④ 과학기술정보통신부장관과 국가정보원장은 법 제5조의2에 따라 주요정보통신기반시설보호대책의 이행 여부를 확인하려는 경우 미리 확인 절차 등에 관하여 관계중앙행정기관의 장과 협의하여야 하고, 과학기술정보통신부장관, 국가정보원장 및 국방부장관은 확인 절차 등에 관하여 해당 관리기관에 통보하여야 한다. <개정 2013.3.23, 2017.7.26>
⑤ 과학기술정보통신부장관, 국가정보원장 및 국방부장관은 법 제5조의2에 따른 주요정보통신기반시설보호대책 이행 여부 확인을 위하여 필요한 경우 제12조에 따른 주요정보통신기반시설 보호지원기관에 지원을 요청할 수 있다. <개정 2013.3.23, 2017.7.26>
⑥ 제1항부터 제5항까지에서 규정한 사항 외에 법 제5조의2에 따른 주요정보통신기반시설보호대책 이행 여부의 확인에 관한 세부 사항은 과학기술정보통신부장관과 국가정보원장이 협의하여 정한다. <개정 2013.3.23, 2017.7.26>
제9조의3(주요정보통신기반시설보호대책 이행 여부 확인 결과 보고 등)
① 과학기술정보통신부장관, 국가정보원장 및 국방부장관은 법 제5조의2에 따른 주요정보통신기반시설보호대책의 이행 여부 확인 결과를 위원회에 보고하여야 한다. <개정 2013.3.23, 2017.7.26>
② 과학기술정보통신부장관, 국가정보원장 및 국방부장관은 법 제5조의2에 따른 주요정보통신기반시설보호대책의 이행 여부 확인 결과 보완이 필요하다고 판단되는 관리기관에 대해서는 개선을 권고할 수 있다. <개정 2013.3.23, 2017.7.26>
③ 과학기술정보통신부장관과 국가정보원장은 법 제5조의2에 따른 주요정보통신기반시설보호대책의 이행 여부 확인 결과를 다음 연도의 주요정보통신기반시설보호대책 및 법 제6조제1항에 따른 주요정보통신기반시설보호계획(이하 "주요정보통신기반시설보호계획"이라 한다)의 수립지침에 반영할 수 있다. <개정 2013.3.23, 2017.7.26>
④ 과학기술정보통신부장관과 국가정보원장은 법 제7조에 따른 주요정보통신기반시설의 보호지원을 효율적으로 하기 위하여 주요정보통신기반시설보호대책의 이행 여부 확인 결과를 서로 제공하여야 한다. <개정 2013.3.23, 2017.7.26>
제10조(주요정보통신기반시설보호계획의 수립 등)
① 관계중앙행정기관의 장은 법 제6조제2항에 따라 전년도 주요정보통신기반시설보호계획의 추진실적과 다음 연도의 주요정보통신기반시설보호계획을 매년 10월 31일까지 위원회에 제출하여야 한다. <개정 2012.5.23>
② 과학기술정보통신부장관과 국가정보원장은 법 제6조제4항에 따라 매년 5월 31일까지 다음 연도의 주요정보통신기반시설보호대책 및 주요정보통신기반시설보호계획의 수립지침을 작성하여 이를 관계중앙행정기관의 장에게 통보할 수 있다. 이 경우 주요정보통신기반시설보호대책의 수립지침을 통보받은 관계중앙행정기관의 장은 관할 주요정보통신기반시설의 관리기관의 장(법 제5조제3항에 따라 주요정보통신기반시설보호대책을 제출하여야 하는 지방자치단체의 장을 포함한다)에게 그 수립지침을 통보하여야 한다. <개정 2008.2.29, 2012.5.23, 2013.3.23, 2017.7.26>
③ 관계중앙행정기관의 장은 다음 연도의 주요정보통신기반시설보호계획을 위원회의 심의를 거쳐 12월 31일까지 확정한다. <개정 2012.5.23>
제11조(정보보호책임관의 지정 등)
① 관계중앙행정기관의 장은 소속 공무원 중 주요정보통신기반시설 보호업무를 담당하는 고위공무원단에 속하는 공무원 또는 그에 상당하는 공무원을 법 제6조제5항에 따른 정보보호책임관(이하 "정보보호책임관"이라 한다)으로 지정해야 하며, 정보보호책임관의 업무 수행을 위해 필요한 경우에는 과장급 공무원을 그 지원인력으로 지정할 수 있다.
② 정보보호책임관이 총괄하는 업무는 다음 각 호와 같다. <개정 2025.1.14>
③ 과학기술정보통신부장관 또는 국가정보원장은 정보보호책임관이 제2항에 따른 업무를 원활히 수행할 수 있도록 다음 각 호의 사항을 지원할 수 있다.
제12조(주요정보통신기반시설 보호지원기관의 범위) 법 제7조제1항 각 호 외의 부분에서 "대통령령으로 정하는 전문기관"이란 다음 각 호의 기관을 말한다. <개정 2015.12.22, 2025.1.14>
제13조(지정단위의 선정)
①중앙행정기관의 장은 주요정보통신기반시설로 지정됨이 상당하다고 판단되는 시설의 관리기관(이하 "지정대상시설관리기관"이라 한다)의 장에게 법 제8조제1항 각호의 사항을 고려하여 주요정보통신기반시설을 지정하기 위한 기본단위(이하 "지정단위"라 한다)를 선정하도록 한다.
②지정대상시설관리기관의 장은 법 제8조제1항 각호의 사항을 고려하고 당해 기관의 특수성을 반영하여 지정단위를 선정한다.
③지정대상시설관리기관의 장은 지정단위와 관련된 세부시설의 범위를 정할 수 있다.
④ 삭제 <2014.12.9>
⑤중앙행정기관의 장은 제2항에 따른 지정단위 선정 및 제3항에 따른 지정단위와 관련된 세부시설 범위의 타당성 등을 검토하고, 필요한 경우 이를 조정할 수 있다. 다만, 중앙행정기관의 장이 지정대상시설관리기관의 장인 경우에는 소관 시설에 대하여 직접 지정단위와 관련된 세부시설의 범위를 정한다. <개정 2012.5.23, 2014.12.9>
제14조(지정여부의 자체평가)
①중앙행정기관의 장은 주요정보통신기반시설의 지정여부 평가를 위한 기준을 마련하여 지정대상시설관리기관의 장에게 통보할 수 있다.
②지정대상시설관리기관의 장은 제13조제2항 및 제3항의 규정에 의하여 선정된 지정단위 및 그와 관련된 세부시설에 대하여 제1항의 규정에 의한 지정여부 평가를 위한 기준을 근거로 주요정보통신기반시설 지정여부를 자체 평가하고, 그 결과를 중앙행정기관의 장에게 제출한다. 다만, 지정대상시설관리기관의 장인 중앙행정기관의 장이 지정여부를 평가한 경우에는 그러하지 아니하다.
제15조(지정여부 심사)
①중앙행정기관의 장은 지정대상시설관리기관의 장이 제14조제2항 본문의 규정에 의하여 제출한 주요정보통신기반시설 지정여부에 대한 자체 평가결과에 대하여 법 제8조제1항 각호에 따라 객관적이고 적정하게 평가가 이루어졌는지 여부를 심사한다.
②중앙행정기관의 장은 제1항의 규정에 의한 심사를 하는 때에는 지정의 객관성을 확보하기 위하여 관계전문가로 구성된 협의회에서 심의하게 할 수 있다.
③중앙행정기관의 장은 제1항의 규정에 의한 심사에서 지정대상시설관리기관의 장이 해당 시설에 대한 평가를 부실하게 하였거나 상당한 이유없이 누락하였다고 판단되는 경우 이를 다시 평가하도록 지시하거나 권고할 수 있다.
제16조(지정 및 지정취소의 통보 등) 중앙행정기관의 장은 주요정보통신기반시설을 지정 또는 지정 취소하는 경우 지체없이 해당 관리기관의 장에게 그 사실을 통보하고 다음 각호의 사항을 관보에 고시하여야 한다.
제16조의2(주요정보통신기반시설의 지정 권고 등)
① 과학기술정보통신부장관과 국가정보원장은 법 제8조의2에 따른 주요정보통신기반시설 지정 대상의 선정을 위하여 제9조의2제2항 각 호의 구분에 따른 관할별로 주요정보통신기반시설지정조사반(이하 "조사반"이라 한다)을 두고, 각 조사반으로 하여금 법 제8조제1항 각 호의 사항을 고려하여 주요정보통신기반시설 지정 필요성을 검토하게 할 수 있다. <개정 2013.3.23, 2017.7.26>
② 과학기술정보통신부장관과 국가정보원장은 법 제8조의2제1항에 따라 중앙행정기관의 장에게 주요정보통신기반시설로 지정할 것을 권고하기 전에 미리 지정 대상 정보통신기반시설을 관리하는 기관의 장 및 관할 중앙행정기관의 장과 협의할 수 있다. <개정 2013.3.23, 2017.7.26>
③ 중앙행정기관의 장은 법 제8조의2제1항에 따라 과학기술정보통신부장관 또는 국가정보원장으로부터 관할 정보통신기반시설에 대해 주요정보통신기반시설의 지정 권고를 받은 경우 60일 이내에 제13조에 따른 지정단위 선정, 제14조에 따른 자체평가 및 제15조에 따른 심사 절차를 거쳐 주요정보통신기반시설 지정 여부를 결정해야 한다. <개정 2013.3.23, 2017.7.26, 2021.3.9>
④ 제3항에 따라 주요정보통신기반시설 지정 여부를 결정한 중앙행정기관의 장은 지정한 날부터 30일 이내에 그 결과를 지정 권고한 과학기술정보통신부장관 또는 국가정보원장에게 통보해야 한다. <신설 2021.3.9>
⑤ 조사반의 구성과 운영에 필요한 사항은 과학기술정보통신부장관과 국가정보원장이 협의하여 정한다. <개정 2013.3.23, 2017.7.26, 2021.3.9>
제17조(취약점 분석ㆍ평가의 시기)
①관리기관의 장은 소관 정보통신기반시설이 주요정보통신기반시설로 지정된 때에는 지정 후 6월 이내에 법 제9조제1항의 규정에 의한 취약점의 분석ㆍ평가를 실시하여야 한다. 다만, 관리기관의 장은 소관 주요정보통신기반시설 지정 후 6월 이내에 동 시설에 대한 취약점의 분석ㆍ평가를 시행하지 못할 특별한 사유가 있다고 판단되는 경우에는 관할 중앙행정기관의 장의 승인을 얻어 지정 후 9월 이내에 이를 실시하여야 한다.
②관리기관의 장은 제1항에 따라 소관 주요정보통신기반시설이 지정된 후 당해 주요정보통신기반시설에 대한 최초의 취약점 분석ㆍ평가를 한 후에는 매년 취약점의 분석ㆍ평가를 실시한다. 다만, 소관 주요정보통신기반시설에 중대한 변화가 발생하였거나 관리기관의 장이 취약점 분석ㆍ평가가 필요하다고 판단하는 경우에는 1년이 되지 아니한 때에도 취약점의 분석ㆍ평가를 실시할 수 있다. <개정 2012.5.23>
③ 관리기관의 장은 법 제9조제2항에 따라 중앙행정기관의 장으로부터 주요정보통신기반시설의 취약점을 분석ㆍ평가하도록 명령을 받은 경우에는 그 명령을 받은 날부터 6개월 이내에 해당 시설의 취약점 분석ㆍ평가를 실시해야 한다. <신설 2021.3.9>
제18조(취약점 분석ㆍ평가 방법 및 절차)
①법 제9조제3항에 따라 관리기관의 장은 취약점을 분석ㆍ평가하기 위한 전담반을 구성하는 때에는 별표 1의 사항을 고려하여 취약점 분석ㆍ평가의 객관성과 실효성을 확보할 수 있도록 하여야 한다. <개정 2025.1.14>
②관리기관의 장은 법 제9조제4항 각 호의 어느 하나에 해당하는 기관으로 하여금 소관 주요정보통신기반시설의 취약점을 분석ㆍ평가하게 하는 때에는 취약점 분석ㆍ평가 수행기관이 취득한 관리기관의 비밀정보가 외부에 유출되지 아니하도록 적정한 조치를 취하여야 한다. <개정 2025.1.14>
③법 제9조제4항에 따라 관리기관의 장이 같은 항 각 호의 어느 하나에 해당하는 기관으로 하여금 취약점을 분석ㆍ평가하게 하는 때에는 취약점 분석ㆍ평가 업무를 위탁받은 기관이 이를 직접 수행하도록 하여야 한다. <개정 2025.1.14>
④법 제9조제5항에 따른 취약점 분석ㆍ평가 기준에는 다음 각 호의 사항이 포함되어야 한다. <개정 2025.1.14>
제19조(정보공유ㆍ분석센터의 취약점 분석ㆍ평가)
①법 제9조제4항제2호에서 "대통령령이 정하는 기준"이란 별표 2의 기준을 말한다. <개정 2025.1.14>
②정보공유ㆍ분석센터에 가입한 복수의 관리기관이 정보통신망을 통하여 영업을 수행하는 분야에 있어서 상호 연동된 주요정보통신기반시설에 대한 취약점 분석ㆍ평가는 해당 관리기관의 동의를 받아 수행하여야 한다. <개정 2025.1.14>
제20조(보호지침의 제정)
①법 제10조의 규정에 의한 보호지침에는 주요정보통신기반시설 보호에 필요한 다음 각호에 관한 사항이 포함되어야 한다.
②관계중앙행정기관의 장은 보호지침을 제정ㆍ수정 또는 보완한 경우에는 이를 소관 관리기관의 장에게 통지한다.
제21조(침해사고의 통지)
①법 제13조제1항 전단의 규정에 의한 침해사고의 통지에는 다음 각호의 사항이 포함되어야 한다.
②법 제13조제1항의 규정에 의한 관계 행정기관은 국가보안업무를 수행하는 기관(국가기관 또는 지방자치단체의 장이 관리기관의 장인 주요정보통신기반시설 및 법 제7조제2항 각호에 해당하는 주요정보통신기반시설의 경우에 한한다) 또는 관계중앙행정기관으로 한다.
③침해사고 상황의 통지 절차 및 방법에 관하여 이 영에서 규정한 것 이외의 필요한 사항은 관계중앙행정기관의 장이 정할 수 있다.
제22조(정보통신기반침해사고대책본부의 구성 등)
①법 제15조제1항의 규정에 의한 정보통신기반침해사고대책본부(이하 "대책본부"라 한다)는 정보통신기반보호와 직접 관련이 있는 중앙행정기관 소속 공무원중에서 대책본부장이 지명하는 자 및 법 제15조제2항의 규정에 의하여 파견된 자로 구성한다.
②대책본부장을 보좌하기 위하여 차장 2인을 두되, 차장은 제1항의 규정에 의한 대책본부의 구성원 중에서 대책본부장이 임명한다.
③대책본부장은 침해사고에 적절히 대응하기 위하여 필요한 기능별로 실무반을 설치ㆍ운영할 수 있다.
제23조(대책본부의 운영)
①대책본부장은 대책본부를 대표하고, 그 업무를 총괄한다.
②대책본부장은 침해사고 피해의 효율적인 수습을 위하여 필요하다고 인정할 때에는 제22조제1항의 규정에 의한 대책본부의 구성원이 참여하는 회의(이하 "대책본부회의"라 한다. 이하 이 조에서 같다)를 소집할 수 있다. 다만, 다음 각호의 사항에 관하여는 반드시 대책본부 회의를 거쳐야 한다.
③ 대책본부장은 침해사고 조사결과와 침해사고 재발방지를 위한 예방대책을 위원회에 보고하여야 한다. <신설 2012.5.23>
④이 영에서 규정한 것 외에 대책본부의 운영, 대책본부회의 및 제22조제3항의 규정에 의한 기능별 실무반의 구성ㆍ운영 등에 관하여 필요한 사항은 대책본부장이 정한다. <개정 2012.5.23>
제24조 삭제 <2021.3.9>
제24조의2 삭제 <2023.3.7>
제25조(과태료의 부과기준) 법 제30조제1항부터 제3항까지의 규정에 따른 과태료의 부과기준은 별표 3과 같다. <개정 2022.9.6, 2025.1.14>