제23조 (정보보호 전문서비스 기업의 지정ㆍ관리)

**①** 과학기술정보통신부장관은 다음 각 호의 업무를 안전하고 신뢰성 있게 수행할 능력이 있다고 인정되는 자를 정보보호 전문서비스 기업으로 지정할 수 있다. <개정 2017.7.26>

1. 「정보통신기반 보호법」 제8조에 따라 지정된 주요정보통신기반시설(이하 이 조에서 "주요정보통신기반시설"이라 한다)의 취약점 분석ㆍ평가 업무
2. 주요정보통신기반시설 보호대책의 수립 업무
3. 그 밖에 정보보호서비스와 관련하여 대통령령으로 정하는 업무

**②** 정보보호 전문서비스 기업으로 지정받을 수 있는 자는 법인으로 한다.

**③** 과학기술정보통신부장관은 제1항에 따라 지정된 정보보호 전문서비스 기업에 대하여 지정일부터 매 1년마다 사후관리 심사를 수행하여야 한다. <개정 2017.7.26>

**④** 정보보호 전문서비스 기업은 업무를 양도하거나 다른 정보보호 전문서비스 기업과 합병하는 경우에는 과학기술정보통신부장관에게 신고하여야 한다. 이 경우 양수인 또는 합병된 법인은 과학기술정보통신부장관이 신고를 수리한 때에 정보보호 전문서비스 기업의 지위를 승계한다. <개정 2017.7.26>

**⑤** 정보보호 전문서비스 기업이 휴업ㆍ폐업하거나 업무를 재개할 때에는 휴업ㆍ폐업하려는 날 또는 휴업 후 업무를 재개하려는 날의 30일 전까지 과학기술정보통신부장관에게 신고하여야 한다. <개정 2017.7.26>

**⑥** 과학기술정보통신부장관은 정보보호 전문서비스 기업이 다음 각 호의 어느 하나에 해당하는 경우에는 청문을 거쳐 정보보호 전문서비스 기업의 지정을 취소하거나 3개월 이내의 기간을 정하여 그 업무의 전부 또는 일부의 정지를 명할 수 있다. 다만, 제1호, 제2호, 제4호의 어느 하나에 해당하는 경우에는 지정을 취소하여야 한다. <개정 2017.7.26>

1. 속임수나 그 밖의 부정한 방법으로 지정을 받은 경우
2. 제3항에 따른 사후관리 심사를 통과하지 못한 경우
3. 제8항을 위반하여 기록 및 자료를 안전하게 보존하지 아니한 경우
4. 제10항에 따른 지정기준에 미달한 경우
5. 업무를 수행하면서 알게 된 정보를 오ㆍ남용하여 주요정보통신기반시설의 운영에 장애를 가져온 경우

**⑦** 과학기술정보통신부장관은 정보보호를 위하여 특히 필요하다고 인정하는 경우에는 정보보호 전문서비스 기업으로 하여금 관련 서류 또는 자료를 제출하게 할 수 있다. <개정 2017.7.26>

**⑧** 정보보호 전문서비스 기업은 제1항 각 호의 업무와 관련하여 작성한 기록 및 자료를 안전하게 보존하여야 한다.

**⑨** 정보보호 전문서비스 기업은 제1항에 따른 지정이 취소되거나 폐업한 때에는 제1항 각 호의 업무와 관련한 기록 및 자료를 해당 기관 또는 기업의 장에게 반환하거나 폐기하여야 하며, 반환이 곤란하거나 불가능한 자료에 대해서는 폐기할 자료를 특정하여 해당 기관 또는 기업의 장의 승인을 얻은 후 폐기하여야 한다.

**⑩** 제1항에 따른 지정, 제3항에 따른 사후관리 심사, 제4항에 따른 양도ㆍ합병, 제5항에 따른 휴업 등의 신고, 제6항에 따른 지정취소, 제7항에 따른 자료제출, 제9항에 따른 기록 및 자료의 반환, 폐기의 절차 및 방법 등에 관하여 필요한 사항은 과학기술정보통신부령으로 정한다. <개정 2017.7.26>