제9조 (취약점의 분석ㆍ평가)

**①** 관리기관의 장은 대통령령으로 정하는 바에 따라 정기적으로 소관 주요정보통신기반시설의 취약점을 분석ㆍ평가하여야 한다. <개정 2020.6.9>

**②** 중앙행정기관의 장은 다음 각 호의 어느 하나에 해당하는 경우 해당 관리기관의 장에게 주요정보통신기반시설의 취약점을 분석ㆍ평가하도록 명령할 수 있다. <신설 2019.12.10>

1. 새로운 형태의 전자적 침해행위로부터 주요정보통신기반시설을 보호하기 위하여 필요한 경우
2. 주요정보통신기반시설에 중대한 변화가 발생하여 별도의 취약점 분석ㆍ평가가 필요한 경우

**③** 관리기관의 장은 제1항 또는 제2항에 따라 취약점을 분석ㆍ평가하고자 하는 경우에는 대통령령이 정하는 바에 따라 취약점을 분석ㆍ평가하는 전담반을 구성하여야 한다. <개정 2019.12.10>

**④** 관리기관의 장은 제1항 또는 제2항에 따라 취약점을 분석ㆍ평가하고자 하는 경우에는 다음 각호의 1에 해당하는 기관으로 하여금 소관 주요정보통신기반시설의 취약점을 분석ㆍ평가하게 할 수 있다. 다만, 이 경우 제3항에 따른 전담반을 구성하지 아니할 수 있다. <개정 2002.12.18, 2007.12.21, 2009.5.22, 2013.3.23, 2015.6.22, 2019.12.10>

1. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조의 규정에 의한 한국인터넷진흥원(이하 "인터넷진흥원"이라 한다)
2. 제16조의 규정에 의한 정보공유ㆍ분석센터(대통령령이 정하는 기준을 충족하는 정보공유ㆍ분석센터에 한한다)
3. 「정보보호산업의 진흥에 관한 법률」 제23조에 따라 지정된 정보보호 전문서비스 기업
4. 「정부출연연구기관 등의 설립ㆍ운영 및 육성에 관한 법률」 제8조의 규정에 의한 한국전자통신연구원

**⑤** 과학기술정보통신부장관은 관계중앙행정기관의 장 및 국가정보원장과 협의하여 제1항 및 제2항에 따른 취약점 분석ㆍ평가에 관한 기준을 정하고 이를 관계중앙행정기관의 장에게 통보하여야 한다. <개정 2008.2.29, 2013.3.23, 2017.7.26, 2019.12.10>

**⑥** 주요정보통신기반시설의 취약점 분석ㆍ평가의 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다. <개정 2019.12.10>