제15조의5 (클라우드컴퓨팅서비스의 보안인증 절차 등)

**①** 법 제23조의2제1항에 따라 클라우드컴퓨팅서비스에 대한 보안인증(이하 "보안인증"이라 한다)을 받으려는 자는 과학기술정보통신부령으로 정하는 인증 신청서에 다음 각 호의 서류를 첨부하여 보안인증에 관한 업무를 수행하는 한국인터넷진흥원 또는 같은 조 제5항에 따라 지정된 기관(이하 "인증기관"이라 한다)에 제출해야 한다.

1. 법 제23조제2항에 따른 클라우드컴퓨팅서비스의 정보보호에 관한 기준(관리적ㆍ물리적ㆍ기술적 보호조치를 포함한다. 이하 "보안인증기준"이라 한다)에 적합한지 여부를 확인할 수 있는 서류
2. 보안인증 대상 목록
3. 그 밖에 보안인증에 필요한 사항으로서 과학기술정보통신부장관이 고시하는 사항에 관한 서류

**②** 한국인터넷진흥원 또는 인증기관은 제1항에 따른 신청을 받은 경우 법 제23조의2제6항에 따라 같은 조 제5항제1호에 따른 보안인증기준에 적합한지 여부를 확인하기 위한 평가(이하 "인증평가"라 한다) 업무를 수행하는 기관으로 지정받은 기관(이하 "평가기관"이라 한다)으로 하여금 인증평가를 수행하도록 해야 한다.

**③** 과학기술정보통신부장관은 제2항에도 불구하고 인증평가를 위한 새로운 평가기술의 개발이 필요하여 한국인터넷진흥원이 인증평가를 수행하는 것이 적절하다고 판단하는 경우에는 한국인터넷진흥원으로 하여금 인증평가를 수행하도록 할 수 있다.

**④** 한국인터넷진흥원은 제1항에 따른 신청을 받고 제3항에 따라 인증평가 업무를 직접 수행하는 경우에는 인증평가 업무의 객관성과 공정성을 확보하기 위하여 다음 각 호의 사항을 포함하여 인증평가 업무 수행 시 준수해야 할 기준과 절차를 마련해야 한다.

1. 인증평가 업무를 독립적으로 수행하는 전문인력이 있을 것
2. 인증평가 업무를 독립적으로 검토할 수 있는 절차가 있을 것
3. 그 밖에 인증평가 업무의 객관성과 공정성을 확보하기 위한 사항으로서 과학기술정보통신부장관이 정하여 고시하는 사항

**⑤** 제2항에 따라 인증평가를 의뢰받은 평가기관(제3항에 따른 한국인터넷진흥원을 포함한다)은 인증평가를 실시하고 그 결과를 해당 인증평가를 의뢰한 한국인터넷진흥원 또는 인증기관에 송부해야 한다.

**⑥** 한국인터넷진흥원 또는 인증기관은 제5항에 따라 송부받은 인증평가 결과를 심의하기 위하여 정보보호에 관한 학식과 경험이 풍부한 사람으로 구성된 보안인증위원회를 설치ㆍ운영해야 한다.

**⑦** 한국인터넷진흥원 또는 인증기관은 제6항에 따른 보안인증위원회의 인증평가 결과가 보안인증기준에 적합하다고 의결한 경우에는 과학기술정보통신부령으로 정하는 클라우드컴퓨팅서비스 보안인증서를 신청인에게 발급하고, 그 사실을 한국인터넷진흥원 또는 해당 인증기관의 인터넷 홈페이지에 게시해야 한다.

**⑧** 제1항부터 제7항까지에서 규정한 사항 외에 보안인증에 필요한 사항은 과학기술정보통신부장관이 정하여 고시한다. 다만, 국가기관등이 이용하는 클라우드컴퓨팅서비스의 보안인증기준은 국가정보원장과, 이용 안전성 확보에 관한 사항은 행정안전부장관과 미리 협의해야 한다.