현행법은 전년도 정보통신서비스 부문 매출액 또는 일일 평균 이용자 수 등 일정 이상의 기준을 충족하는 정보통신서비스제공자등에 대해서만 정보보호 관리체계 인증을 의무화하고 있음.

그러나 2025년 6월 한국연구재단의 논문투고시스템(JAMS) 해킹으로 12만 명의 연구자 개인정보가 유출되는 등 공공기관의 사이버보안 취약성이 심각한 수준으로 드러났음.

이는 공공부문 전반이 정보보호 인증의 구조적 사각지대에 놓여 있다고 볼 수 있어 개선이 시급한 실정임.

이에 국가연구개발, 과학기술 또는 국가안보 관련 정보 등 주요정보를 처리하는 공공기관에 대해 정보보호 관리체계 인증을 의무화함으로써 주요 공공기관의 보안 위험을 사전에 식별하고 대응 역량을 강화하려는 것임(안 제47조제2항제4호 신설).