준비도평가
정보보호준비도 평가, DDoS 모의훈련, 취약점 분석 등 종합 보안진단
연구팀|선임연구원
070-4236-9200
SECURITY DIAGNOSIS
준비도평가
안전한 정보통신 이용환경 조성을 위해, 정보통신망 이용자의 정보보호 준비 수준을 평가하여 등급을 부여하는 제도로, 과학기술정보통신부가 평가기관을 지정(2016년 4월)
도입 배경
- 국가·공공기관·중소기업에 특화된 종합적인 정보보호 수준 제고 및 정보보호 사각지대 최소화 지원
관련 근거
- 정보보호산업의 진흥에 관한 법률 제12조(정보보호 준비도 평가 지원)
평가 대상
- 조직의 정보보호 수준에 대한 공인된 평가를 희망하는 기관
- 국가 공공기관, 대기업, 비영리법인(협회, 재단 등)
- 공공기관 산하기관, 대기업 협력업체 등 중소 영세업체
- 기업 및 금융·병원·학교·물류업체 등 개인정보 처리 기관
평가 등급
- 평가대상의 정보보호 인프라 수준 및 활동에 따라 5단계 평가등급
- 신청기관은 획득점수 순서에 따라 ‘AAA > AA > A > BB > B’ 부여
- 신청기관 선택에 따라 개인정보보호지표 만족 시, 인증마크에 ‘P’ 부여
- AAA100~90점최적의 보안관리 활동 수행
- AA89~80점체계적인 보안관리 활동 수행
- A79~60점(기업 및 기관 상황에) 요구되는 보안관리 활동 수행
- BB59~40점(기업 및 기관 상황에) 적정한 보안관리 활동 수행
- B39~23점기본적인 보안관리 활동 수행
맞춤형 가이드
- 사전점검 활동을 통한 신청기관 맞춤형 보안가이드 제공
- 신청기관 IT 환경에 따른 보안 요구사항 도출·분석
- 정보보호활동에 대한 심층 진단 (관계기관 점검가이드)
- 다양한 공공기관에 대한 평가 경험 활용
평가 기준
- 필수항목 및 선택항목 등 총 118개 항목으로 평가기준 구성
- 필수 항목 : 기반지표, 활동지표
- 선택 항목 : 개인정보보호지표
필수항목
- 기반지표
- 정보보호 리더십
- 정보보호 자원관리
- 활동지표
- 관리적 정보보호 활동
- 물리적 정보보호 활동
- 기술적 정보보호 활동
선택항목
| 구분 | 주요 내용 |
|---|---|
| 기반지표 | 정보보호 정책·경영·의사결정 구조(리더십)와 보안투자 및 인력·조직 등 필수적인 보안 인프라(자원관리)를 평가 |
| 활동지표 | 관리적·물리적·기술적 정보보호조치 현황 및 체계적인 보안활동 수행 여부를 평가 |
| 선택지표 (개인정보보호) | 「개인정보보호법」 및 「정보통신망법」에서 규정하는 개인정보보호 필수항목에 대한 준수 여부를 평가 |
세부 평가지표
- 기반지표 (30점), 활동지표 (70점), 개인정보보호지표 (118개 항목)
| 지표 | 구분 | 평가지표(점수) |
|---|---|---|
| 기반지표 | 1. 정보보호 리더십 | 정보보호 최고책임자(CISO) 지정(5), 정보보호 의사소통 및 정보제공(5), 정보보호 운영방침(4) |
| 2. 정보보호 자원관리 | 정보보호 추진계획(4), 정보보호 인력 및 조직(4), 정보보호 예산 수립 및 집행(4), 정보보호 이행점검(4) | |
| 활동지표 | 1. 관리적 보호활동 | 정보보호 교육 수행(5), 자산관리(4), 인적보안(4), 외부자 보안(5) |
| 2. 물리적 보호활동 | 정보통신시설의 환경 보안(4), 정보통신시설의 출입 관리(4), 사무실 보안(4) | |
| 3. 기술적 보호활동 | 취약점 점검(5), 정보보호 사고탐지 및 대응(5), 시스템 개발 보안(4), 네트워크 보안(4), 정보시스템 및 응용프로그램 인증(5), 자료유출 방지(4), 시스템 및 서비스 운영 보안(5), 백업 및 IT재해복구(4), PC 및 모바일기기 보안(4) | |
| 선택지표 | 개인정보보호 | 개인정보 최소수집, 개인정보 수집 고지 및 동의획득, 개인정보취급방침, 이용자 권리 보호, 개인정보의 관리적 보호조치, 개인정보의 기술적 보호조치, 개인정보 파기(P) |
문의 및 상담
정보보호 준비도평가 담당
070-4236-9200
secu-star@koist.kr
정보보안진단에 대해 궁금하신 점이 있으신가요?
담당부서: 연구팀 | 담당자: 선임연구원