㈜한국정보보안기술원
SUMMARY
준비도평가
안전한 정보통신 이용환경 조성을 위해, 정보통신망 이용자의 정보보호 준비 수준을 평가하여
등급을 부여하는 제도로, 과학기술정통부가 평가기관을 지정(2016년 4월)
- 도입 배경
-
- 국가ㆍ공공기관ㆍ중소기업에 특화된 종합적인 정보보호 수준 제고 및 정보보호 사각지대 최소화 지원
- 관련 근거
-
- 정보보호산업의 진흥에 관한 법률 제12조(정보보호 준비도 평가 지원)
- 평가 대상
-
-
조직의 정보보호 수준에 대한 공인된 평가를 희망하는 기관
- 국가 공공기관, 대기업, 비영리법인(협회, 재단 등)
- 공공기관 산하기관, 대기업 협력업체 등 중소 영세업체
- 기업 및 금융ㆍ병원ㆍ학교ㆍ물류업체 등 개인정보 처리 기관
-
조직의 정보보호 수준에 대한 공인된 평가를 희망하는 기관
- 평가 등급
-
-
평가대상의 정보보호 인프라 수준 및 활동에 따라 5단계 평가등급
- 신청기관은 획득점수 순서에 따라 ‘AAA > AA > A > BB > B’ 부여
- 신청기관 선택에 따라 개인정보보호지표 만족 시, 인증마크에 ‘P’ 부여
- AAA
100~90 : 최적의 보안관리 활동 수행
- AA
89~80 : 체계적인 보안관리 활동 수행
- A
79~60 : (기업 및 기관 상황에)요구되는 보안관리 활동 수행
- BB
59~40 : (기업 및 기관 상황에)적정한 보안관리 활동 수행
- B
39~23 : 기본적인 보안관리 활동 수행
-
평가대상의 정보보호 인프라 수준 및 활동에 따라 5단계 평가등급
- 맞춤형 가이드
-
-
사전점검 활동을 통한 신청기관 맞춤형 보안가이드 제공
- 신청기관 IT 환경에 따른 보안 요구사항 도출·분석
- 정보보호활동에 대한 심층 진단 (관계기관 점검가이드)
- 다양한 공공기관에 대한 평가 경험 활용
-
사전점검 활동을 통한 신청기관 맞춤형 보안가이드 제공
- 평가 기준
-
-
필수항목 및 선택항목 등 총 118개 항목으로 평가기준 구성
- 필수 항목 : 기반지표, 활동지표
- 선택 항목 : 개인정보보호지표
-
필수항목
기반지표
- 정보보호 리더쉽
- 정보보호 자원관리
활동지표
- 관리적 정보보호 활동
- 물리적 정보보호 활동
- 기술적 정보보호 활동
-
선택항목
개인정보 보호
금융분야
의료분야
교육분야
기타 산업별 요구사항
구분 주요 내용 기반지표 정보보호 정책 · 경영 · 의사결정 구조(리더십)와 보안투자 및 인력 · 조직 등 필수적인 보안 인프라(자원관리)를 평가 활동지표 관리적 · 물리적 · 기술적 정보보호조치 현황 및 체계적인 보안활동 수행 여부를 평가 선택지표
(개인정보보호)「개인정보보호법」및「정보통신망법」에서 규정하는 개인정보보호 필수항목에 대한 준수 여부를 평가 -
필수항목 및 선택항목 등 총 118개 항목으로 평가기준 구성
- 세부 평가지표
-
- 기반지표 (30점), 활동지표 (70점), 개인정보보호지표(118개 항목)
지표 구분 평가지표(점수) 기반지표 1. 정보보호 리더십 정보보호 최고책임자(CISO) 지정(5),정보보호 의사소통 및 정보제공(5), 정보보호 운영방침(4) 2. 정보보호 자원관리 정보보호 추진계획(4), 정보보호 인력 및 조직(4), 정보보호 예산 수립 및 집행(4), 정보보호 이행점검(4) 활동지표 1. 관리적 보호활동 정보보호 교육 수행(5), 자산관리(4), 인적보안(4), 외부자 보안(5) 2. 물리적 보호활동 정보통신시설의 환경 보안(4),정보통신시설의 출입 관리(4), 사무실 보안(4) 3. 기술적 보호활동 취약점 점검(5), 정보보호 사고탐지 및 대응(5), 시스템 개발 보안(4), 네트워크 보안(4), 정보시스템 및 응용프로그램 인증(5),자료유출 방지(4), 시스템 및 서비스 운영 보안(5), 백업 및 IT재해복구(4), PC 및 모바일기기 보안(4) 선택지표 개인정보보호 개인정보 최소수집, 개인정보 수집 고지 및 동의획득,개인정보취급방침, 이용자 권리 보호, 개인정보의 관리적 보호조치, 개인정보의 기술적 보호조치, 개인정보 파기(P)
문의 및 상담
-
금봉섭 소장
070-4468-2569
swt@koist.kr