상단메뉴 바로가기 본문 내용 바로가기

준비도 평가

정보보호 준비도 평가에 대해서 안내해드립니다.
  • 정보보호 준비도 평가 개요
    • 전 산업영역으로 확대되고 있는 사이버 위협 속에서 ISMS 인증, PIMS 인증, PIPL 등의 정보보호 인증 제도를 마련하였습니다. 또한 이들 기업은 기업규모, 비용부담, 인식부족 등을 고려하여 누구나 진입이 가능한 정보보호 제도가 될 수 있도록 노력합니다.
    • 「정보보호 준비도 평가」를 도입ㆍ시행 추진을 통해서 정보보호 준비도 평가와 정보보호 준비도 평가의 등급모델, 평가기준, 평가방법을 소개합니다.
  • 규제 유형에 따른 비교 예시
    규제 유형에 따른 비교 예시 테이블
    구분 정보보호 관리체계 인증 정보보호 준비도 평가
    규제형태 정부주도 법률 규제 민간주도 자율 규제
    주체 정부 민간
    대상 정보통신망법에 따른 일정 기준 이상의 의무대상자 영세 중소기업 및 非ICT 분야 등 정보보호 사각지대까지 포함
    기준 고시에 따른 104개 기준 , 기준변경을 위해서는 고시 개정이 필요 30개의 기준, 기술변화에 따른 유연한 대처가 가능하며, 분야별 확장이 쉬움
    미 인증 경우, 불이익 과태료 1,000 만원 해당 없음
    부작용 법망을 피해가려는 기회주의적 행위 발생 기업이 자발적으로 참여할 수 있는 환경마련 필요
  • 정보보호 준비도 평가 등급
    정보보호 준비도 평가 등급 테이블
    등급 설명 예상 기업
    AAA 정보보호 준비 정도가 우량하며, 환경변화 및 침해 위협에 대한 예방적 대처까지 가능한 기업 국가 사회적 파급력이 큰 대국민 서비스 제공 기업
    AA 정보보호 준비 정도가 양호하며, 환경변화 및 침해 위협 시 적절한 대처가 가능한 기업 다량의 개인정보보유 기업
    A 정보보호 준비 정도가 양호하나, 환경변화 및 침해 위협정도에 따라 대처능력이 제한적인 기업 非ICT 분야 대기업, 일정규모 이상의 정보통신 서비스 제공자
    BB 정보보호 준비 정도가 보통이며, 환경변화 및 침해 위협정도에 따라 대처능력이 제한적인 기업 인터넷을 이용해 주된 사업을 영위하는 ICT 분야 중소ㆍ중견 기업
    B 기본적인 정보보호 관리활동이 준비된 기업 인터넷을 보조로 활용해 사업을 영위하는 非ICT 분야 중소ㆍ영세 기업
  • 정보보호 준비도 평가 지표 구분
    정보보호 준비도 평가 지표 구분 테이블
    구분 설명 주요항목
    기반지표
    (필수)
    정보보호 정책ㆍ경영ㆍ의사결정 구조(리더십)와 보안투자 및 인력ㆍ조직 등 필수적인 보안 인프라(자원관리)를 평가 - 7개 정보보호 최고책임자의 자격 및 역할, 정보보호 의사결정 과정ㆍ구조, 정보보호 계획 수립ㆍ이행, 정보보호 예산 및 집행, 정보보호 인력ㆍ조직 보유
    활동지표
    (필수)
    관리적ㆍ물리적ㆍ기술적 정보보호조치 현황 및 체계적인 보안활동 수행 여부를 평가 - 10개 연간 임직원 정보보호 교육(횟수, 시간) 내ㆍ외 부자 보안관리, 연간 취약점 점검 수준 및 횟수, 침해사고 대응체계(모의훈련 실시 등) 구축, 백업 및 복구체계 구축
    선택지표 선택지표는 기업이 선택 할 수 있는 지표로서 금융, 교육, 의료 및 기타 산업별 요구사항에 대하여 확장 가능하게 운영할 수 있도록 설계 개인정보보호 지표의; 경우 「개인정보보호법」 및 「정보통신망법」에서 규정하는 개인정보보호 필수 항목에 대한 준수 여부를 평가 - 7개
  • 정보보호 준비도 평가 세부 평가지표
    정보보호 준비도 평가 세부 평가지표 테이블
    지표 구분 세부 평가지표 점수
    기반지표 1. 정보보호 리더십 1 . 1 정보보호 최고책임자(CISO) 지정 5
    1 . 2 정보보호 의사소통 및 정보제공 5
    1 . 3 정보보호 운영방침 4
    2. 정보보호 자원관리 2 . 1 정보보호 추진계획 4
    2 . 2 정보보호 인력 및 조직 4
    2 . 3 정보보호 예산 수립 및 집행 4
    2 . 4 정보보호 이행점검 4
    활동지표 1. 관리적 보호 활동 1 . 1 정보보호 교육수행 5
    1 . 2 자산관리 4
    1 . 3 인적 보안 4
    1 . 4 외부자 보안 4
    2. 물리적 보호활동 2 . 1 정보통신시설의 환경보안 4
    2 . 2 정보통신시설의 출입관리 4
    2 . 3 사무실보안 4
    3. 기술적 보호활동 3 . 1 취약점 점검 5
    3 . 2 정보보호 사고탐지 및 대응 4
    3 . 3 시스템 개발 보안 4
    3 . 4 네트워크 보안 4
    3 . 5 정보시스템 및 응용프로그램 인증 5
    3 . 6 자료유출 방지 4
    3 . 7 시스템 및 서비스 운영 보안 5
    3 . 8 백업 및 IT재해 복구 4
    3 . 9 PC 및 모바일기기 보안 4
    합계 100
    선택지표 개인정보보호 1 개인정보 최소수집 P
    2 개인정보 수집 고지 및 동의 획득 P
    3 개인정보취급방침 P
    4 이용자권리보호 P
    5 개인정보의 관리적 보호조치 P
    6 개인정보의 기술적 보호조치 P
    7 개인정보 파기 P