준비도 평가 등급 모델
- 정보보호 준비등급은 기업의 정보보호 인프라 확충 수준 및 정보보호 활동 수행 여부 등을 고려하여 5단계로 구분
구분 | 설명 | 예상 기업 |
AAA | 정보보호 준비 정도가 우량하며 환경변화 및 침해위협에 대한 예방적 대처까지 가능한 기업 |
국가 사회적 파급력이 큰 대국민 서비스 제공 기업 |
AA | 정보보호 준비 정도가 양호하며 환경변화 및 침해위협 시 적절한 대처가 가능한 기업 |
다량의 개인정보보유 기업 |
A | 정보보호 준비 정도가 양호하나 환경변화 및 침해위협 정도에 따라 대처능력이 제한적인 기업 |
비ICT분야 대기업, 일정규모 이상의 정보통신 서비스 제공자 |
BB | 정보보호 준비 정도가 보통이며 환경변화 및 침해위협 정도에 따라 대처능력이 제한적인 기업 |
인터넷을 이용해 주된 사업을 영위하는 ICT 분야 중소·중견기업 |
B | 기본적인 정보보안 관리활동이 준비된 상태 | 인터넷을 보조로 활용해 사업을 영위하는 非ICT 분야 중소·영세기업 |
준비도 평가 프레임
- 필수항목(기반지표·활동지표)과 선택항목으로 구성하고 개인정보보호 및 산업 분야별 특성을 고려하여 확장할 수 있도록 설계
필수 항목 |
기반지표 | 정보보호 리더십 정보보호 자원관리 |
|
활동지표 | 관리적
정보보호 활동 물리적 정보보호 활동 기술적 |
||
선택 항목 |
개인정보보호 | 금융분야 / 의료분야 / 교육분야 / 기타 산업별 요구사항 |
평가지표 구분
- 필수항목(기반지표·활동지표)과 선택항목으로 구성하고 개인정보보호 및 산업 분야별 특성을 고려하여 확장할 수 있도록 설계
구분 | 설명 | 주요 항목 |
기반지표 (필수) |
정보보호 정책·경영·의사결정 구조(리더십)와 보안투자 및 인력·조직 등 필수적인 보안 인프라(자원관리)를 평가(7개) | 정보보호 최고책임자의 자격 및 역할, 정보보호 의사결정 과정·구조, 정보보호 계획 수립·이행, 정보보호 예산 및 집행, 정보보호 인력·조직 보유 등 |
활동지표 (필수) |
관리적·물리적·기술적 정보보호조치 현황 및 체계적인 보안활동 수행 여부를 평가(16개) | 연간 임직원 정보보호 교육(횟수, 시간), 내·외부자 보안관리, 연간 취약점 점검 수준 및 횟수, 침해사고 대응체계(모의훈련 실시 등) 구축, 백업 및 복구체계 구축 |
선택지표 | 선택지표는 기업이 선택 할 수 있는 지표로서 금융, 교육, 의료 및 기타 산업별 요구사항에 대하여 확장 가능하게 운영할 수 있도록 설계 | 개인정보보호 지표의 경우 「개인정보보호법」 및 「정보통신망법」에서 규정하는 개인정보보호 필수항목에 대한 준수 여부를 평가(7개) |
평가항목 및 기준
지표 | 구분 | 평가지표 | 점수 | |
기반지표 | 1. 정보보호 리더십 | 1.1 | 정보보호 최고책임자(CISO) 지정 |
5 |
1.2 | 정보보호 의사소통 및 정보제공 |
5 | ||
1.3 |
정보보호 운영방침 |
4 | ||
2. 정보보호 자원관리 |
2.1 | 정보보호 추진계획 |
4 | |
2.2 | 정보보호 인력 및 조직 |
4 | ||
2.3 | 정보보호 예산 수립 및 집행 |
4 | ||
2.4 | 정보보호 이행점검 |
4 | ||
활동지표 | 3. 관리적 보호활동 |
3.1 | 정보보호 교육 수행 |
5 |
3.2 | 자산 관리 |
4 | ||
3.3 | 인적 보안 |
4 | ||
3.4 | 외부자 보안 |
5 | ||
4. 물리적 보호활동 |
4.1 | 정보통신시설의 환경 보안 |
4 | |
4.2 | 정보통신시설의 출입 관리 |
4 | ||
4.3 | 사무실 보안 |
4 | ||
5. 기술적 보호활동 |
5.1 | 취약점 점검 |
5 | |
5.2 | 정보보호 사고탐지 및 대응 |
5 | ||
5.3 | 시스템 개발 보안 |
4 | ||
5.4 | 네트워크 보안 |
4 | ||
5.5 | 정보시스템 및 응용프로그램 인증 |
5 | ||
5.6 | 자료유출 방지 |
4 | ||
5.7 | 시스템 및 서비스 운영 보안 |
5 | ||
5.8 | 백업 및 IT재해복구 |
4 | ||
5.9 | PC 및 모바일기기 보안 |
4 | ||
선택지표 | 6. 개인정보보호 |
6.1 | 개인정보 최소수집 |
p |
6.2 | 개인정보 수집 고지 및 동의획득 |
p | ||
6.3 | 개인정보취급방침 |
p | ||
6.4 | 이용자 권리 보호 |
p | ||
6.5 | 개인정보의 관리적 보호조치 |
p | ||
6.6 | 개인정보의 기술적 보호조치 |
p | ||
6.7 | 개인정보 파기 |
p |
정보보호 준비도 등급의 산정 방법
환산점수 | 100 ~ 90점 |
89 ~ 80점 |
79 ~ 60점 |
59 ~ 40점 |
39 ~ 23점 |
개인정보보호 |
준비등급 | AAA |
AA | A | BB | B | P |
-
각 평가항목에 따른 점수를 모두 합산한 후 준비등급을 부여하되, B등급 이상은 모든 항목에서 1점 이상, A등급 이상은 모든 항목에서 2점 이상을 반드시 충족하여야 함
※ 개인정보보호 관련 평가항목의 경우, 기준 충족여부를 평가한 후 준비등급에 ‘P’를 표시