위
아래

진단 및 평가를 통한 보안수준 향상

정보보안진단

    부서별 연락처
  • CC평가
  • 02-400-8221
  • 정보보호제품성능평가
  • 070-4946-4065
  • 단말기보안시험
  • 02-2054-3244
  • 정보보안진단
  • 070-4946-4061
  • 시험 서비스
  • 070-4946-4066
  •     홈   >    정보보호 준비도 평가  >    평가 기준 및 방법
  • 정보보호 준비도 평가 기준 및 방법

  • 기업의 정보보호 인프라 확충 수준 및 정보보호 활동 수행 여부 등을 고려하여 5단계로 구분 됩니다.
  • 준비도 평가 등급 모델

    • 정보보호 준비등급은 기업의 정보보호 인프라 확충 수준 및 정보보호 활동 수행 여부 등을 고려하여 5단계로 구분
    구분 설명 예상 기업
    AAA 정보보호 준비 정도가 우량하며
    환경변화 및 침해위협에 대한 예방적 대처까지 가능한 기업
    국가 사회적 파급력이 큰
    대국민 서비스 제공 기업
    AA 정보보호 준비 정도가 양호하며
    환경변화 및 침해위협 시 적절한 대처가 가능한 기업
    다량의 개인정보보유 기업
    A 정보보호 준비 정도가 양호하나
    환경변화 및 침해위협 정도에 따라 대처능력이 제한적인 기업
    비ICT분야 대기업, 일정규모 이상의
    정보통신 서비스 제공자
    BB 정보보호 준비 정도가 보통이며
    환경변화 및 침해위협 정도에 따라 대처능력이 제한적인 기업
    인터넷을 이용해 주된 사업을 영위하는 ICT 분야 중소·중견기업
    B 기본적인 정보보안 관리활동이 준비된 상태 인터넷을 보조로 활용해 사업을 영위하는 非ICT 분야 중소·영세기업

    준비도 평가 프레임

    • 필수항목(기반지표·활동지표)과 선택항목으로 구성하고 개인정보보호 및 산업 분야별 특성을 고려하여 확장할 수 있도록 설계
    필수
    항목
    기반지표
    정보보호
    리더십
    정보보호
    자원관리
    활동지표
    관리적
    정보보호 활동
    물리적
    정보보호 활동

    기술적
    정보보호 활동

    선택
    항목
    개인정보보호 금융분야 / 의료분야 / 교육분야 / 기타 산업별 요구사항

    평가지표 구분

    • 필수항목(기반지표·활동지표)과 선택항목으로 구성하고 개인정보보호 및 산업 분야별 특성을 고려하여 확장할 수 있도록 설계
    구분 설명 주요 항목
    기반지표
    (필수)
    정보보호 정책·경영·의사결정 구조(리더십)와 보안투자 및 인력·조직 등 필수적인 보안 인프라(자원관리)를 평가(7개) 정보보호 최고책임자의 자격 및 역할, 정보보호 의사결정 과정·구조, 정보보호 계획 수립·이행, 정보보호 예산 및 집행, 정보보호 인력·조직 보유 등
    활동지표
    (필수)
    관리적·물리적·기술적 정보보호조치 현황 및 체계적인 보안활동 수행 여부를 평가(16개) 연간 임직원 정보보호 교육(횟수, 시간), 내·외부자 보안관리, 연간 취약점 점검 수준 및 횟수, 침해사고 대응체계(모의훈련 실시 등) 구축, 백업 및 복구체계 구축
    선택지표 선택지표는 기업이 선택 할 수 있는 지표로서 금융, 교육, 의료 및 기타 산업별 요구사항에 대하여 확장 가능하게 운영할 수 있도록 설계 개인정보보호 지표의 경우 「개인정보보호법」 및 「정보통신망법」에서 규정하는 개인정보보호 필수항목에 대한 준수 여부를 평가(7개)

    평가항목 및 기준

    지표 구분 평가지표 점수
    기반지표 1. 정보보호 리더십 1.1

    정보보호 최고책임자(CISO) 지정

    5
    1.2

    정보보호 의사소통 및 정보제공

    5

    1.3

    정보보호 운영방침

    4

    2. 정보보호 자원관리

    2.1

    정보보호 추진계획

    4
    2.2

    정보보호 인력 및 조직

    4
    2.3

    정보보호 예산 수립 및 집행

    4
    2.4

    정보보호 이행점검

    4
    활동지표

    3. 관리적 보호활동

    3.1

    정보보호 교육 수행

    5
    3.2

    자산 관리

    4
    3.3

    인적 보안

    4
    3.4

    외부자 보안

    5

    4. 물리적 보호활동

    4.1

    정보통신시설의 환경 보안

    4
    4.2

    정보통신시설의 출입 관리

    4
    4.3

    사무실 보안

    4

    5. 기술적 보호활동

    5.1

    취약점 점검

    5
    5.2

    정보보호 사고탐지 및 대응

    5
    5.3

    시스템 개발 보안

    4
    5.4

    네트워크 보안

    4
    5.5

    정보시스템 및 응용프로그램 인증

    5
    5.6

    자료유출 방지

    4
    5.7

    시스템 및 서비스 운영 보안

    5
    5.8

    백업 및 IT재해복구

    4
    5.9

    PC 및 모바일기기 보안

    4
    선택지표

    6. 개인정보보호

    6.1

    개인정보 최소수집

    p
    6.2

    개인정보 수집 고지 및 동의획득

    p
    6.3

    개인정보취급방침

    p
    6.4

    이용자 권리 보호

    p
    6.5

    개인정보의 관리적 보호조치

    p
    6.6

    개인정보의 기술적 보호조치

    p
    6.7

    개인정보 파기

    p

    정보보호 준비도 등급의 산정 방법

    환산점수

    100 ~ 90점

    89 ~ 80점

    79 ~ 60점

    59 ~ 40점

    39 ~ 23점

    개인정보보호

    준비등급

    AAA

    AA A BB B P
    • 각 평가항목에 따른 점수를 모두 합산한 후 준비등급을 부여하되, B등급 이상은 모든 항목에서 1점 이상, A등급 이상은 모든 항목에서 2점 이상을 반드시 충족하여야 함
      ※ 개인정보보호 관련 평가항목의 경우, 기준 충족여부를 평가한 후 준비등급에 ‘P’를 표시

    평가절차

    • 미래창조과학부
    • 국가기술표준원
    • IT보안인증사무국
    • 여신금융협회
  • 부서별 연락처
    대표번호 · CC평가 : 02-400-8221단말기보안시험 : 02-2054-3244
    정보보안진단 : 070-4946-4061시험 서비스 : 070-4946-4066
    주식회사 한국아이티평가원
    대표이사 : 윤여웅 ㅣ 사업자등록번호 : 215-87-17439
    서울특별시 송파구 송파대로 167(문정동 651) 문정역테라타워 A동 513호
    Copyright © 한국아이티평가원 All Rights Reserved.