정보보호준비도평가

평가제도안내

평가절차

평가절차
구분 담당업무
과학기술정보통신부 정보보호 준비도 형가 주무부처로서 평가기관 등록 및 정보보호 준비도 평가 제도 및 정책 수립
한국인터넷진흥원(KISA) 과학기술정보통신부로부터 준비도 평가 업무를 위탁받아 평가기관 등록 및 지원, 준비도 평가기준방법 개선
평가기관 정보보호 준비도 평가 수행 및 형가등급 부여
(현황) 정보통신진흥협회(KAIT), 정보통신기술협회(ITA), 아이티평가원, 정보보안기술원, 에이씨에스글로벌(2018.4기준)
심의위원회 준비도 평가 결과에 대한 최종 심의의결

좌우로 스크롤 하시면 내용을 볼 수 있습니다.

정보보호 준비도 평가 절차

평가절차 이미지입니다.

평가기준

각 평가 항목에 따른 점수를 모두 합산한 후 준비도 등급을 부여하되, B등급 이상은 모든 항목에서 1점 이상, A등급 이상은 모든 항목에서 2점 이상을 반드시 충족하여야 함

※ 선택 지표인 개인정보보호 부분은 충족 여부를 평가한 후 등급에 ‘PASS(P)’를 표시

평가기준
환산점수 100~90점 89~80점 79~60점 40~59점 39~23점 개인정보보호
등급 AAA AA A BB B P

좌우로 스크롤 하시면 내용을 볼 수 있습니다.

필수항목(기반지표, 활동지표)과 선택항목(개인정보보호)으로 구성

기반지표: 정보보호 정책·경영·의사결정 구조(리더십)와 보안 투자 및 인력조직 등 필수적 보안 인프라(자원 관리)를 평가
(7개 세부 평가지표)

활동지표: 관리적 ·물리적 ·기술적 정보보호 조치 현황 및 체계적인 보안 활동 수행 여부를 평가 (16개 세부 평가지표)

선택지표: 개인정보보호법 및 정보통신망법에서 규정하는 개인정보보호 필수항목에 대한 준수 여부를 평가 (7개 세부 평가지표)

기업의 정보보호 준비 수준에 대한 총 30개의 세부 평가지표

기반지표, 활동지표, 선택지표 세부 평가지표
지표 구분 평가지표(점수)
기반 지표 1. 정보보호
리더십
정보보호 최고책임자(CISO) 지정(5), 정보보호 의사소통 및 정보제공(5), 정보보호 운영방침(4)
2. 정보보호
자원관리
정보보호 추진계획(4), 정보보호 인력 및 조직(4), 정보보호 예산 수립 및 집행(4), 정보보호 이행점검(4)
활동 지표 1. 관리적
보호활동
정보보호 교육 수행(5), 자산관리(4), 인적보안(4), 외부자보안(5)
2. 물리적
보호활동
정보통신시설의 환경 보안(4), 정보통신시설의 출입관리(4), 사무실 보안(4)
3. 기술적
보호활동
취약점 점검(5), 정보보호 사고탐지 및 대응(5), 시스템 개발 보안(4), 네트워크 보안(4),
정보시스템 및 응용프로그램 인증(5), 자료유출 방지(4), 시스템 및 서비스 운영 보안(5),
백업 및 IT재해복구(4), PC 및 모바일 기기보안(4)
선택 지표 개인정보보호 개인정보 최소수집, 개인정보 수집 고지 및 동의 획득, 개인정보 취급 방침, 이용자 권리 보호,
개인정보의 관리적 보호 조치, 개인정보의 기술적 보호조치, 개인정보 파기(7개 지표, P)

좌우로 스크롤 하시면 내용을 볼 수 있습니다.

평가등급

평가대상의 정보보호 인프라 확충 수준 및 체계적인 정보보호 활동 수행 여부 등을 고려하여 5 단계의 등급으로 구분

개인정보보호는 선택 지표로서 선택한 기업(기관)에 대해서만 평가하며, 세부 평가 지표를 충족하면 인증 마크에 ‘P’를 표기

평가기관의 평가 결과에 대한 인증기관의 최종검증·심의 후 등급 부여

AAA등급은 100~90 점수이며 최적의 보안관리 활동 수행, AA등급은 89~90 점수이며 체계적인 보안관리 활동 수행, A등급은 79~60 점수이며 기업 및 기관 상황에 요구되는 보안관리 활동 수행, 
							BB등급은 59~40 점수이며 기업 및 기관 상황에 적정한 보안관리 활동 수행, B등급은 39~23 점수이며 기본적인 보안관리 활동 수행입니다.

인증 마크

지표별 마크

개인정보보호 지표 통과 마크와 개인정보보호 지표 미평가 마크 이미지가 있습니다.

등급별 마크

등급별로 개인정보보호 지표 통과 마크와 개인정보보호 지표 미평가 마크 이미지가 있습니다.

정보보호 준비도 평가 개요

영세·중소기업 및 非 ICT 분야 등 자발적인 보안역량 강화를 위해 민간자율로 보안투자 비율 및 인력 조직 확충, 법규준수 등 기업의 정보보호 준비 수준을 평가하여 일정 등급을 부여하는 제도입니다. (관련 근거: 정보보호산업진흥법 제 12조 '15.12.23' 시행)

평가수수료

평가수수료
평가수수료 = 인증수수료
① 인증수수료 = 직접인건비 + 제경비 + 기술료
② 평가수수료 = 직접인건비 + 직접경비 + 제경비 + 기술료
중소기업 할인율 적용 수수료(30%)

좌우로 스크롤 하시면 내용을 볼 수 있습니다.

선택 지표인 개인정보보호 지표 심사 시 수수료 재산정