정보통신기반시설보호

평가제도안내

평가절차
구분	담당업무
과학기술정보통신부	정보보호 준비도 평가 주무부처로서 평가기관 등록 및 정보보호 준비도 평가 제도 및 정책 수립
한국인터넷진흥원(KISA)	과학기술정보통신부로부터 준비도평가 업무를 위탁받아 평가기관 등록 및 지원, 준비도평가 기준방법 개선
평가기관	정보보호준비도평가 수행 및 평가등급 부여 (현황) 정보통신진흥협회(KAIT), 정보통신기술협회(ITA), 아이티평가원, 정보보안기술원, 에이씨에스글로벌(2018.4기준)
심의위원회	준비도 평가 결과에 대한 최종 심의의결

좌우로 스크롤 하시면 내용을 볼 수 있습니다.

각 평가 항목에 따른 점수를 모두 합산한 후 준비도 등급을 부여하되, B등급 이상은 모든 항목에서 1점 이상, A등급 이상은 모든 항목에서 2점 이상을 반드시 충족하여야 함

※ 선택 지표인 개인정보보호 부분은 충족 여부를 평가한 후 등급에 ‘PASS(P)’를 표시

평가기준
환산점수	100~90점	89~80점	79~60점	40~59점	39~23점	개인정보보호
등급	AAA	AA	A	BB	B	P

좌우로 스크롤 하시면 내용을 볼 수 있습니다.

필수항목(기반지표, 활동지표)과 선택항목(개인정보보호)으로 구성

기반지표: 정보보호 정책·경영·의사결정 구조(리더십)와 보안 투자 및 인력조직 등 필수적 보안 인프라(자원 관리)를 평가
(7개 세부 평가지표)

활동지표: 관리적 ·물리적 ·기술적 정보보호 조치 현황 및 체계적인 보안 활동 수행 여부를 평가 (16개 세부 평가지표)

선택지표: 개인정보보호법 및 정보통신망법에서 규정하는 개인정보보호 필수항목에 대한 준수 여부를 평가 (7개 세부 평가지표)

기업의 정보보호 준비 수준에 대한 총 30개의 세부 평가지표

기반지표, 활동지표, 선택지표 세부 평가지표
지표	구분	평가지표(점수)
기반 지표	1. 정보보호 리더십	정보보호 최고책임자(CISO) 지정(5), 정보보호 의사소통 및 정보제공(5), 정보보호 운영방침(4)
기반 지표	2. 정보보호 자원관리	정보보호 추진계획(4), 정보보호 인력 및 조직(4), 정보보호 예산 수립 및 집행(4), 정보보호 이행점검(4)
활동 지표	1. 관리적 보호활동	정보보호 교육 수행(5), 자산관리(4), 인적보안(4), 외부자보안(5)
	2. 물리적 보호활동	정보통신시설의 환경 보안(4), 정보통신시설의 출입관리(4), 사무실 보안(4)
	3. 기술적 보호활동	취약점 점검(5), 정보보호 사고탐지 및 대응(5), 시스템 개발 보안(4), 네트워크 보안(4), 정보시스템 및 응용프로그램 인증(5), 자료유출 방지(4), 시스템 및 서비스 운영 보안(5), 백업 및 IT재해복구(4), PC 및 모바일 기기보안(4)
선택 지표	개인정보보호	개인정보 최소수집, 개인정보 수집 고지 및 동의 획득, 개인정보 취급 방침, 이용자 권리 보호, 개인정보의 관리적 보호 조치, 개인정보의 기술적 보호조치, 개인정보 파기(7개 지표, P)

좌우로 스크롤 하시면 내용을 볼 수 있습니다.

평가대상의 정보보호 인프라 확충 수준 및 체계적인 정보보호 활동 수행 여부 등을 고려하여 5 단계의 등급으로 구분

개인정보보호는 선택 지표로서 선택한 기업(기관)에 대해서만 평가하며, 세부 평가 지표를 충족하면 인증 마크에 ‘P’를 표기

평가기관의 평가 결과에 대한 인증기관의 최종검증·심의 후 등급 부여

지표별 마크

등급별 마크

영세·중소기업 및 非 ICT 분야 등 자발적인 보안역량 강화를 위해 민간자율로 보안투자 비율 및 인력 조직 확충, 법규준수 등 기업의 정보보호 준비 수준을 평가하여 일정 등급을 부여하는 제도입니다. (관련 근거: 정보보호산업진흥법 제 12조 '15.12.23' 시행)

평가수수료
평가수수료 = 인증수수료
① 인증수수료 = 직접인건비 + 제경비 + 기술료 ② 평가수수료 = 직접인건비 + 직접경비 + 제경비 + 기술료
중소기업 할인율 적용 수수료(30%)

좌우로 스크롤 하시면 내용을 볼 수 있습니다.

선택 지표인 개인정보보호 지표 심사 시 수수료 재산정