보안성 검토

목차



보안성 검토(그리고 약간의 보안성 심의)


정보통신망 이용촉진 및 정보보호 등에 관한 법률

제36조의4(정보보호 사전점검의 방법 및 절차 등)

① 법 제45조의2제2항에 따른 정보보호 사전점검은 서면점검, 현장점검 또는 원격점검(외부에서 정보통신망을 통하여 제36조의2제1호에 따른 시스템에 접속하여 보안 관련 사항을 점검하는 것을 말한다)의 방법으로 실시한다.

② 법 제45조의2제2항에 따른 정보보호 사전점검은 다음 각 호의 순서로 진행한다.

  1. 사전점검 준비
  2. 설계 검토
  3. 보호대책 적용
  4. 보호대책 구현현황 점검
  5. 사전점검 결과 정리

③ 법 제45조의2제2항에 따른 과학기술정보통신부장관의 권고를 받은 자는 정보보호 사전점검을 직접 실시하거나 법 제52조에 따른 한국인터넷진흥원(이하 “인터넷진흥원”이라 한다) 또는 외부 전문기관으로 하여금 실시하게 할 수 있다. 이 경우 정보보호 사전점검은 별표 2에 따른 정보보호 기술인력의 자격기준을 갖춘 사람만 수행할 수 있다. <개정 2013. 3. 23., 2017. 7. 26.>

④ 제1항부터 제3항까지에서 규정한 사항 외에 정보보호 사전점검의 방법 및 절차에 관하여 필요한 세부사항은 과학기술정보통신부장관이 정하여 고시한다. <개정 2013. 3. 23., 2017. 7. 26.> [본조신설 2012. 8. 17.]


정보보호 사전점검에 관한 고시

제1조(목적)

이 고시는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 “법”이라 한다) 제45조의2 및 같은 법 시행령(이하 “영”이라 한다) 제36조의2부터 제36조의5까지의 규정에 따라 정보보호 사전점검의 방법·절차·수수료에 관한 세부사항과 그 밖의 정보보호 사전점검에 필요한 사항에 대하여 정하는 것을 목적으로 한다.


보안성 검토 대상 근거 및 보안성 검토가 이루어져야 하는 경우

국가 정보보안 기본지침 제69조

② 각급기관의 장은 상용 클라우드 컴퓨팅시스템을 활용하고자 하는 경우에는 국 가정보원장에게 보안성 검토를 요청하여야 한다


과학기술정보통신부 정보보안 기본지침 85조

  1. 비밀 등 중요자료의 생산등록보관사용유통 및 재분류이관파기 등 비밀 업무 와 관련된 정보시스템 및 네트워크 구축
  2. 국가용 보안시스템과 상용 암호모듈 정보보호시스템을 도입 운용하고자 할 경우
  3. 대규모 정보시스템 (10억 이상) 또는 다량의 개인정보(100만명이상)를 처리하는 정보시스템 구축
  4. 전력・교통 등 국민생활과 밀접한 정보통신기반시설의 중요 제어시스템 구축
  5. 내부 정보통신망을 인터넷이나 타기관 전산망 등 외부망과 연동하는 경우
  6. 업무망과 연결되는 무선 네트워크 시스템 구축
  7. 스마트폰・클라우드 등 등 첨단 IT기술을 업무에 활용하는 시스템 구축
  8. 업무망과 인터넷망 분리 사업
  9. 홈페이지 등 주요 대국민서비스 정보시스템 구축
  10. 정보보안 관련법규 제정 또는 개정하고자 할 경우
  11. 그 밖에 과학기술정보통신부장관 또는 국가정보원장이 보안성 검토가 필요하다고 판단하는 정보화사업


국가정보원 보안성 검토대상 정보화사업

① 비밀・국가안보・정부정책과 관련되는 사업

② 대규모 예산투입과 다량의 자료를 처리하는 사업

③ 외부기관간 망연동 등 보안상 취약 사업

④ 보안정책과제및최신 기술적용

⑤ 그 밖에 국가정보원장 및 과학기술정보통신부장관이 보안성 검토가 필요하 다고 판단하는 정보화 사업


과학기술정보통신부 보안성 검토 대상 정보화사업

① 기존 정형화된 정보화 사업

② 단일기능의 정보시스템 구축

③ 정보보호제품 도입 및 전산 통신장비 도입・교체

④기타 국정원에서 旣 작성・배포한 보안지침으로 자체 보안대책 강구가 가능한 정보화사업


보안성 검토의 절차

보안성 검토는 자체 보안심사위원회의 심사를 거친 후 사업계획서, 기술제안요청서, 정보통신망 구성도, 자체 보안대책 강구사항의 문서를 포함하여 국가정보원에게 신청한다.

이때, 자체 보안대책 강구사항에는 관리적, 물리적, 기술적 보안대책과 국정원에서 안정성을 검증한 암호모듈이나 정보보호 시스템 도입 운영 계획, 재난복구 계획을 포함하여야 한다.

보안성검토의 절차는 다음 그림의 흐름을 따른다.


참고자료