본문 바로가기

정보보호 (Security)289

728x90
2021년, 디지털 뉴딜 성공을 뒷받침할 정보보호 제도와 지원 사업 □ 2021년, 정보보호 제품 도입지원을 받는 중소기업이 1,270개까지 확대되고, 전국민 인터넷PC를 원격에서 보안 점검하는 “내PC 돌보미 서비스”가 확대된다. □ 과학기술정보통신부(장관 최기영, 이하 ‘과기정통부’)는「ICT 중소기업 정보보호 안전망 확충」,「정보보호제품 평가․인증 부담완화」,「정보보호관리체계(ISMS) 간편 인증 신설」등 중소기업 정보보안 강화와 안전한 정보보호 제품 이용 촉진을 위한 “2021년, 달라지는 정보보호 제도와 지원 사업”의 주요 내용을 발표하였다. ❶ ICT 중소기업 정보보호 안전망 확충 □ 국내 업체들은 공격당할 경우 돌이킬 수 없는 피해를 입게 되는 랜섬웨어를 가장 많이 경험하고(54%), ‘필요한 정보보호 제품 및 서비스 찾기가 어려움’을 애로사항(1위)으로 호.. 2021. 2. 17.
728x90

 2021, 정보보호 제품 도입지원 받는 중소기업이 1,270까지 확대되고, 전국민 인터넷PC 원격에서 보안 점검하는 “내PC 돌보 서비스” 확대된다.

 

 과학기술정보통신부(장관 최기영, 이하 ‘과기정통부’)ICT 중소기업 정보보호 안전망 확충,「정보보호제품 평가․인증 부담완화」,정보보호관리체계(ISMS) 간편 인증 신설」 중소기업 정보보안 강화 안전한 정보보호 제품 이용 촉진 위한 2021, 달라지는 정보보호 제도와 지원 사업” 주요 내용을 발표하였다.

 

< 중소기업 · 국민 보안강화 지원 >

 

 ICT 중소기업 정보보호 안전망 확충

 국내 업체들은 공격당할 경우 돌이킬  없는 피해를 입게 되는 랜섬웨어를 가장 많이 경험하고(54%), ‘필요한 정보보호 제품  서비스 찾기가 어려움’ 애로사항(1)으로 호소하고 있다.(정보보호실태조사, 2019)

 

 이에 따라, ICT중소기업 랜섬웨어 방지 솔루션 등을 지원받을  있도록 ’정보보호 컨설팅  보안제품 도입 지원’ 사업의 대상 기업 300에서 600 확대하고, 지원 금액 기업  1,000만원에서 1,500만원으로 확대한다.

 

 o 또한, 정보보호 전담인력이 부족 보안제품을 운용할  없는 중소기업 670 대상으로 클라우드보안 서비스 이용 비용(최대 500만원 상당) 신규 지원한다.

 

    (클라우드보안 서비스) 매월 일정 금액을 지불하고 실시간으로 이메일 보안, 악성코드 탐지 등 보안 조치를 제공받는 서비스

 

 5G 핵심서비스 보안테스트 환경 본격운용

 ICT 생태계 5G, IoT  기반으로 하여 급속도로 변화하고 있으며, 해킹  사이버위협 날로 지능화되고 있는 실정이다.

 

 o 국민 생활과 밀접한 5G 5 핵심서비스* 분야별 보안위협 대응·예방 절실히 요구되고 있음에도 불구하고 관련 보안제품에 대한 안전성 실증  있는 도구  공간이 부족 상황이다.

 

   * 스마트 공장, 자율주행차, 스마트시티, 디지털헬스케어, 실감콘텐츠

 

 이에 따라, 융합서비스 기기가 집적된 현장에서 유관기관 등과 협업하여 보안기술 검증하고 기기·플랫폼의 보안성 테스트  있는 융합보안 리빙랩’ 전국 5 지역* 본격 운용한다.

 

 o 융합보안 리빙랩 이용을 희망하는 중소기업(제조·솔루션·보안기업 ) 예약**  무료 이용  있다.

 

   * 스마트공장:스마트제조혁신센터(안산), 자율주행차:자동차융합기술원(군산),
스마트시티:센텀기술창업타운(부산), 디지털헬스케어:원주의료기기테크노벨리(원주), 실감콘텐츠:디지털콘텐트기업성장지원센터(안양)

 

   ** 리빙랩 이용 예약 문의(이메일): cslivinglab@kisa.or.kr

 

❸ 소프트웨어 개발보안 취약점 점검서비스 신설

 안전하지 않은 소프트웨어 해킹  사이버 위협 공격 대상 되고 침해사고 발생  국민 소중한 개인정보 탈취, 기업 주요 정보자산 유출   피해가 심각하게 나타날  있지만,

 

 o 보안투자 여력 부족 중소기업 안전한 소프트웨어 만들기 위한 시간과 비용의 문제, 고가 소프트웨어 취약점 진단도구 이용  많은 어려움 있다.

 

 이에 따라, 중소기업이 소프트웨어 개발 단계부터 보안을 적용할  있도록 소프트웨어 보안취약점 점검을 지원*하고, 기업이 고가 취약점 진단도구 이용  있도록 소프트웨어보안 진단체계** 운영하겠습니다.

 

   * 보안투자 여력이 부족한 중소기업 대상 소프트웨어 개발보안 진단 실시
(21 50개 → ’22 350개 → ’23 700개 등 총 1,100여 개 기업 지원)

 

   ** 취약점 진단도구와 진단 전문가가 상주하여 SW보안취약점 점검 지원

 

❹ 인공지능(AI) 기술 기반의 보안기업 육성

 사이버공격이 대규모·지능화되면서 인공지능을 활용한 보안 제품·서비스 개발  이상 미룰  없는 과제가 되었다.

 

 o 세계 정보보호 시장은 인공지능 기반으로 전환 서두르고 있지만, 국내 정보보호 기업들은 인력, 예산  데이터 부족으로 어려움을 겪고 있는 상황이다

 

 이를 해결하기 위해, 인공지능 기반 보안 제품·서비스를 개발하고자 하는 기업을 매년 20 선발하여 처음 1년간 시제품을 개발하고, 다음 연도엔 상용 제품으로 완성하도록 지원한다.

 

 o 또한 개발 제품을 해외로 수출할  있도록 지원해 글로벌 경쟁력을 갖춘 기업을 육성한다.

 

❺ 사이버위협 빅데이터 개방공유 확대

 최근 확산하고 있는 비대면 환경 함께 지능화·고도화하는 사이버 위협 능동적으로 대응하기 위해서는 무엇보다 사이버위협 정보에 대한 빅데이터 분석을 기반으로  다양한 접근이 필요한 상황이나,

 

 o 사이버 보안 분야의 AI개발에 필요한 사이버위협 빅데이터 정보가 부족하고 데이터 구축에 많은 시간과 비용이 소요되는 중소·벤처 기업에게  부담으로 작용하고 있다.

 

 이에 따라, 보안위협 정보의 수집 대상과 규모(비대면·지능정보 서비스 분야) 확대하여 분야별 위협정보 빅데이터를 확충( 10억건)하고, 이를 기반으로 수요기반 맞춤형 데이터셋* 구축·공유하여 민간 보안 제품 검증  연구 등에 적극 활용  있도록 온라인 사이버위협 빅데이터 활용 환경** 제공한다.

 

   * 산·학·연 전문가 수요조사를 통해 정보보호 기술개발, 제품 기능향상 등 사이버보안 활용가치가 높은 AI학습용 빅데이터

   ** 시간·장소에 제약 없이 누구나 자유롭게 위협정보 활용 및 AI·빅데이터 분석이 가능한 온라인 분석환경  

 

❻ 내 PC 돌보미 서비스 확대

 로나19 지속으로 언택트 문화 자리 잡으며 쇼핑, 게임, 교육  온라인 활동 증가하면서 해킹 의한 개인정보 탈취  사이버 공격 위협도 함께 증가하고 있어,

 

 o 정부는 지난해 9월부터 디지털 뉴딜의 K-사이버방역 구축의 일환으로 전국민 인터넷PC 대상으로 보안전문가가 원격에서 무료로 보안점검 해주는 PC 돌보미 서비스*』실시(20.9)하고 있다.

 

    운영체제 및 S/W 보안 업데이트, 해킹 프로그램 유무 점검·조치, 백신 미탐지 바이러스 제거 등 보안 취약점 점검·조치 서비스( KISA 보호나라 → 보안서비스 → 내PC 돌보미(PC 원격 보안점검) 신청)

 

 금년부터는 특히 고령층, 장애인  정보보호 실천 어려운 디지털 취약계층 대상으로 직접 방문하여 서비스를 제공하는 찾아가는 보안점검 서비스* 사회적 가치 실현 계획이다.

 

   * 아동·장애인 등 복지시설, 농어촌 등 복지단체, 경제적 취약 등 교육 사각 계층을 대상으로 서비스 신청 이전에 먼저 안내하고 현장 점검 서비스 제공

 

 o 아울러, 기존 인터넷PC 중심 보안점검 서비스에서 테블릿PC, 공유기  IoT기기 보안점검 대상을 확대하고 보안점검 전문 인력도 증원(54명→84, 55%)하여 국민 원하는 시간대에 불편 없이 서비스 이용  있도록 지원한다.

 

< 정보보호 인증부담 경감 >

 

❼ 정보보호 제품 인증·평가 기준 완화

 보보호기업이 정부․공공에 백신, 방화벽  정보보호제품을 납품하기 위해서 정보보호제품 평가․인증(CC인증) 필수적으로 받아야 하지만, 신생기업의 경우 CC인증에 대한 경험과 이해가 부족하고 복잡한 평가항목 등으로 인증에 어려움 겪고 있다.

 

 o 또한, 올해의 경우 평가 수요가 많아 평가 적체가 심화됐고, 재인증  간단한 보안패치만 하더라도 최초 평가에 준하는 평가(재평가) 받아야  CC인증 많은 기업부담 있다.

 

 러한 정보보호기업의 부담 경감하기 위해 신생기업을 중심으로 CC인증제도 기본교육 실시하고 기업이 자발적으로 보안취약점을 점검  있도록 소스코드 자가진단 S/W 무상으로 이용  있도록 지원한다.

 

 o 또한, 현재 6 CC인증 평가기관별로 분산적으로 이루어지는 평가자 양성을 통합하여  곳에서 평가자 양성 교육을 지원(KISA)하고,   곳에서 원스톱으로 CC평가 현황정보를   있도록 통합정보 안내사이트도 개설(KISIA)한다.

 

 o 보안패치로 인한 기능변경* 재평가 대신 간단한 확인(변경승인)으로 대체하여 기존 평가 대비(EAL2 기준) 비용은 1/6 수준( 3천만원   5백만원), 기간은 1/12 수준( 9개월(대기기간 포함  3 이내)으로 대폭 줄이고, 국내용 CC 인증서 유효기간을 확대(3년→5)하여 평가부담을 경감한다.

 

   * (대상)  Apache Tomcat, Apache HTTP Server 등 공개용 S/W(오픈소스) 55

 

❽ 정보보호관리체계(ISMS) 간편 인증 신설

 현재 정보보호관리체계 인증(ISMS*) 중견기업 이상을 대상으로 인증 항목과 평가방법이 설계되어, 일정 정보보호체계를 가진   영세·중소기업이 ISMS인증을 원해도 시간과 비용부담으로 어려움 있었다.

 

    * ISMS(Information Security Management System) 정보통신망의 안전성·신뢰성 확보를 위하여 운영하고 있는 관리·기술·물리적 보호조치를 포함한 종합적 관리체계

 

 이에 따라, 영세·중소기업 규모에 적합하도록 정보보호 관리   활동 필수적 요소* 마련하여 영세·중소기업이 자발적 정보  보호 수준 향상 활동 높이고, 정보보호 사각지대를 해소  있도록 경량화한 ISMS-P 간편 인증” 제도 신설한다.

 

    * 정보보호 관련 정책, 조직, 자산 관리 등 관리·기술적 요소 등

 

 o 인증 기준이 간소화됨에 따라 인증심사에 소요되는 비용과 시간을 30% 이상 경감(비용 2,180만원  1,526만원/, 기간 5.5개월    4개월/)  있을 것으로 기대된다. 

 

❾ 데스크톱형 클라우드서비스 보안인증 본격 시행

 행정․공공기관은 내부망․인터넷망의 분리를 위해 행정업무용 PC 인터넷용 PC  2대를 별도로 운영하여 비용, 관리상의 비효율 존재하였다.

 

 이에 따라, 공공기관에서 인터넷전용 PC 따로  필요가 없으며, 공공기관 보안요구사항이 적용된 안전한 인터넷용 가상PC 이용  있도록 기존 클라우드 보안인증제 대상 분야에 서비스형데스크톱(DaaS)* 추가하여 시행한다.

 

   * 데스크톱 구현에 필요한 운영체제(OS), 각종 업무용 애플리케이션() 등을 클라우드 방식으로 제공하는 서비스

 

❿ 사물인터넷(IoT) 제품 보안인증 제도 개편

 디지털 헬스케어, 자율주행차, 스마트 홈·가전, 스마트시티  산업 전반에 정보통신 융합 가속화 일상생활에서 정보통신망에 연결되는 기기·설비·장비가 늘어나고 있다.

 

 o ‘정보통신망연결기기 등’의 침해사고는 국민의 생명·신체·재산에  피해 이어질  있어 정보통신망연결기기에 대한 정보보호 절실히 요구되는 상황이다.

 

 이에 따라, 정보통신망연결기기 등’ 범위를 8 분야* 규정하였으며, 정보통신망의 안정성 확보하는 보호조치 마련한다.

 

   * 8개 분야: 가전, 교통, 금융, 스마트도시, 의료, 제조·생산, 주택, 통신

                               

 o 구체적으로 기존 IoT 보안인증’을 ‘정보통신망연결기기 정보보호인증’으로 개편하여 올해 하반기부터 시행하고, 인증시험대행기관 지정, 인증기준  절차 마련  인증체계를 구축한다.

 

 과기정통부 손승현 정보보호네트워크정책관 디지털 뉴딜 성공을 뒷받침하고 “코로나 위기 상황 속에서 어려움 겪고 있는 국민과 기업이 정보보호 정책 개선 체감  있도록 관련 대책을 차질 없이 추진하고 지속적인 제도개선 사항 발굴·추진  적극행정 추진하겠다.”라고 밝혔다.

 

붙임1 2021년, 달라지는 정보보호 제도와 지원 사업 참고자료

 

붙임2 정보보호 제도와 지원 사업 관련 인포그래픽

 

출처 : 과학기술정보통신부

728x90
정보보호 및 개인정보보호 관리체계 인증 고시 일부개정안 과학기술정보통신부고시 (과학기술정보통신부) 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 일부개정고시안 기 관 명 (부서명) 과학기술정보통신부 (사이버침해대응과) 연 월 일 2020. 11 . . 1. 개정이유 정보보호 및 개인정보보호 관리체계 인증심사 시 유사・중복점검 해소, 심사품질 향상 , 재난・재해 상황 발생 시 예외 조항 신설 등 관련 조항 정비를 위해 제도를 개선하려는 것임 2. 주요내용 가. 심사 품질 향상 ㅇ (인증・심사기관 관리) 심사기관 상시 지정, 현장실사 등 사후관리 강화, 지정 취소・정지 사실 공고 기준 신설(안 제6조, 제8조, 제11조) ㅇ (분야별 세부점검항목) 가상자산, 의료, 공공 등 분야별 특성・신기술을 고려한 세부점검항목 마련(안 제23조) 나. 유사・중복 점.. 2021. 1. 20.
728x90

과학기술정보통신부고시

(과학기술정보통신부) 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 일부개정고시안

기 관 명
(부서명)
과학기술정보통신부
(사이버침해대응과)
연 월 일 2020.  11 .    .

 

1. 개정이유

정보보호 및 개인정보보호 관리체계 인증심사 시 유사・중복점검 해소, 심사품질 향상 , 재난・재해 상황 발생 시 예외 조항 신설 등 관련 조항 정비를 위해 제도를 개선하려는 것임

 

2. 주요내용

가. 심사 품질 향상
 ㅇ (인증・심사기관 관리) 심사기관 상시 지정, 현장실사 등 사후관리 강화, 지정 취소・정지 사실 공고 기준 신설(안 제6조, 제8조, 제11조)
 ㅇ (분야별 세부점검항목) 가상자산, 의료, 공공 등 분야별 특성・신기술을 고려한 세부점검항목 마련(안 제23조)

나. 유사・중복 점검제도의 부담 해소(안 제20조)
 ㅇ (상호 인정) 교육부가 주관하는 정보보호 수준진단에서 우수(80점 이상) 등급을 획득한 대학은 ISMS 인증의무를 이행한 것으로 인정
 ㅇ (심사 생략) 수탁회사가 ISMS-P 인증을 획득한 경우, 위탁사에서의 ISMS-P 인증심사에 부수되는 수탁사의 현장점검 면제

다. 인증 인센티브 확대
 ㅇ 「정보보호산업의 진흥에 관한 법률」제13조에 따른 정보보호공시기업의 ISMS-P 인증수수료 할인(30%) 적용(안 제21조)

라. 코로나19 등 재난・재해 상황 발생 시 예외 조항 신설
 ㅇ 심사원 자격 유효기간 유예(안 제15조), 인증 의무대상자 이행 기한 연장(안 제19조), 유사 시 비대면 원격 심사 병행(안 제25조)

마. 기타 개정 사항
 ㅇ 심사원이 인증위원회 소속된 경우 자격 유지 의무 유예(안 제15조)
 ㅇ 심사원 지급수수료 기준 및 출장경비 지급 기준을 인터넷진흥원에서 정하여 공고하도록 개정(안 별표 6)
 ㅇ 관계법 개정 사항 반영(안 제21조)
 ㅇ 문구 및 용어 수정(안 제2조, 제20조)

 

3. 주요토의과제

  없    음

 

4. 참고사항

가. 관계법령 : 생    략

나. 예산조치 : 별도조치 필요 없음

다. 합    의 : 교육과학부 등과 합의되었음

라. 기    타 : 신・구조문 대비표

 

신ㆍ구조문 대비표

현        행

개   정   안

제2조(용어의 정의) 이 고시에서 사용하는 용어의 정의는 다음 각 호와 같다.

제2조(용어의 정의) --------------------------------------------.

  1. ∼ 8. (생  략)

  1. ∼ 8. (현행과 같음)

  <신  설>

  8의2. “심사팀장”이란 인증심사를 수행하기 위해 구성한 팀의 책임자를 말한다.

  9. ∼ 11. (생  략)

  9. ∼ 11. (현행과 같음)

제6조(지정공고) ① 과학기술정보통신부장관과 보호위원회는 인증기관 또는 심사기관을 지정할 필요가 있는 때에는 협의회에서 지정대상 기관의 수, 업무의 범위, 신청방법 등을 미리 협의하고, 관보 또는 인터넷 홈페이지에 20일 이상 공고하여야 한다.

제6조(지정공고) ① ------------------------------- 인증기관------------------------------------------------------------------------------------------------------------------------------------------.

  ② 제1항에 따라 인증기관 또는 심사기관으로 지정받으려는 자는 다음 각 호의 서류를 과학기술정보통신부장관과 보호위원회에 제출하여야 한다.

  ② 인증기관 -------------------------------------------------------------------------------------------------------.

  1. ∼ 3. (생  략)

  1. ∼ 3. (현행과 같음)

  <신  설>

  ③ 심사기관 지정 신청일을 기준으로 다음 각 호의 어느 하나에 해당하는 자는 심사기관으로 지정받을 수 없다.
  1. 최근 6개월 이내에 제7조제2항에 따른 심사에서 지정기준을 충족하지 못한 자
  2. 최근 1년 이내에 정보통신망 제47조의2제1항에 따라 지정이 취소된 자

  ③ (생  략)

  ④ (현행 제3항과 같음)

제7조(지정기준 및 지정절차) ① ∼ ④ (생  략)

제7조(지정기준 및 지정절차) ① ∼ ④ (현행과 같음)

  <신  설>

  ⑤ 과학기술정보통신부장관과 보호위원회는 제4항에 따라 지정서를 발급받은 자를 관보 또는 인터넷 홈페이지에 공고하여야 한다.

제8조(인증기관 및 심사기관의 사후관리) ①ㆍ② (생  략)

제8조(인증기관 및 심사기관의 사후관리) ①ㆍ② (현행과 같음)

  <신  설>

  ③ 과학기술정보통신부장관과 보호위원회는 제2항에 따른 지정기준의 충족여부 심사, 자료제출 요구 또는 현장심사에 관한 업무를 인터넷진흥원에 위탁할 수 있다.

  <신  설>

  ④ 과학기술정보통신부장관과 보호위원회는 사후관리 결과 지정기준의 충족여부 등에 결격사유가 확인될 경우 보완을 요구할 수 있다.

제11조(인증기관 및 심사기관의 지정취소 등) ① 인증기관 및 심사기관이 다음 각 호의 어느 하나에 해당하면 그 지정을 취소하거나 1년 이내의 기간을 정하여 해당 업무의 전부 또는 일부의 정지를 명할 수 있다. 다만, 제1호나 제2호에 해당하는 경우에는 그 지정을 취소하여야 한다.

제11조(인증기관 및 심사기관의 지정취소 등) ① -------------------------------------------------------------------------------------------------------------------------------. ------------------------------------------------------.

  1. ∼ 3. (생  략)

  1. ∼ 3. (현행과 같음)

  4. 정보통신망법 제47조제11항을 위반하여 인증 또는 인증심사를 한 경우

  4. 정보통신망법 제47조제11항 및 개인정보보호법 제32조의2제5항-------

  5. 정보통신망법 제47조제12항에 따른 지정기준에 적합하지 아니하게 된 경우

  5. 정보통신망법 제47조제12항 및 개인정보보호법 시행령 제34조의6제1항제2호---------------------

  ② (생  략)

  ② (현행과 같음)

  <신  설>

  ③ 과학기술정보통신부장관과 보호위원회는 제1항에 따라 지정을 취소하거나 업무정지를 명한 사실을 관보 또는 인터넷 홈페이지에 공고 하여야 한다.

제15조(인증심사원 자격 유지 및 갱신) ① ∼ ⑤ (생  략)

제15조(인증심사원 자격 유지 및 갱신) ① ∼ ⑤ (현행과 같음)

  <신  설>

  ⑥ 제5항에도 불구하고 인터넷진흥원은 다음 각 호의 어느 하나에 해당하면 인증심사원 자격의 유효기간을 연장할 수 있다.
  1. 제29조제2항에 따른 인증위원회 위원으로 인정된 자
  2. 「재난 및 안전관리 기본법」 제3조에 따른 재난의 발생 등 협의회가 인정하는 불가피한 경우

제17조(신청인의 사전 준비사항) ① (생  략)

제17조(신청인의 사전 준비사항) ① (현행과 같음)

  ② 신청인은 인증심사를 위하여 다음 각 호의 사항을 인증심사 실시 전에 준비하여야 한다.

  ② -------------------------------------------------------------------.

  1. 인증심사를 위한 문서 및 증적자료

  1. ------------------- 증거자료

  2.ㆍ3. (생  략)

  2.ㆍ3. (현행과 같음)

제19조(정보보호 관리체계 인증 의무대상자) ① ∼ ④ (생  략)

제19조(정보보호 관리체계 인증 의무대상자) ① ∼ ④ (현행과 같음)

  <신  설>

  ⑤ 「재난 및 안전관리 기본법」제3조에 따른 재난의 발생 등 협의회가 인정하는 불가피한 사유로 제4항의 기한까지 인증을 받지 못한 경우 의무대상자의 인증 의무 이행 기한을 협의회가 정하는 바에 따라 연장할 수 있다.

제20조(인증심사의 일부 생략 신청 등) ① 제18조제1항제2호의 정보보호 관리체계 인증을 신청한 자가 다음 각 호의 어느 하나에 해당하는 인증을 받거나 정보보호 조치를 취한 경우 별표 5의 인증심사 일부 생략의 범위 내에서 인증심사의 일부를 생략할 수 있다.

제20조(인증심사의 일부 생략 신청 등) ① 신청인이 --------------------------------------------------------------------------------------------------------------------------------------------------------------------.

  1.ㆍ2. (생  략)

  1.ㆍ2. (현행과 같음)

  ② ∼ ④ (생  략)

  ② ∼ ④ (현행과 같음)

  <신  설>

  ⑤ 정보통신망법 시행규칙 제3조제4항에서 “과학기술정보통신부장관이 고시하는 결과”란 「교육부 정보보안 기본지침」 제94조제1항에 따른 정보보안 수준에 대한 해당 연도의 평가결과가 만점의 100분의 80 이상인 것을 말한다.

  <신  설>

  ⑥ 심사수행기관은 신청인의 인증범위 내에서 업무를 위탁받아 처리하는 자가 제18조제1항 각 호의 인증을 받은 범위의 현장심사를 생략할 수 있다.

제21조(수수료의 산정) ①ㆍ② (생  략)

제21조(수수료의 산정) ①ㆍ② (현행과 같음)

  ③ 심사수행기관은 신청인이 다음 각 호에 해당하는 경우 수수료를 감면 또는 조정할 수 있다.

  ③ ------------------------- 호의 어느 하나--------------------------------.

  1. 「중소기업기본법」제2조에 따른 소기업에 해당되는 경우

  1. 「중소기업기본법」제2조제2항에 따른 소기업

  2. (생  략)

  2. (현행과 같음)

  <신  설>

  3. 「정보보호산업의 진흥에 관한 법률」제13조에 따라 정보보호 현황을 공시한 자

  3. (생  략)

  4. (현행 제3호와 같음)

제23조(인증심사 기준) ① 인증기준은 별표 7과 같다. 다만, 제18조제1항제2호의 정보보호 관리체계 인증을 받는 경우 별표 7의 인증기준 중에서 “가. 관리체계 수립 및 운영”, “나. 보호대책 요구사항”의 기준을 적용한다.

제23조(인증심사 기준) ① 다음 각 호의 인증의 구분에 따라 별표 7의 인증기준을 적용한다.
  1. 정보보호 및 개인정보보호 관리체계 인증 : 별표 7 가목부터 다목
  2. 정보보호 관리체계 인증 : 별표 7 가목 및 나목

  ② 심사수행기관은 신청인과 협의를 통해 별표 7의 인증기준 내에서 인증범위, 업무특성 등을 고려하여 인증심사 항목을 조정할 수 있다.

  ② 과학기술정보통신부장관과 보호위원회는 -------------------------- 업무특성, 기업규모 --- 구체적인 확인사항을 관보 또는 인터넷 홈페이지에 공고-----.

제24조(인증심사팀 구성) ① (생  략)

제24조(인증심사팀 구성) ① (현행과 같음)

  ② 인증심사팀 구성 시 신청인의 인증범위, 사업유형, 기술의 다양성 등을 고려하여 심사팀원을 구성하고 심사팀장은 심사수행기관 소속의 심사원 이상으로 선정하여야 한다.

  ② ------------------------------------------------------------------------ 구성------------------------------------------------------.

  ③ 인증심사원은 신청인의 정보보호 또는 개인정보보호 컨설팅에 참여하였거나 소속직원 등 신청인과 이해관계를 가지는 경우 사전에 소명하여야 하며, 심사수행기관은 해당 심사원을 인증심사팀의 구성원에서 배제하여야 한다.

  ③ -------------------------------------------------------------------------------------------------------------------------------- 인증심사원------------------------------------.

제25조(인증심사 방법 및 보완조치) ① (생  략)

제25조(인증심사 방법 및 보완조치) ① (현행과 같음)

  ② 서면심사는 별표 7의 인증기준에 적합한지에 대하여 정보보호 및 개인정보보호 관리체계 구축ㆍ운영 관련 정책, 지침, 절차 및 이행의 증적자료 검토, 정보보호대책 및 개인정보 처리단계별 요구사항 적용 여부 확인 등의 방법으로 관리적 요소를 심사한다.

  ② ------------------------------------------------------------------------------------------------------- 증거자료 -------------------------------------------------------------------------------------.

  ③ ∼ ⑤ (생  략)

  ③ ∼ ⑤ (현행과 같음)

  ⑥ 심사수행기관은 보완조치 결과를 확인하기 위하여 필요한 때에는 현장 확인을 할 수 있다.

  ⑥ 제1항에도 불구하고 「재난 및 안전관리 기본법」 제3조에 따른 재난의 발생 등 협의회가 인정하는 불가피한 경우 원격심사를 병행할 수 있다.

제26조(심사중단) ① 심사수행기관은 다음 각 호의 사유가 발생한 경우에는 인증심사를 중단할 수 있다.

제26조(심사중단) ① --------------------------------------------------------------.

  1. ∼ 3. (생  략)

  1. ∼ 3. (현행과 같음)

  4. 천재지변 및 경영환경 변화 등으로 인하여 인증심사 진행이 불가능하다고 판단되는 경우

  4. 「재난 및 안전관리 기본법」제3조에 따른 재난의 발생 또는 ------------------

  ②ㆍ③ (생  략)

  ②ㆍ③ (현행과 같음)

(과학기술정보통신부) 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 바로가기

출처 : 과학기술정보통신부

728x90
2021년 사이버 보안위협 전망 출처 : KISA 글로벌 사이버 위협 전망 표적형 공격 랜섬웨어의 확산과 피해규모 증가 고도화된 표적형 악성 이메일 코로나-19 사이버 공격 팬데믹 다크웹 유출 정보를 활용한 2차 공격 기승 기업을 낚는 사이버 스나이퍼 국내 사이버 위협 전망 표적 공격과 결합된 랜섬웨어의 위협 확대 거세진 DDoS, 금전까지 요구하는 공격 증가 사회기반시설 및 중요 인프라를 겨냥한 사이버 위협 범위 확대 포스트 코로나 시대 비대면(언택트) 전환 후 보안 사각지대를 노린 사이버 위협 증가 클라우드 서비스 목표한 공격 증가 국가 지원 해킹 그룹의 공격 증가와 위협 대상 확대 및 다양화 5G를 이용한 사물인터넷(IoT)제품의 활성화로 새로운 보안 위협 대두 보안 솔루션을 우회하기 위한 기법 고도화 보안 관리 최신 보안 업데이.. 2021. 1. 19.
728x90

2021년 사이버 위협 시그널 포스터

출처 : KISA

글로벌 사이버 위협 전망

  • 표적형 공격 랜섬웨어의 확산과 피해규모 증가
  • 고도화된 표적형 악성 이메일
  • 코로나-19 사이버 공격 팬데믹
  • 다크웹 유출 정보를 활용한 2차 공격 기승
  • 기업을 낚는 사이버 스나이퍼

국내 사이버 위협 전망

  • 표적 공격과 결합된 랜섬웨어의 위협 확대
  • 거세진 DDoS, 금전까지 요구하는 공격 증가
  • 사회기반시설 및 중요 인프라를 겨냥한 사이버 위협 범위 확대
  • 포스트 코로나 시대 비대면(언택트) 전환 후 보안 사각지대를 노린 사이버 위협 증가
  • 클라우드 서비스 목표한 공격 증가
  • 국가 지원 해킹 그룹의 공격 증가와 위협 대상 확대 및 다양화
  • 5G를 이용한 사물인터넷(IoT)제품의 활성화로 새로운 보안 위협 대두
  • 보안 솔루션을 우회하기 위한 기법 고도화

보안 관리

  • 최신 보안 업데이트 조치
  • 출처 불명확한 이메일과 URL 링크 실행 주의 등 기본적인 보안 관리
  • 백업 체계 구축 및 보안성 강화 등 철저한 관리 필요

 

안랩, `2021년 5대 사이버 보안위협 전망` 발표

  • 타깃형 랜섬웨어 확대 및 고도화
  • 코로나19가 바꿔 놓은 업무 환경, 그리고 보안 위협
  • 악성코드 제작 언어 다양화
  • 악성코드 동작 방식 모듈화
  • 악성앱의 공격 대상 국가 확대 가속화

 

이스트시큐리티, 2020년 보안이슈 결산 및 2021년 보안이슈 전망 발표

  • 정부 지원 방식의 고도화된 APT 공격이 지속적으로 등장할 것
  • 재택 근무 증가에 따라 원격 업무 환경 타깃 공격 지속될 것
  • 랜섬웨어 협박을 통한 금전 갈취 규모 커지고 지속될 것
  • 5G 네트워크 사용 증가에 따라 취약점 공격 활발해질 것
  • 사회적 이슈를 이용한 악성 앱 유포 공격 증가할 것

 

㈜이글루시큐리티, ‘2021년 보안 위협·기술 전망 보고서’ 발표

  • 포스트 코로나 시대 도래…비대면 플랫폼 노린 보안 위협 대두
  • '코로나19'팬데믹 이슈 악용한 공격 급증
  • 정보기술(IT)과 운영기술(OT)의 접점확대…OT 영역을 노리는 사이버 위협 증가
  • 인공지능(AI)의 양면성
  • 금전적인 목적의 사이버 공격 증가…랜섬웨어를 넘어 디도스로

 

SK인포섹의 보안 전문가 이큐스트(EQST)그룹 ‘2021 보안 위협 전망 보고서’ 발행

  • 제조 분야 산업제어시스템을 노린 공격
  • 방어 체계를 우회하는 랜섬웨어 공격
  • 디지털 헬스케어 분야를 노린 공격
  • 하이브리드 클라우드 환경의 보안 요소 증가
  • Ontact 환경 악용한 보안 위협 증대

 

체크포인트, 2021년 사이버 보안 전망 보고서 발표

  • 팬데믹(대유행)
  • 멀웨어, 프라이버시 및 사이버 전쟁
  • 새로운 5G 및 IoT 플랫폼

 

줌이 바라본 2021년 보안 전망 4가지

  • 분산근무로 인해 날로 더 복잡해지는 ‘데이터 보호’
  • ‘개인 디바이스 인증’ 활발 전망
  • 사이버 보안 인재 모시기 전쟁 가열
  • 2021년 화두는 ‘제로 트러스트 보안 모델’

 

디지서트, '2021년 사이버 보안 전망' 발표

  • ‘뉴노멀’이 공격 받을 것
  • 보안 자동화 및 효율성 향상 솔루션이 확대될 것
  • 5G는 PKI 배포를 가속화할 것
  • 비대면 활동 증가로 온라인 상에서의 보안이 더욱 중요해질 것
  • 원격의료 위한 데이터 보안 강화 더욱 중요해질 것
  • 사회공학적 공격이 더욱 복잡해질 것

 

팔로알토 네트웍스, 2021년 사이버 보안 전망 발표

  • 여행 재개 시 데이터 이동에 따른 개인정보보호 이슈가 커질 것
  • 5G의 혜택은 준비된 조직에게 돌아갈 것
  • 재택 근무 환경이 더 안전해지고 스마트해질 것
  • 내부 기반을 다시 다지는 한 해가 될 것

 

728x90
728x90