1. 정보보호 관리체계 구분
ㅇ 정보보호 관리체계 (ISMS)
- 조직 내 정보 자산의 기밀성,무결성,가용성을 실현하기위한 절차 및 과정을 체계적
으로 수립,문서화하고 지속적으로 관리,운영하는 시스템(체계)
ㅇ 개인정보보호 관리체계 (PIMS)
- 기업이 개인정보보호 활동을 체계적,지속적으로 수행하기 위해 필요한 보호조치
체계를 구축하였는지 점검하여 일정 수준 이상의 기업에 인증을 부여하는 제도
2. 관리체계 인증심사
ㅇ 조직 내 정보보호관리체계의 운영을 객관적으로 평가하기 위한 표준화된 절차/방법
ㅇ ISMS 주요 인증심사 규격
- KISA-ISMS (국내)
. 한국인터넷진흥원(KISA)에서 제정하는 인증규격
- BS 7799 = ISO/IEC DIS 17799-1
. 영국에서 ISMS 인증규격으로 제정되어, 1999년 ISO/IEC DIS 17799-1로 표준화
ㅇ PIMS 주요 인증심사 규격
- KISA-PIMS (국내)
. 한국인터넷진흥원(KISA)에서 제정하는 인증규격
- BS 10012
ㅇ 국제 정보보호 관리체계 인증 : ISO 27001
3. 컴퓨터 시스템(운영체제 등) 보안 등급 例)
ㅇ TCSEC (Trusted Computer System Evaluation Criteria) 보안 등급
- 미국 국방성 산하 국가안전국 하부조직인 국립컴퓨터보안센터(NCSC)에서 1983년 제정
- '오렌지북(Orange Book)'으로 일컬어짐
- 등급 구분
. A1 : 검증된 설계 (Verified Design)
. B3 : 보안 도메인 (Security Domain)
. B2 : 구조화된 보호 (Structured Protection)
. B1 : 라벨링된 보안 보호 (Labeled Security Protection)
. C2 : 통제적 접근 보호 (Controlled Access Protection)
. C1 : 임의 접근 보호 (Discretionary Access Protection)
. D : 최소한의 보호 (Minimum Protection)
ㅇ 정보 기술 보안 평가를 위한 공통 평가 기준
- (CCITSE, Common Criteria for Information Technology Security Evaluation)
- 통상, '공통 평가 기준(CC, Common Criteria)'으로 일컬어짐
- 1996년1월 미국,영국,독일,프랑스,캐나다,네덜란드가 공동 발표
- 제품의 보안성 평가를 위한 국제 표준
- 인증 신뢰 레벨(EAL, Evaluation Assurance Levels)로써 7개 평가 보증 등급 구분