<KISA 이홍섭 원장>
11일, 한국정보보호진흥원(KISA)은 정보통신기반시설의 정보보호수준을 평가할 수 있는 방법을 최초로 개발했다고 밝혔다. 따라서 통신, 금융 등 국가적으로 중대한 서비스를 제공하는 정보통신기반시설의 정보보호 수준을 평가할 수 있는 객관적인 평가방법이 마련된 것이다.

12개 통제분야에 총 89개 세부항목으로 구성된 이번 평가기준은 구체적으로 △정보보호 정책 및 절차 수립, △사고대응, △시스템 접근통제 등으로 이루어졌다. 또한 세부항목을 자유롭게 선택 적용하게되면 정보통신 분야 이외에도 정보통신 서비스를 제공하는 다양한 기관에서 적용 가능하다. 

그동안 국내에서는 주요정보통신기반시설에 대해 의무화돼 있는 취약점 분석ㆍ평가는 정보보호 수준을 정량적으로 평가할 수 없었다. 따라서 정보보호 성숙도 향상을 위한 목표수준 설정이 어려웠던 것이 사실이다.

그러나 이번에 정보보호수준평가방법이 개발됨에 따라 정보보호 목표수준 설정 및 수준별 대책 구현이 가능해졌다.

이 평가 방법은 미국의 국립기술표준원(NIST) 정보보호 자가평가 가이드, 정보보호 성숙도모델(SSE-CMM) 등을 종합ㆍ분석해 국내 기반시설 운영 환경에 맞도록 개발한 것이다.
[길민권 기자(is21@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>