[ISMS-P] 정보보안 관리실태 평가(사이버보안 실태 평가)
환경부 정보보안 업무지침 제2조(정의)제32호 “정보보안 관리실태 평가”라 함은 「사이버안보 업무규정」 제13조 및「전자정부법」제56조 등에 따라 각급기관의 국가정보보안 정책에 대한 이행 여부를 확인하기 위하여 실시하는 평가를 말한다.
국토교통부 정보보안업무규정 제3조(정의) 제30호 “정보보안 관리실태 평가”라 함은 「사이버안보 업무규정」 제13조 및 「전자정부법」 제56조 등에 따라 각급기관의 국가정보보안 정책에 대한 이행여부를 확인하기 위하여 실시하는 평가를 말한다.
사이버안보 업무규정 [시행 2025. 1. 1.] 제13조(사이버보안 실태 평가) ① 국가정보원장은 중앙행정기관등의 사이버보안 업무 수행을 위한 조직, 인력, 예산, 직무교육 및 사이버보안에 대한 자체 진단ㆍ점검 등 사이버보안 실태를 평가할 수 있다. <개정 2024. 3. 5.>
② 국가정보원장은 제1항에 따른 평가를 하려는 경우 평가의 항목ㆍ절차ㆍ시기 등을 해당 중앙행정기관등의 장에게 미리 통보해야 한다.
③ 국가정보원장은 제1항에 따른 평가의 결과를 해당 중앙행정기관등의 장에게 통보해야 한다.
④ 제3항에 따라 평가 결과를 통보받은 해당 중앙행정기관등의 장은 평가의 결과에 따라 문제점이 발견된 경우에는 그 결과를 통보받은 날부터 3개월 이내에 개선대책을 마련하고 국가정보원장에게 통보해야 한다. <신설 2024. 3. 5.>
⑤ 국가정보원장은 중앙행정기관등의 장이 제4항에 따라 통보한 개선대책에 대한 이행 여부를 확인할 수 있다. <신설 2024. 3. 5.>
⑥ 국가정보원장은 국가안전보장에 지장이 없는 범위에서 제1항에 따른 실태 평가 결과를 공개할 수 있다. <신설 2024. 3. 5.>
⑦ 국가정보원장은 제1항에 따른 평가의 효율적 수행, 평가에 관한 전문적ㆍ기술적인 연구 등을 위하여 필요한 경우 관계 전문가를 활용할 수 있다. <신설 2024. 3. 5.>
[제목개정 2024. 3. 5.]
국가정보원은 사이버안보 업무규정 제13조를 근거로 학계ㆍ연구소 전문가들과 함께 매년 국가ㆍ공공기관의 ‘사이버보안 실태평가’를 하고 있는데, 아래 절차에 따라 보안관리 수준을 측정(각 기관의 방어막이 얼마나 견고한지 확인하는 것)하고 실태를 평가(방어막을 누가/어떻게 관리하는지 평가하는 것)하여 우수/보통/미흡 등급을 부여한다.
- 기관 자체 평가
국가정보원에서 공개한 평가항목을 따라 기관에서 자체평가 실시 - 국가정보원 평가
국가정보원에서 관련 분야 전문가와 함께 현장에서 평가 실시 - 이의신청 및 재평가
기관에서 이의신청을 할 시 국가정보원에서 검증 후 이의신청 내용 재평가 - 최종 평가 확정
평가 결과 확정, 대상기관 및 행정안전부/기획재정부 통보, 국무회의 보고 - 개선대책 제출
평가 결과에 따라 문제점이 발견된 경우 기관에서 개선대책 마련 후 국가정보원에 통보(평가 결과를 통보받은 날부터 3개월 이내) - 이행여부 확인
국가정보원은 기관 개선대책에 대한 이행여부 확인
자세한 사항은 국가사이버보안센터에 등록된 “국가정보원에서 시행하는 사이버보안 실태 평가” 글을 읽어보세요.
