정보보호 제품 신속 확인 제도 / ①

문제11) 정보보호 제품 신속 확인 제도

답)

 

 

1. 신기술 신속 진입, 정보보호제품 신속확인 제도의 개요

가. 정보보호제품 신속확인 제도의 정의

• 신기술, 융·복합 제품에 대해 최소한의 절차와 인증 기준으로 보안 제품을 평가한 뒤 평가 기준이 마련될 때까지 공공부문에 제품을 적용할 수 있도록 하는 제도

 

나. 정보보호제품 신속확인 목적

신기술 신속 진입	기존 인증제도에서 평가기준이 없는 신기술 및 융·복합제품의 공공시장 진입
국가 역량 강화	정부·공공기관의 혁신 제품 도입을 통한 신규 보안 위협 대응 등 국가 사이버 위협 대응역량 강화

 

2. 정보보호제품 신속확인 제도 개념도와 기술요소

가. 정보보호제품 신속확인제도 개념도

 

 

나. 정보보호제품 신속확인제도의 핵심기술

 

구분	핵심기술	설명
대상검토	기존제도 검토	제품이 기존 인증제도에서 평가가능한지 판별(신청인은 ①신속확인 대상여부 검토요청서와 주요기능을 확인할 수 있는 ②제품기능설명서를 신속확인기관에 제출 필요)
	신속확인 준비	신속확인 대상임을 통보받은 신청인은 신속확인 신청을 위해보안점검(①취약점 점검, ②소프트웨어 보안약점 진단) ③기능시험 추진
신속확인	신속확인 신청	신청인은 ①신청서와 ②취약점 분석ㆍ평가 결과서, ③소프트웨어 보안약점 진단 확인서, ④기능시험 확인서(또는 소프트웨어품질인증서),⑤법인사업자등록증, ⑥ 신청기관 준수사항 서약서 등을 첨부하여 신속확인 신청
	신속확인 심의	심의위원회에서 제품의 검토결과와 기업발표를 통해 심의·의결
	확인서 발급	심의결과가 적합인 경우 확인서 발급(유효기간 2년)
사후관리	변경 승인	제품 변경 시 취약점 점검과 소스코드 보안약점 진단을 통해결과 확인 후 변경 승인
	유효기간 연장	기존 인증제도를 검토해 취약점 점검 후 기간 연장
	이의 신청	신속확인 과정에서 이의가 있을 경우 심의위원회에서 심의를통해 처리
	기분마련	신속확인 제품이 기존 제도에서 평가기준(국가용 보안 요구사항)이 마련되면 연장은 불가능하고 유효기간 만료 후 종료
신속확인서를 발급받은 정보보호제품은 ‘나’, ‘다’ 그룹에 편성된 기관(공공분야)에 보안적합성 검증 없이 도입가능

 

3. 정보보호제품 신속확인 도입요건

번호	도입요건
1	‘가’그룹 기관의 경우 국가정보원의 ‘보안적합성 검증‘ 받으면 신속확인 제품 도입 가능
2	세부사항은 국가사이버안보센터(ncsc.go.kr) 홈페이지에 게시된＇공공분야 IT보안제품 新 보안적합성 검증체계 개선‘ 참고

 

---

 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥