국정원 관리실태 평가

1. 국정원 관리실태 평가 개념

국정원 관리실태 평가는 국가 정보보안 정책 이행실태 확인을 통해 각급기관이 체계적으로 정보보안 업무를 수행할 수 있도록 지원하고, 국가ㆍ공공기관 종사자의 보안의식을 함양함으로써 각급기관 정보보안 수준 제고 및 국가 사이버안전을 확보하기 위한 것이다. 공공기관을 감독하는 주무 행정기관에 공공기관 보안평가 결과를 통보하고, 부처 산하기관을 대상으로 보안 업무 포상을 실시한다. 또한, 보안평과 결과는 국가 정보보안 정책 수립 시에 기초자료로 활용한다.

2. 법적 근거

① 국가정보원법 3조 2항(직무)

② 전자정부법 56조 3항(정보통신망 등의 보안대책 수립ㆍ시행)

③ 전자정부법 시행령 69조(전자문서의 보관ㆍ유통 관련 보안조치)

④ 전자정부법 시행령 70조(보안조치 이행여부의 확인)

⑤ 공공기록물 관리에 관한 법률 시행령 5조(전자기록물의 보안관리)

⑥ 국가사이버안전관리규정 9조 4항(사이버안전대책 수립ㆍ시행 등)

⑦ 국가정보보안기본지침 12조(정보보안 관리실태 평가)

각급기관의 장은 정보통신망 또는 정보시스템을 구축ㆍ운용하기 위한 정보화사업 계획을 수립할 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.
1. 보안관리체계(조직, 인원 등) 구축 등 관리적 보안대책
2. 설치ㆍ운용장소 보안관리 등 물리적 보안대책
3. 정보통신망 또는 정보시스템의 구성요소별 기술적 보안대책
4. 국가정보원장이 개발하거나 안전성을 확인한 암호자재, 검증필 암호모듈 및 정보보호시스템 도입ㆍ운용계획
5. 긴급사태 대비 및 재난복구 계획
6. 용역업체 작업장소에 대한 보안대책
7. 온라인 개발 또는 온라인 유지보수가 필요하다고 판단할 경우 제28조의2 또는 제52조에 따른 보안대책
8. 누출금지정보 보안관리 방안

3. 평가 방법

① 정보보안 관리실태 평가는 기관이 자체평가를 실시하고 그 결과의 객관성ㆍ공정성을 담보하기 위해 국가사이버안전센터가 현장실사를 실시한다.

② 최종 평가결과에 대한 공신력 제고를 위해 민ㆍ관 전문가로 구성된 평가위원회에서 평가결과의 적정성을 심의한다.

③ 국가사이버안전센터는 국가정보보안 정책, 평가분석 결과, 사이버위협 실태 등을 반영하여 매년 평가 기준ㆍ항목 등을 수정 및 보완하여 평가에 적용한다.

④ 정보보안 관리실태 평가는 아래의 5가지의 단계로 이뤄진다.

기관별 자체평가

⑴ 평가 대상기관은 국가사이버안전센터가 구축한 온라인 평가시스템의 계정을 부여받아 정해진 기간 동안 각 평가항목별 자체평가를 실시한다.

⑵ 각급기관은 자체평가의 적절성을 입증할 수 있는 평가항목별 증빙자료를 준비하여 국가사이버안전센터의 현장실사시 제출해야 한다.

⑶ 각급기관은 평가내용 입력시 관련 사항을 증빙할 수 있는 문서ㆍ사진 등 관련 자료를 온라인 평가 시스템에 첨부할 수 있다.

⑷ 자체평가 기간 중 각급기관 참여 하에 사이버안전센터 주관 해킹메일 대응훈련을 실시하고, 훈련결과를 평가에 반영한다.

 

현장실사

⑴ 국가사이버안전센터는 각급기관의 자체평가에 대한 객관성ㆍ공정성 확보를 위해 해당 기관을 방문하여 자체평가 결과를 검증한다. 

⑵ 현장실사 평가반을 구성할 때 전문성과 객관성을 담보하기 위해 학ㆍ연 전문가를 참여시킬 수 있다.

⑶ 자체평가와 현장실사 결과가 달라 평가점수에 변동이 생길 경우, 그 기관 정보보안담당관의 확인을 받아 객관성을 확보한다.

⑷ 평가 대상기관은 자체평가를 증빙할 수 있는 자료를 준비하고, 면담을 위한 직원을 배치하여 신속한 현장실사가 이루어질 수 있도록 한다.

⑸ 실사반은 직원의 보안의식 확인을 위해 일반직원을 임의로 선정하여 정보보안 기본수칙ㆍ사이버침해사고 대응절차 숙지 여부 등을 확인하고 PC보안관리 실태를 점검한다.

⑹ 국가사이버안전센터는 현장실사시 대상기관이 제출한 서류와 문건 등에 대해 종료 후 반납함을 원칙으로 한다. 다만, 국가사이버안전센터가 필요하다고 판단될 경우에는 사본 1부를 제출받을 수 있다.

 

결과분석 및 점수산출

⑴ 평가지표를 기준으로 산출된 현장실사 점수와 정성 평가점수를 일정 비율(매년 변동 가능)로 합산하여 최종 평가점수를 산출한다.

⑵ 평가점수는 점수에 따라 우수(90 이상), 양호(80 이상), 보통(70 이상), 미흡(60 이상), 불량(60 미만)의 5단계로 구성한다.

⑶ 정성평가 점수는 그 기관의 연간 해킹사고 발생현황, 사이버위기대응 통합훈련 결과, 정보보안 우수사례, 평가준비 사항(정성평가) 등을 종합하여 반영한다.

⑷ 국가사이버안전센터는 기관별 현장실사 등 평가결과를 종합분석하여 우수, 미흡 분야를 도출한다.

⑸ 평가결과를 다각도로 심층 분석하여 연도별, 평가지표별, 보안요소별, 보안활동 주제별 보안수준을 도출하고 기관이 보안활동 중점 방향을 발굴한다.

 

평가결과 통보

⑴ 국가사이버안전센터는 기관별 정보보안 관리실태 평가결과를 평가 대상기관과 정부업무평가 주관기관인 기재부, 안행부 등에 통보한다.

⑵ 평가 대상기관은 국가사이버안전센터가 통보한 평가결과를 자체 정보보안 대책 등에 반영하고, 미흡점을 개선 및 보완하여 정보보안 수준을 제고하여야 한다.

⑶ 국가사이버안전센터는 평가결과, 공통적으로 드러난 보안 취약요소 보완을 위해 국가 정보보안 정책에 개선대책을 반영하는 한편, 차년도 정보보안 관리실태 평가시 이를 집중 점검한다.

4. 평가지표 분류

 

* 이 이상의 내용은 기밀인지 아닌지 애매하기에 작성하지 않도록 하였다.