| 분류 | 번호 | 취약점 점검 항목 | 등급 | 번호 | 취약점 점검 항목 | 등급 |
| 정보 보호 정책 | A-1 | 조직 전반에 적용하고 있는 정보보호 정책/지침 수립 및 경영진의 승인 획득 | 상 | A-1 | 조직 전반에 적용하고 있는 정보보호 정책/지침 또는 규정의 수립 | 상 |
| 정보 보호 정책 | A-2 | 정보보호 정책의 시행을 위해 필요한 방법, 절차, 주기 등을 정의하고 문서화 | 상 | - | #N/A | - |
| 정보 보호 정책 | A-3 | 정보보호 정책 및 시행문서를 모든 임직원 및 관련자에게 접근하기 쉬운 형태로 제공 | 상 | - | #N/A | - |
| 정보 보호 정책 | A-4 | 정보보호 정책 및 시행문서에 대한 타당성을 주기적으로 또는 중대한 변화 발생 시 검토·평가하여 수정 및 보완 | 상 | A-2 | 정기적으로 정보보호정책의 타당성을 검토, 평가하여 수정 및 보완 | 상 |
| 정보 보호 정책 | A-5 | 정보보호 정책 및 시행문서의 제·개정 시 이해관계자의 검토를 받고 해당 내용 반영 | 상 | - | #N/A | - |
| 정보 보호 정책 | A-6 | 연도별 정보보호 업무 세부추진 계획을 수립·이행 | 상 | A-3 | 연도별 정보보안업무 세부추진 계획을 수립·시행 | 상 |
| 정보 보호 정책 | A-7 | 기관의 정보보호 강화를 위한 중장기(3년 이상) 계획 수립·이행 | 상 | A-46 | 기관의 정보보안 강화를 위한 중장기(3년 이상) 계획 수립 | 중 |
| 정보 보호 조직 | A-8 | 정보보호 활동을 계획, 실행, 검토하는 전담 조직 및 담당자 구성 | 상 | A-5 | 보안활동을 계획, 실행, 검토하는 보안 전담조직 및 전담 보안 담당자 구성 | 상 |
| 정보 보호 조직 | A-9 | 정보보호위원회가 구성되어 있으며 위원회의 역할 및 책임을 문서화 | 상 | A-48 | 정보보호 관련 주요 의사결정을 수행하는 정보보호위원회가 구성되어 있으며 위원회의 역할 및 책임을 문서화 | 하 |
| 자산 관리 | A-10 | 범위 내 모든 자산(인력, 시설, 장비 등)을 식별하여 자산분류기준을 수립하고 문서화 | 상 | A-10 | 조직의 중요한 자산(인력, 시설, 장비 등)에 대한 자산분류기준 문서화 | 상 |
| 자산 관리 | A-11 | 정보자산을 보안등급과 중요도 등에 따라 분류하여 관리 | 상 | A-11 | 정보자산을 보안등급과 중요도 등에 따라 분류하여 관리 | 상 |
| 자산 관리 | A-12 | 조직의 주요 자산 목록을 작성하고, 정기적인 자산 현황 조사 결과 및 변경 사항(취득, 폐기, 양도 등) 등을 자산 목록에 즉시 반영하여 변경이력을 최신으로 유지 관리 | 상 | A-55 | 조직의 주요 자산 목록을 작성하고 변경사항을 유지 관리 | 하 |
| 자산 관리 | A-13 | 자산의 등급에 따른 취급절차(생성·도입, 저장, 이용, 파기) 및 보호대책을 수립·이행 | 상 | A-56 | 자산에 대한 등급별 보호절차, 접근통제 수행 | 하 |
| 자산 관리 | A-14 | 정보자산별로 관리자 및 관리 책임자가 지정되어 있으며, 목록을 최신으로 유지·관리 | 상 | A-12 | 정보자산별로 책임자가 지정되어 있으며 소유자, 관리자, 사용자들을 명시 | 상 |
| 위험 관리 | A-15 | 주요정보통신기반시설의 서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화 | 상 | - | #N/A | - |
| 위험 관리 | A-16 | 연 1회 이상 정기적으로 위험 평가 수행 | 상 | - | #N/A | - |
| 위험 관리 | A-17 | 위험평가에 따른 연간 보호대책 이행계획 수립 및 경영진 보고 | 상 | A-4 | 최근 1년간 기관장에게 연간 보호대책 등의 주요 정보보안 관련 사항 보고 | 상 |
| 감사 | A-18 | 법적 요구사항의 준수여부를 연 1회 이상 정기적 검토 | 상 | A-108 | 정보시스템 관련 법, 규제, 계약상의 요구사항을 정의하여 문서화 | 하 |
| 감사 | A-19 | 주기적으로 정보보호 감사 계획 수립·이행 | 상 | A-111 | 주기적으로 보안감사계획을 수립하고 시행 | 하 |
| 감사 | A-20 | 감사결과를 경영진에게 보고하여 적정한 사후관리를 시행 | 상 | A-112 | 감사결과를 관리책임자에게 보호하여 적정한 사후관리를 시행 | 하 |
| 인적 보안 | A-21 | 정보보호 관련 직무자의 책임과 역할을 명확히 정의하여 문서화 | 상 | A-49 | 모든 인력에 대하여 정보보호의 책임과 역할을 문서로 명확화 | 중 |
| 인적 보안 | A-22 | 기반시설 업무 담당자 지정 시 신원, 업무능력, 교육정도, 경력 등에 대한 적격심사 수행 | 상 | A-7 | 계약직 및 임시직원은 물론 정식직원 채용 시 신원, 업무능력, 교육정도, 경력 등에 대한 적격심사 수행 | 상 |
| 인적 보안 | A-23 | 기반시설 업무 담당자 지정 시 보안 서약서나 비밀유지 확약서 작성 | 상 | A-6 | 보안 담당자 지정시 보안 서약서나 비밀유지각서를 작성하고 있는가? | 상 |
| 인적 보안 | A-24 | 기반시설 업무 담당자 지정 해제 시 별도의 비밀유지 확약서 작성 | 상 | - | #N/A | - |
| 인적 보안 | A-25 | 기반시설 업무 담당자 지정 해제 시 지체 없는 정보자산 반납, 접근권한 회수·조정, 결과 확인 등의 절차 수립·이행 | 상 | A-51 | 고용계약 만료시 자산 반납 및 접근권한을 삭제하는 절차 명시 | 중 |
| 인적 보안 | A-26 | 기반시설 업무 관련자가 정보보호 정책을 위반할 경우 이에 대한 징계와 관련된 사항을 규정에 명시 | 상 | A-50 | 정보보안정책을 불이행할 경우 이에 대한 징계와 관련된 사항을 규정에 명시 | 중 |
| 외부자보안 | A-27 | 외부 서비스 이용 및 업무 위탁에 따른 신규 외부자에 대한 보안 서약서 작성 | 상 | A-54 | 제3자(외부유지보수, 외부용역 등)에 대한 보안서약서 징구 | 하 |
| 외부자보안 | A-28 | 기반시설 범위 내에서 발생하고 있는 외부 서비스 이용 및 업무 위탁 현황을 식별 및 관리 | 상 | - | #N/A | - |
| 외부자보안 | A-29 | 외부 서비스 이용 및 업무 위탁에 따른 정보보호 요구사항을 식별하고 이를 계약서 또는 협정서에 명시 | 상 | A-8 | 제3자(외부유지보수직원, 외부 용역 등)에 의한 정보자산 접근과 관련한 보안요구사항을 계약에 반영 | 상 |
| 외부자보안 | A-30 | 유지보수 등을 위한 외부자 임시 방문 시 정보 및 자산 접근에 대한 보안 규정 사전 고지 | 상 | A-53 | 외부 관계자에게 정보나 자산에 접근할 수 있는 보안 규정을 사전 통보 | 하 |
| 외부자보안 | A-31 | 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행 | 상 | A-52 | 제3자의 보안요구사항 준수 검토를 위해 제3자 관리책임자로부터 보안관리 상황에 대한 주기적인 보고를 받고 수시 점검 수행 | 하 |
| 외부자보안 | A-32 | 외부자의 보안 관련 사항 위반이나 침해사고 발생 시, 이에 따른 조치 수행 | 상 | A-9 | 위탁 기관(업체) 또는 용역사업 참여 업체의 보안관련사항 위반이나 침해사고 발생 시 조치 수행 | 상 |
| 외부자보안 | A-33 | 외부자의 계약만료, 업무 종료, 담당자 변경 시 자산 반납, 접근권한 삭제 및 비밀유지 확약서 작성 등이 이루어질 수 있도록 보안대책 수립·이행 | 상 | - | #N/A | - |
| 교육 및 훈련 | A-34 | 정보보호 인식제고를 위한 교육 및 훈련 계획을 종합적으로 수립하여 정기적으로 실시 | 상 | A-16 | 정보보호 인식제고를 위한 교육 및 훈련 계획을 종합적으로 수립하여 정기적으로 실시 | 상 |
| 교육 및 훈련 | A-35 | 전체 임직원 및 외부자에 대하여 정보보호 교육 및 훈련 수행 | 상 | A-15 | 교육 훈련 대상은 관련된 모든 내외 임직원 및 외부 인력을 포함하고 있으며 정보자산에 간접적으로 접근하는 일반 외부 용역 직원에 대해서도 정보보호교육훈련 수행 | 상 |
| 교육 및 훈련 | A-36 | 교육 및 훈련은 대상자의 직위 및 업무 특성에 따라 차등화하여 실시 | 상 | A-60 | 교육 및 훈련은 대상자의 직위 및 업무 특성에 따라 구분하여 실시하고 있는가? | 하 |
| 교육 및 훈련 | A-37 | 교육 및 훈련의 효과가 측정·분석되어 차기 교육 및 훈련에 반영 | 상 | A-61 | 교육 훈련의 효과가 측정, 분석되어 차기 교육에 반영 | 하 |
| 교육 및 훈련 | A-38 | 유관기관에서 공유한 보안공지·권고문 등에 대한 내용을 임직원 및 외부자에게 공유하고 조치요령을 안내 | 상 | A-62 | 직원을 대상으로 사이버안전센터 보안권고문·해킹메일주의공지, 윈도우 보안업데이트 사항, 보안취약점 조치요령 등을 공지 | 중 |
| 인증 및 권한 관리 | A-39 | 담당 업무에 따라 시스템에 접근할 수 있는 사용자 계정 및 접근권한 부여 방법과 범위 등을 정의 및 이행 | 상 | A-17 | 담당업무(조직)에 따라 접근통제의 방법과 범위 등을 정의하고 문서화 | 상 |
| 인증 및 권한 관리 | A-40 | 내·외부에서 시스템 접근 시 안전한 인증 방법 및 절차를 마련하고 이에 따라 이행 | 상 | A-66 | 외부에서의 사용자 접근에 대한 안전한 인증방식을 사용 | 하 |
| 인증 및 권한 관리 | A-41 | 시스템에 대한 안전한 사용자 비밀번호 관리 절차 및 작성 규칙 수립·이행 | 상 | A-29 | 시스템 및 패스워드 관리지침을 제공하고 시스템 및 패스워드 관리책임 상기 | 상 |
| 인증 및 권한 관리 | A-42 | 시스템에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토 주체, 검토 방법, 주기 등을 수립하여 이행 | 상 | - | #N/A | - |
| 접근 통제 | A-43 | 네트워크 접근통제 유지를 위해 접근권한 통제, 원격접속 관리, 네트워크 분리 등의 내용을 포함한 네트워크 운영 보안 정책을 수립·이행 | 상 | A-83 | 네트워크 운영 보안 유지를 위해 접근권한 통제, 원격접속 관리, 네트워크 분리 등의 내용을 포함한 네트워크 운영 보안정책을 수립 및 이행 | 하 |
| 접근 통제 | A-44 | 시스템의 목적 및 민감도 등에 따라 네트워크를 분리 운영하고 각 영역 간 접근통제를 적용 | 상 | A-70 | 민감한 시스템에 따라 네트워크를 분리 운영하여 서로간의 접근을 통제 | 하 |
| 접근 통제 | A-45 | 접근통제 규칙은 관리자의 승인을 거쳐서 설정 또는 변경 | 상 | A-64 | 보안상 중요한 접근통제 규칙은 관리자의 승인을 거쳐서 설정 또는 변경 | 하 |
| 접근 통제 | A-46 | 접근통제 정책의 적합성 여부에 대해 주기적 검토 | 상 | A-63 | 접근통제에 대한 주기적 검토를 통해 접근통제 정책이 적합한지 검토 | 중 |
| 접근 통제 | A-47 | 방화벽, 침입탐지시스템 구축 등 안전한 네트워크를 위한 대책을 마련 | 상 | A-71 | 방화벽, 침입탐지 등 안전한 네트워크를 위한 대책을 마련 | 중 |
| 접근 통제 | A-48 | 외부 네트워크를 통한 원격작업(재택근무, 장애대응 등)에 대한 책임자 승인, 작업내용 및 범위, 기간 설정, 접근 로그 기록/검토 등이 포함된 정책(절차) 수립·이행 | 상 | A-18 | 외부 네트워크를 통한 원격작업(재택근무, 장애대응 등)에 대한 책임자 승인, 작업내용 및 범위, 기간 설정, 접근 로그 기록/검토 등이 포함된 정책(절차)가 존재하며, 원격작업 허용 시 이를 준수 | 상 |
| 접근 통제 | A-49 | 네트워크를 통해 시스템을 운영하는 경우 원칙적으로 시스템 관리는 내부의 특정 단말기에서만 할 수 있도록 제한 | 상 | A-85 | 네트워크를 통해 시스템을 운영하는 경우 원칙적으로 시스템 관리는 내부의 특정 터미널에서만 할 수 있도록 제한 | 중 |
| 접근 통제 | A-50 | 외부에서 내부 시스템 접속 시 VPN 등 안전한 접속 수단 적용 | 상 | A-67 | 외부에서 내부 시스템의 기능을 사용할 수 있다면 VPN 등 안전한 접속방법을 제공 | 하 |
| 접근 통제 | A-51 | 내부망(업무망)과 인터넷망을 분리하여 운용 | 상 | A-72 | 내부망(업무망)과 인터넷망을 분리하여 사용 | 중 |
| 접근 통제 | A-52 | 망분리 후 안전한 자료전송을 위한 시스템을 도입하여 사용 | 상 | A-73 | 망분리 후 안전한 자료전송을 위한 시스템을 도입하여 사용 | 중 |
| 접근 통제 | A-53 | 인터넷 전화망과 일반 전산망은 분리하여 운용 | 상 | A-74 | 인터넷 전화망과 일반 전산망은 분리하여 운용 | 하 |
| 접근 통제 | A-54 | 내부에 상주하는 외부자에 대하여 네트워크를 분리하여 운영 | 상 | A-75 | 제3자의 내부 상주 인력에 대한 네트워크를 분리 운영 | 하 |
| 접근 통제 | A-55 | 무선네트워크 사용 시 상급기관장의 보안성 검토를 필하거나 안전한 암호화 알고리즘 및 암호키 설정 등의 적절한 보안조치를 적용 | 상 | A-22 | 무선랜(Wi-Fi 등)은 상급기관장의 보안성 검토를 필하거나 암호키 설정 등의 적절한 보안조치를 적용 | 상 |
| 접근 통제 | A-56 | 인가된 임직원만이 인가된 단말을 이용하여 무선네트워크를 사용할 수 있도록 사용 신청 및 해지 절차를 수립·이행 | 상 | - | #N/A | - |
| 접근 통제 | A-57 | 무선네트워크 무단 사용 여부, 비인가 무선 중계기(AP) 설치 여부, 우회 정보통신망 사용 차단 여부 등을 주기적으로 점검 | 상 | A-23 | 무선랜 무단 사용 여부, 비인가 무선 중계기(AP) 설치 여부, 우회 정보통신망 사용 차단 여부 등을 주기적으로 점검 | 상 |
| 운영 관리 | A-58 | 자산 및 시스템을 신규 도입·개발 또는 변경하는 경우 법, 규제, 계약상의 요구사항을 정의하여 문서화 | 상 | - | #N/A | - |
| 운영 관리 | A-59 | 자산 및 시스템을 신규 도입·개발 또는 변경하는 경우 보안성 검토 및 호환성 검토 수행하고 보안책임자는 이를 확인 및 승인 | 상 | A-25, A-76 | 시스템을 도입하기 전에 보안성 검토 및 호환성 검토 수행
보안책임자는 정보자산 도입 시 보안 정책에 부합하는지 확인 및 승인 | - |
| 운영 관리 | A-60 | 시스템의 변경관리 절차 수립·이행 | 상 | A-78 | 정보시스템의 변경관리 절차가 존재하며 이에 따라 변경관리가 수행 | 중 |
| 운영 관리 | A-61 | 정보보호시스템은 국내용 CC인증을 받았거나, 보안적합성 검증 수행 | 상 | A-36 | 정보보호시스템은 국내용 CC인증을 받았거나, 보안적합성 검증 수행 | 상 |
| 운영 관리 | A-62 | 제품 및 서비스에서 계약 등으로 협의된 사항 이외 이상행위가 발생하는지 모니터링 | 상 | A-38 | 제품 및 서비스에서 계약 등으로 협의된 사항 이외 이상행위가 발생하는지 모니터링 | 상 |
| 운영 관리 | A-63 | 개발 및 테스트 설비는 실제 운영 설비와 분리하여 운영 | 상 | A-24 | 개발 및 테스트 설비는 실제 운영설비와 분리하여 운영 | 상 |
| 운영 관리 | A-64 | 개발자와 운영자의 접근 권한 분리 | 상 | A-80 | 개발자와 운영자의 접근 권한 분리 | 중 |
| 운영 관리 | A-65 | 업무용 시스템(ERP, 그룹웨어 등)의 소스코드 접근권한을 차등 부여하고 별도 저장장치에 보관 | 상 | - | #N/A | - |
| 운영 관리 | A-66 | 업무용 시스템(ERP, 그룹웨어 등)의 소스코드 변경 시 보안약점 분석도구를 통해 취약점 점검 | 상 | - | #N/A | - |
| 운영 관리 | A-67 | 주요 시스템 및 정보보호제품의 변경을 위한 공식적인 절차 수립·이행 | 상 | A-79 | 중요 시스템 및 정보보호제품의 설정 전 승인을 받고 수행 | 중 |
| 운영 관리 | A-68 | 유지보수 작업 전 공식적인 작업 신청 및 수행절차를 수립·이행하고 작업 기록을 주기적으로 검토 | 상 | A-87 | 유지보수 작업 전 승인과, 작업 중 통제 및 감독 수행 | 하 |
| 운영 관리 | A-69 | 장애탐지, 장애기록, 장애분석, 장애복구, 장애보고 등의 사항을 포함하는 시스템의 장애관리 지침 문서화 | 상 | A-82 | 장애탐지, 장애기록, 장애분석, 장애복구, 장애보고 등의 사항을 포함하는 시스템의 장애관리 지침 문서화 | 하 |
| 운영 관리 | A-70 | 백업 대상, 주기, 방법, 보관 장소, 보관기간, 소산 등을 포함한 백업 절차 수립·이행 | 상 | A-98 | 백업은 대상, 주기, 방법, 보관 장소, 보관기간, 소산 등의 관련 절차를 수립하여 이행 | 중 |
| 운영 관리 | A-71 | 백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트 수행 | 상 | - | #N/A | - |
| 운영 관리 | A-72 | 전자기록 보관을 위한 별도의 방법(아카이빙)을 마련하고, 이를 통해 관리 | 상 | A-30 | 전자기록 보관을 위한 별도의 방법(아카이빙)이 존재하고, 이를 통해 관리 | 상 |
| 운영 관리 | A-73 | 시스템 및 정보보호시스템에 대한 접근기록(로그 등)을 생성·보관하고, 이에 대한 비인가 열람, 훼손 등을 방지하기 위한 보호대책 운영 | 상 | A-21 | 정보시스템 및 정보보호시스템 접근기록의 비인가 열람, 훼손 등을 방지하기 위한 보호대책 운영 | 상 |
| 운영 관리 | A-74 | 시스템과 네트워크의 오류, 오·남용(비인가접속, 과다조회 등), 부정행위 등 이상징후를 인지할 수 있도록 로그 검토 주기, 대상, 방법 등을 포함한 로그 검토 및 모니터링 절차 수립·이행 | 상 | A-84 | 시스템과 네트워크의 사용 및 접근에 대한 모니터링 절차와 책임이 정의되어 있고 이에 따라 수행 | 하 |
| 운영 관리 | A-75 | 로그 및 모니터링 결과를 월 1회 이상 책임자에게 보고 | 상 | - | #N/A | - |
| 운영 관리 | A-76 | 정보나 매체가 용도 폐기되기 위한 폐기 방법 수립·이행 | 상 | A-14 | 정보나 매체가 용도 폐기되기 위한 폐기 방법이 수립되고 적절하게 이행 | 상 |
| 운영 관리 | A-77 | 보안규정의 이행여부를 확인하는 주기적인 보안점검 및 불시 보안점검 수행 | 상 | A-28 | 보안규정의 이행여부를 확인하는 주기적인 보안점검 및 불시 보안점검 수행 | 상 |
| 운영 관리 | A-78 | 비밀(대외비 포함)을 비밀관리기록부 등에 등재하여 관리 | 상 | A-32 | 비밀(대외비 포함)을 비밀관리기록부 등에 등재하여 관리 | 상 |
| 운영 관리 | A-79 | 출력된 비밀문서의 경우 잠금장치가 있는 캐비넷 등에 안전하게 보관 | 상 | A-33 | 출력된 비밀문서의 경우 잠금장치가 있는 캐비넷 등에 안전하게 보관 | 상 |
| 운영 관리 | A-80 | 비밀 등 중요정보의 안전한 처리를 위한 보호대책을 마련하거나 시스템을 도입하여 사용 | 상 | A-34 | 비밀 등 중요 정보의 안전한 처리를 위한 보호대책을 마련했거나 시스템을 도입하여 사용 | 상 |
| 운영 관리 | A-81 | 정보통신망 세부 구성현황(IP 정보 등)등을 비공개 이상으로 관리 | 상 | A-35 | 정보통신망 세부 구성현황(IP 정보 등)등을 대외비 이상으로 관리 | 상 |
| 운영 관리 | A-82 | 중요 데이터와 일반 데이터를 다른 서버에 분리 보관 | 상 | A-81 | 중요 데이터와 일반데이터가 다른 서버에 분리 보관 | 하 |
| 운영 관리 | A-83 | 홈페이지 게시 자료에 대해 게시 절차를 마련하고 시행 | 상 | A-94 | 홈페이지 게시 자료에 대해 게시 절차를 마련하고 시행 | 중 |
| 운영 관리 | A-84 | 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용, 암호키 관리 등이 포함된 암호정책 수립·이행 | 상 | - | #N/A | - |
| 운영 관리 | A-85 | 암호키를 복구하기 위한 복구 절차를 수립하고 복구 내역 검토 | 상 | A-90 | 암호키를 복구하기 위한 복구 절차가 수립되고 복구 내역 검토 | 하 |
| 보안 관리 | A-86 | 침입차단 및 탐지 도구는 조직의 보안 정책과 규칙에 적합하게 설치하여 운영 | 상 | A-91 | 침입차단 및 탐지 도구는 조직의 보안 정책과 규칙에 적합하게 설치하여 운영 | 하 |
| 보안 관리 | A-87 | 외부자와 정보 공유, 네트워크 공유 등에 따른 보안위협에 대한 대책 운영 | 상 | A-69 | 제3자와의 정보 공유, 네트워크 공유 등에 대한 보안위협에 대한 대책 운영 | 하 |
| 보안 관리 | A-88 | 정보통신망에 비인가 PC, 노트북 등을 연결 시 차단 및 차단 이력 주기적 검토 | 상 | A-20 | 정보통신망에 비인가 PC․노트북 등을 연결시 차단 | 상 |
| 보안 관리 | A-89 | 이동형 장치(노트북, 태블릿, 보조저장매체 등)의 사용 및 반출입에 대한 통제절차 수립·이행 | 상 | A-13 | 미디어 장치(노트북, 태블릿, 이동식저장매체 등)의 사용 및 반출입에 대한 관리절차나 문서보유 | 상 |
| 보안 관리 | A-90 | 이동형 장치(노트북, 태블릿, 보조저장매체 등)의 반출입 시 통제 절차에 따른 기록 유지 관리하고 절차 준수여부를 확인할수 있도록 반출입 이력을 주기적으로 점검 | 상 | - | #N/A | - |
| 보안 관리 | A-91 | 스마트폰·개인휴대단말기(태블릿)·전자제어장비 등 정보통신기기를 활용하는 경우, 업무자료 등 중요정보 보호 및 안전한 전송을 위한 방안 마련 | 상 | A-19 | 스마트폰·개인휴대단말기(PDA)·전자제어장비 등 첨단 정보통신기기를 활용하는 경우, 업무자료 등 중요정보 보호 및 안전한 전송을 위한 방안 마련 | 상 |
| 보안 관리 | A-92 | 보조저장매체의 사용을 주기적으로 점검하고 운영 현황을 최신화 | 상 | A-59 | 보조기억매체의 사용을 주기적으로 점검하고 운영 현황을 최신화 | 중 |
| 보안 관리 | A-93 | 노트북, 보조저장매체 등 이동형 장치의 분실을 통한 자료 유출 대비책 마련 | 상 | A-58 | 노트북, USB 메모리 등 이동형 장치의 분실을 통한 자료 유출 대비책 보유 | 중 |
| 보안 관리 | A-94 | 서버, 네트워크시스템, 보안시스템, PC 등 자산별 특성 및 중요도에 따라 운영체제(OS)와 소프트웨어의 패치관리 정책 및 절차 수립·이행 | 상 | - | #N/A | - |
| 보안 관리 | A-95 | 서버, 네트워크시스템, 보안시스템, PC 등의 운영체제, 소프트웨어 등이 개발사로부터 보안 지원이 되지 않을 경우 해당 제품을 교체하거나 보안대책 마련 | 상 | A-39 | 기반시설에서 운영 중인 운영체제, 소프트웨어 등이 개발사로부터 보안 지원이 되지 않을 경우 해당 제품을 교체하거나 보안대책을 마련 | 상 |
| 보안 관리 | A-96 | 바이러스 등 악성프로그램을 대비한 보안프로그램의 설치·운영 등 보호대책 운영 | 상 | A-27 | 바이러스, 악성코드 등을 대비한 보호대책 운영 | 상 |
| 보안 관리 | A-97 | ‘사이버보안진단의 날’ 등과 같이 월별 보안 중점점검사항에 대해 매월 보안점검 및 조치활동 수행 | 상 | A-31 | ‘사이버보안진단의 날’ 등과 같이 월별 보안 중점점검사항에 대해 매월 보안점검과 조치활동 | 상 |
| 보안 관리 | A-98 | 네트워크, 메신저 등으로부터의 허가되지 않았거나 불분명한 파일의 다운로드를 금지하고, 부득이하게 다운로드 받을 경우 바이러스 검사 수행 | 상 | A-86 | 네트워크, 메신저 등으로부터의 허가되지 않았거나 불분명한 파일의 다운로드를 금지하고, 부득이 다운로드받을 경우 바이러스 검사 수행 | 중 |
| 보안 관리 | A-99 | 스팸 메일 수신을 줄이기 위한 방안(스팸차단 솔루션)을 마련 | 상 | A-93 | 스팸 메일 수신을 줄이기 위한 방안(스팸차단 솔루션)을 마련 | 하 |
| 보안 관리 | A-100 | 개인정보의 유출 등을 방지하기 위해 접근 권한의 관리, 접근통제, 암호화, 접속기록의 보관 및 점검 등 개인정보의 안전성 확보에 필요한 조치 이행 | 상 | A-43 | 개인정보보호를 위해 DB암호화등 개인정보유출에 대한 방안이 마련 | 상 |
| 보안 관리 | A-101 | 서비스 거부(DDoS) 공격 방지를 위한 대응방안(그린DDoSZone 등) 수립 및 운영 | 상 | A-107 | 서비스 거부 공격(DDoS) 방지를 위한 대응방안(그린DDoSZone 등) 수립 및 운영 | 중 |
| 보안 관리 | A-102 | 주요정보통기반시설과 직·간접적으로 연계된 시스템을 대상으로 모의해킹 수행 및 보안대책 마련 | 상 | A-113 | 주요정보통기반시설 직 간접적으로 관련된 시스템을 모의해킹 대상으로 식별하여 모의해킹 수행 및 보안대랙 마련 | 하 |
| 보안 관리 | A-103 | 시스템 및 사용 장비에 대한 보안 취약점에 대한 주기적 검토 및 보완 프로세스 운영 | 상 | A-26 | 시스템 및 사용 장비에 대한 보안 취약점에 대한 주기적 검토 및 보완 프로세스 운영 | 상 |
| 사고 대응 | A-104 | 침해사고 및 개인정보 유출사고를 예방하고 사고 발생 시 신속하고 효과적으로 대응하기 위한 체계와 절차 수립 | 상 | A-103 | 침해사고 대응계획 즉 대응범위, 역할, 임무, 대응절차 등을 문서화 | 하 |
| 사고 대응 | A-105 | 침해사고 발생 시 신속한 보안사고 보고를 위한 절차를 문서화하고 있고 이에 따라 신속한 보고 수행 | 상 | A-41 | 침해사고 발생시 신속한 보안사고 보고를 위한 절차가 문서화되어 있고 이에 따라 신속한 보고 수행 | 상 |
| 사고 대응 | A-106 | 침해사고 시 외부기관 및 전문가들과의 대응협조체계 구축 | 상 | A-105 | 침해사고시 외부기관 및 전문가들과의 대응협조체계가 구축 | 중 |
| 사고 대응 | A-107 | 사이버위기 ‘주의’ 이상 경보 발령 및 피해발생 등 필요 시 대응할 수 있는 ‘긴급대응반’을 구성 | 상 | A-104 | 사이버위기 ‘주의’이상 경보 발령 및 피해발생 등 필요시 대응할 수 있는 ‘긴급대응반’을 구성 | 중 |
| 사고 대응 | A-108 | 부정접근 사례나 보안사고 내역을 지속적으로 모니터링 | 상 | A-99 | 부정접근 사례나 보안사고 내역을 지속적으로 모니터링 | 중 |
| 사고 대응 | A-109 | 침해사고 발생에 대비한 대응절차 및 방법 숙지를 위한 주기적인 교육·훈련 실시 | 상 | A-106 | 침해사고 대응절차 및 방법 숙지를 위해 정기적인 교육을 실시 | 중 |
| 사고 대응 | A-110 | 보안사고 유형, 범위, 영향 등을 포함한 보안사고 분석 결과를 기록 및 관리 | 상 | A-100 | 보안사고 유형, 범위, 영향 등을 포함한 보안사고 분석을 기록되어 관리 | 하 |
| 사고 대응 | A-111 | 보안 취약점 및 사고 발생 시 이에 대한 보완작업 절차 마련 | 상 | A-101 | 보안 취약점 및 사고 발생시 이에 대한 보완작업 절차 마련 | 중 |
| 사고 대응 | A-112 | 사이버침해사고 발생 후 재발방지 대책 수립·이행 | 상 | A-102 | 사이버침해사고 발생 후 재발방지 대책을 수립 및 시행 | 중 |
| 사고 대응 | A-113 | 침해사고 처리, 계약증빙 및 소송 등을 위한 적정한 증거자료 확보에 관한 지침 수립·이행 | 상 | A-110 | 보안사고 처리, 계약증빙 및 소송 등을 위한 적정한 증거자료 확보에 관한 지침이 존재하고 이에 따라 이행 | 하 |
| 업무 연속성 | A-114 | 기반시설의 서비스(업무) 연속성을 위협할 수 있는 IT 재해 유형을 식별하고 유형별 피해규모 및 업무에 미치는 영향을 분석하여 핵심 IT 서비스(업무) 및 시스템을 식별 | 상 | - | #N/A | - |
| 업무 연속성 | A-115 | 핵심 IT서비스(업무) 및 시스템의 특성에 따른 복구 목표시간, 복구 목표시점을 정의 | 상 | - | #N/A | - |
| 업무 연속성 | A-116 | 재해 및 재난 발생 시에도 기반시설 서비스 및 시스템의 연속성을 보장할 수 있도록 복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구 절차 등 재해 복구 계획 수립·이행 | 상 | A-40 | 업무복구목표와 요구사항에 적합한 업무연속성 전략을 수립 | 상 |
| 업무 연속성 | A-117 | 보안중요성이 높은 등급의 시스템들은 이중화하여 관리 | 상 | A-97 | 보안중요성이 높은 등급의 시스템들은 이중화하여 관리 | 중 |
| 업무 연속성 | A-118 | 모의 훈련 등을 통해 업무 연속성을 지속적으로 검토 및 관리하고, 조직 내의 변경이 있을 경우 이에 대한 사항을 반영 | 상 | A-96 | 모의 훈련 등을 통한 업무 연속성 관리가 지속적으로 검토되고 있으며 조직 내의 변경이 있을 경우 이에 대한 사항을 반영 | 중 |
| 물리 보안 | P-1 | 보호구역의 출입에 관한 정책과 절차를 수립하고 이에 따라 출입통제 수행 | 상 | P-2 | 보호구역의 출입에 관한 정책과 절차가 수립되어 있으며 이에 따라 출입통제 수행 | 상 |
| 물리 보안 | P-2 | 물리적 중요도에 따라 제한구역, 통제구역 등으로 분류하는 다단계 보호 대책 수행 | 상 | P-15 | 물리적 중요도에 따라 제한구역, 통제구역 등으로 분류하는 다단계 보호 대책 수행 | 중 |
| 물리 보안 | P-3 | 주요 시스템에 대한 별도의 출입통제를 실시하거나 이중의 보호장치 설치 | 상 | P-1 | 주요 시스템에 대한 별도의 출입통제를 실시하거나 이중의 보호장치 설치 | 상 |
| 물리 보안 | P-4 | 민감한 시설에 대해 물리적으로 접근하는 사람들의 출입기록 및 허가의 타당성을 주기적으로 검토 | 상 | P-8 | 민감한 시설에 대해 물리적으로 접근하는 사람들의 출입기록 및 허가의 타당성을 주기적으로 검토 | 중 |
| 물리 보안 | P-5 | 제한구역 내 작업에 대한 추가적인 통제 수단 및 안내 지침 마련 | 상 | P-9 | 제한구역에서의 작업에 대한 추가적인 통제 수단 및 안내 지침 보유 | 중 |
| 물리 보안 | P-6 | 주요시설에 대한 출입기록은 출입일로부터 일정기간 이상 보관 | 상 | P-5 | 주요시설에 대한 출입기록은 출입일로부터 일정기간 이상 보관 | 상 |
| 물리 보안 | P-7 | 외부인에 대해서 출입증을 발급하고, 출입권한은 출입목적이 필요한 구역내로 한정 | 상 | P-6 | 외부인에 대해서 출입증을 발급하고, 출입권한은 출입목적이 필요한 구역내로 한정 | 상 |
| 물리 보안 | P-8 | 전산 장비실에 외부협력업체 출입 시 내부 임직원이 상시 동행하는 등 통제방안 마련 | 상 | P-10 | 전산 장비실에 외부협력업체 출입 시 내부 임직원이 상시 동행 | 중 |
| 물리 보안 | P-9 | 시각적으로 구분이 가능한 신분증 패용 | 상 | P-11 | 시각적으로 구분이 가능한 신분증 패용 | 하 |
| 물리 보안 | P-10 | 주요장비, 대체시스템 및 자료들을 화재, 습도 등의 환경재해로부터 보호되는 적절한 곳에 배치하여 보호 | 상 | P-16 | 주요장비, 대체시스템 및 자료들이 화재, 습도 등의 환경재해로부터 보호되는 적절한 곳에 배치하여 보호 | 중 |
| 물리 보안 | P-11 | 전원 공급 이상이나 기타 전기 관련 사고로부터 장비 보호(UPS, 비상발전기, 이중전원선 등의 설비) | 상 | P-7 | 전원공급 이상이나 기타 전기관련 사고로부터 장비 보호(UPS, 비상발전기, 이중전원선 등의 설비) | 상 |
| 물리 보안 | P-12 | 전원 공급 이상이나 기타 전기 관련 사고로부터 장비를 보호하기 위해 설비 상태에 대해 정기적으로 검토 | 상 | P-12 | 전원공급 이상이나 기타 전기관련 사고로부터 장비를 보호하기 위해 설비 상태에 대해 정기적으로 검토 | 하 |
| 물리 보안 | P-13 | 전원선 및 통신선은 도청이나 손상으로부터 보호 | 상 | P-13 | 전원선 및 통신선은 도청이나 손상으로부터 보호 | 중 |
| 물리 보안 | P-14 | 누전이 발생하였을 때 이를 차단할 수 있도록 누전차단기 또는 누전경보기의 설치 | 상 | P-14 | 누전이 발생하였을 때 이를 차단할 수 있도록 누전차단기 또는 누전경보기의 설치 | 중 |
| 물리 보안 | P-15 | 전산실에 24시간 항온, 항습을 유지하기 위하여 온습도 측정이 가능하도록 항온항습기 등을 설치 및 운영 | 상 | P-17 | 전산실에 24시간 항온, 항습을 유지하기 위하여 온습도 측정이 가능하도록 항온항습기가 설치 및 운영 | 하 |
| 물리 보안 | P-16 | 주요시설(중앙감시실, 전산실, 전력관련시설, 통신장비실, 방재센터 등)에는 기존 조명설비의 작동이 멈추는 경우에도 작업이 가능하도록 비상조명을 설치 | 상 | P-18 | 주요시설(중앙감시실, 전산실, 전력관련시설, 통신장비실, 방재센터 등)에는 기존 조명설비의 작동이 멈추는 경우에도 작업이 가능하도록 비상조명을 설치 | 중 |
| 물리 보안 | P-17 | 주요시설의 출입구와 전산실 및 통신장비실 내부에 CCTV를 설치 | 상 | P-3 | 주요시설의 출입구와 전산실 및 통신장비실 내부에 CCTV를 설치 | 상 |
| 물리 보안 | P-18 | CCTV 운용 시 중계·관제서버, 관리용 PC, 정보통신망 등에 대해 보안대책을 수립 | 상 | P-4 | CCTV 운용 시 중계·관제서버, 관리용 PC, 정보통신망 등에 대해 보안대책을 수립 | 상 |
게시일 : 2025년 8월 11일
정말 오랜만에 나온 주요정보통신반시설 취약점 분석.평가 기준(이하 '주통기') 소식입니다.
공고 세부 내용은 다음과 같습니다.
「주요정보통신기반시설 취약점 분석·평가 기준」을 일부개정함에 있어 그 개정이유와 주요내용을 국민에게 미리 알리고 의견을 듣고자 「행정절차법」 제46조의 규정에 의하여 다음과 같이 공고합니다.
2025년 8월 11일
과학기술정보통신부장관
「주요정보통신기반시설 취약점 분석·평가 기준」 일부개정고시안 행정예고
1. 개정이유
ICT 환경변화 및 최근 사이버 위협 등을 반영하여 정보통신기반 보호법 제9조에 따른 주요정보통신기반시설 취약점 분석·평가의 점검 항목을 정비하기 위해 「주요정보통신기반시설 취약점 분석․평가 기준」을 개정하고자 함.
2. 주요내용
가. 취약점 분석․평가 기준에 클라우드 및 웹서비스 분야 등의 점검항목을 신설하고, 유사․중복 사항을 정비하여 점검항목을 삭제하며, 일부 항목의 중요도 상승에 따라 점검항목의 등급을 상향하여 취약점 분석의 적합성을 제고함(별표2, 별표3)
나. 재검토기한의 근거법에 따라 구분된 재검토 시기를 통합함(5. 기타사항)
3. 의견제출
이 개정 고시안에 대하여 의견이 있는 단체 또는 개인은 다음 사항을 기재한 의견서를 2025년 9월 1일까지 과학기술정보통신부장관(사이버침해대응과)에게 제출하여 주시기 바랍니다.
가. 행정예고 사항에 대한 항목별 의견(찬․반여부와 반대 시 그 사유)
나. 성명(법인․단체의 경우 단체명과 대표자명), 주소 및 전화번호
다. 의견 보내실 곳
- 일반우편 : 세종특별자치시 갈매로 477 정부세종청사 4동
과학기술정보통신부 사이버침해대응과(우편번호 : 30109)
- 전자우편 : ahn31@korea.kr
- 전화/팩스 : 044-202-6465 / 044-202-6037
이번 개정의 핵심 내용은 다음 정도가 되겠네요.
추가로 직접적으로 연관이 있는 실무진 분들이 알아야 주요 사항들은 다음 정도가 될 것 같습니다.
다음은 신구 대비표 내용과 취약점 항목 전후 비교 내용입니다.
o 과학기술정보통신부장관은 「행정규제기본법」에 따라 이 고시에 대하여 2022년 1월 1일을 기준으로 매 3년이 되는 시점(매 3년째의 12월 31일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.
O 관리체계 영역 취약점 항목 전후 비교 : 신규 - 이전
보안책임자는 정보자산 도입 시 보안 정책에 부합하는지 확인 및 승인
O 기존에서 제거된 항목
세부 취약점 점검 항목 변경은 첨부파일을 화인하시기 바랍니다. :)
출처 : https://www.msit.go.kr/bbs/view.do;jsessionid=k7VV-QEoezoQTAxTW4iL3JzxIEJcSLLx_GFI8-Pj.AP_msit_2?sCode=user&mPid=103&mId=109&bbsSeqNo=84&nttSeqNo=3179886