정보보안 관리 및 법규 - ISO 27001, ITSEC, CC(Common Criteria), ISMS 정의

---

정보보안 관리 및 법규 - ISO 27001, ITSEC, CC(Common Criteria), ISMS

---

다음 지문이 설명하는 인증제도는?
[보기]
현재 사용되는 IT 보안제품에 대해 보안성을 평가하는 제도로 제품유형별 PP(Prolection Profile)를 정의하고, 8개 군의 평가항 목을 대상으로 평가가 이루어진다. 평가결과는 IT 보안제품의 보안위협 및 자산가치의 정도에 따라 EAL1(Evalualion Assurance Level 1) - EAL7(Evaluation Assurance Level 7) 까지 7단계로 부여하여 인증서가 제공된다.

① ISO 27001
② ITSEC 
③ CC(Common Criteria)
④ ISMS

---

ISO 27001

ISO 27000 시리즈의 한 파트로서 2005년 10월에 ISO에서 발간한 정보 보호 관리 체계 표준 문서를 일컫는다. 

정보 기술에 의존적인 단체에 대한 보안을 보증하기 위한 인적, 물리적, 환경적 통제 사항을 규정하고 있다.

 

 

 

정보 기술 보안 평가 지침서, Information Technology Security Evaluation Criteria, ITSEC

1991년 5월에 발표된 유럽 국가들의 정보 시스템에 대한 공동 보안 지침서. 미국의 컴퓨터 보안 평가 지침서가 보안의 기술적인 요소 중 기밀성만을 강조한 반면, 이것은 기밀성 외의 보안 요소인 무결성과 가용성까지 포함하는 포괄적인 표준안을 제시하고 있다.

 

 

 

공통평가기준, Common Criteria, CC

정보 보호 제품의 평가 기준을 규정한 국제 표준(ISO 15408). 
공통평가기준(CC)은 선진 각국들이 정보 보호 제품에 서로 다른 평가 기준을 가지고 평가를 시행하여 시간과 비용 낭비 등이 초래되는 문제점을 없애기 위해 개발되었다. 1998년 국제 공통평가기준 상호 인정 협정(CCRA)이 미국, 캐나다, 영국, 프랑스, 독일 간에 체결되고, 1999년 6월 8일 공통평가기준으로 ISO 15408 국제 표준이 제정되었다. CC는 정보화 순기능 역할을 보장하기 위해 정보 보호 기술 기준으로 정보화 제품의 정보 보호 기능과 이에 대한 사용 환경 등급을 규정한다. 구성은 제1부 시스템의 평가 원칙과 평가 모델, 제2부 시스템 보안 기능 요구 사항(11개), 제3부 시스템의 7등급 평가를 위한 보증 요구 사항(8개)으로 되어 있다.

 

 

 

정보보호 관리체계(ISMS : Information Security Management System)

- 정보 통신 서비스 제공자가 정보 통신망의 안정성 및 신뢰성을 확보하여 정보 자산의 기밀성, 무결성, 가용성을 실현하기 위한 관리적·기술적 수단과 절차 및 과정을 체계적으로 관리, 운용하는 체계