[취약점진단] 주요정보통신기반시설 취약점 분석평가 기준

주요정보통신기반시설 취약점 분석평가 기준

주요정보통신기반시설 취약점 분석평가 기준은 취약점 진단 항목의 표준으로 사용되는 기준 항목으로 취약점 진단 분야에 관심이 있거나 시작하려는 사람에게는 필수적인 자료이다.

1. 주요정보통신기반시설 취약점 분석 평가 기준 (행정안전부, 2012. 12)

출처 : www.law.go.kr/flDownload.do?flSeq=12457820

첨부파일 : 

주요 정보통신기반시설 취약점 분석·평가기준 (전문).hwp

I. 취약점 분석·평가 개요

o 취약점 분석·평가란, 악성코드 유포, 해킹 등 사이버 위협에 대한 주요정보통신기반시설의 취약점을 종합적으로 분석 및 평가 개선하는 일련의 과정을 말함

- 주요정보통신기반시설의 안정적 운영을 위협하는 사이버보안 점검항목과 항목별 세부 점검항목을 도출하여 취약점 분석을 실시

- 발견된 취약점에 대한 위험등급 부여, 개선방향 수립 등의 유기적인 평가 수행

2. 주요정보통신기반시설 취약점 분석 평가 기준 근거

- 정보통신기반 보호법 제9조(취약점의 분석·평가)

출처 : http://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EC%A0%95%EB%B3%B4%ED%86%B5%EC%8B%A0%EA%B8%B0%EB%B0%98%20%EB%B3%B4%ED%98%B8%EB%B2%95

첨부파일 : 

정보통신기반 보호법.pdf

제1조(목적) 이 법은 전자적 침해행위에 대비하여 주요정보통신기반시설의 보호에 관한 대책을 수립·시행함으로써 동 시설을 안정적으로 운용하도록 하여 국가의 안전과 국민생활의 안정을 보장하는 것을 목적으로 한다.

제2조(정의) 이 법에서 사용하는 용어의 정의는 다음과 같다.  <개정 2007.12.21.>

1. "정보통신기반시설"이라 함은 국가안전보장·행정·국방·치안·금융·통신·운송·에너지 등의 업무와 관련된 전자적 제어·관리시스템 및 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제1호의 규정에 의한 정보통신망을 말한다.

2. "전자적 침해행위"라 함은 정보통신기반시설을 대상으로 해킹, 컴퓨터바이러스, 논리·메일폭탄, 서비스거부 또는 고출력 전자기파 등에 의하여 정보통신기반시설을 공격하는 행위를 말한다.

3. "침해사고"란 전자적 침해행위로 인하여 발생한 사태를 말한다.

제9조(취약점의 분석·평가) ①관리기관의 장은 대통령령이 정하는 바에 따라 정기적으로 소관 주요정보통신기반시설의 취약점을 분석·평가하여야 한다.

②관리기관의 장은 제1항의 규정에 의하여 취약점을 분석·평가하고자 하는 경우에는 대통령령이 정하는 바에 따라 취약점을 분석·평가하는 전담반을 구성하여야 한다.

③관리기관의 장은 제1항의 규정에 의하여 취약점을 분석·평가하고자 하는 경우에는 다음 각호의 1에 해당하는 기관으로 하여금 소관 주요정보통신기반시설의 취약점을 분석·평가하게 할 수 있다. 다만, 이 경우 제2항의 규정에 의한 전담반을 구성하지 아니할 수 있다.  <개정 2002.12.18., 2007.12.21., 2009.5.22., 2013.3.23., 2015.6.22.>

1. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조의 규정에 의한 한국인터넷진흥원(이하 "인터넷진흥원"이라 한다)

2. 제16조의 규정에 의한 정보공유·분석센터(대통령령이 정하는 기준을 충족하는 정보공유·분석센터에 한한다)

3. 「정보보호산업의 진흥에 관한 법률」 제23조에 따라 지정된 정보보호 전문서비스 기업

4. 「정부출연연구기관 등의 설립·운영 및 육성에 관한 법률」 제8조의 규정에 의한 한국전자통신연구원

④미래창조과학부장관은 관계중앙행정기관의 장 및 국가정보원장과 협의하여 제1항의 규정에 의한 취약점 분석·평가에 관한 기준을 정하고 이를 관계중앙행정기관의 장에게 통보하여야 한다.  <개정 2008.2.29., 2013.3.23.>

⑤주요정보통신기반시설의 취약점 분석·평가의 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.