정보보호 준비도 평가 가이드

개요

정보보호 준비도 평가 가이드는 기업 및 기관이 자율적으로 정보보호 수준을 점검하고 보완 방향을 수립할 수 있도록 지원하는 정보보호 진단 도구입니다. 과학기술정보통신부와 한국인터넷진흥원(KISA)이 제공하며, 보안 정책·물리 보안·기술 보안·관리 체계 등 전반적인 영역을 정량·정성 기준으로 진단하여 자율 개선의 기반을 마련합니다. ISMS-P 의무대상이 아닌 중소기업·기관이 활용할 수 있는 사전 준비 프레임워크로 활용됩니다.

---

1. 개념 및 정의

항목	설명	비고
정의	조직의 보안 수준을 자율 진단하고 개선을 위한 계획 수립을 지원하는 가이드	정보보호 자율점검의 표준 기반
목적	보안 사각지대 해소, ISMS-P 사전 준비, 정보보호 문화 정착	공공·민간 중소기관 모두 활용 가능
적용 대상	중소기업, 병원, 학교, 지자체, 민간기관 등	필수 대상 외 모든 조직에 개방

---

2. 특징

특징	설명	활용 이점
자율평가 방식	자체적으로 점검표 기반 진단 가능	전문가 없이도 내부 점검 가능
정량·정성 기준 병행	객관적 수치와 서술적 평가 병행	결과 리포트화 쉬움
영역별 취약점 도출	기술/물리/관리 전 영역 점검	보안 조치 우선순위 설정에 유리

정보보호 수준 향상의 입문형 가이드이자 실행형 진단 도구입니다.

---

3. 평가 구성 요소

구성 영역	점검 항목	주요 내용
정책 및 조직	정보보호 책임자 지정, 정책 수립	CISO, 규정 제정, 책임 체계
관리적 보호조치	보안교육, 인력관리, 위기대응 훈련	정기교육 여부, 대응 매뉴얼
물리적 보호조치	출입통제, CCTV, 보안구역 설정	접근 이력, 물리차단 기준 등
기술적 보호조치	백신, 암호화, 계정관리, 접근통제	패치관리, 로그 저장, DB보안 등
자산관리	정보자산 목록화, 중요도 분류	자산목록 관리 현황
침해사고 대응	이상징후 탐지, 복구계획, 신고 체계	백업 체계, KISA 신고 프로세스

---

4. 기술 요소 및 도구

요소	설명	지원 도구
진단 체크리스트	항목별 수준 평가(5단계 등급제)	KISA 온라인 자가진단 시스템
리스크 우선순위 매트릭스	취약점 심각도×발생 가능성으로 평가	개선 계획 수립 기준 제공
보안조치 권고안	점검 결과에 따른 우선 개선 가이드 제공	항목별 가이드라인 다운로드 가능
결과 리포트 자동 생성	평가 완료 후 PDF 보고서 출력	사내 교육 및 경영보고 활용 가능

---

5. 장점 및 기대효과

장점	설명	기대 효과
정보보호 역량 진단	현재 수준 파악 및 기준 수립 가능	인증 대비 기반 마련
자율보안문화 조성	외부 감시 아닌 내부 주도 점검 가능	조직 전반 보안 인식 제고
비용 없는 셀프 점검	무상 가이드 및 도구 제공	중소기관의 접근성 향상

정보보호 준비도 평가는 예방 중심 보안체계의 첫걸음입니다.

---

6. 활용 사례 및 고려사항

사례	내용	고려사항
병원의 보안수준 셀프 진단	EMR, 개인정보 암호화 등 기술 항목 점검	환자정보 유출 위험 우선 점검
스타트업의 보안문화 정착	보안정책 수립 및 구성원 교육 실시	보안전담자 지정 필수
학교의 물리 보안 점검	출입통제, 서버실 관리 체계화	CCTV 관리 주체·보관기간 점검 필요

점검 결과는 개선계획 수립과 예산 요청 근거로도 활용 가능합니다.

---

7. 결론

정보보호 준비도 평가 가이드는 모든 조직이 자율적으로 정보보안 수준을 진단하고 개선할 수 있도록 지원하는 실천형 도구입니다. 사이버위협이 일상화된 오늘날, 예방과 인식 중심의 정보보호 내재화 전략을 실현하기 위해, 본 가이드를 통한 점검→계획→개선→관리의 보안 사이클 정착이 필수적입니다.