▶ 주요정보통신기반시설 가이드(2021년 기준)

현재 한국에서의 가이드라인 기준은 한국인터넷진흥원(KISA) 가이드라인을 기준으로 한다. 인프라 각 항목에 대해 서술되어 있으며 해당항목의 양호기준에 따라 회사의 취약점 점검을 수행하고, 취약점이 도출될시 이행조치 기준에 따라 이행을 수행한다. 다만, 이행조치를 수행하는것이 서비스에 장애를 초래할 경우 예외사항으로 판단하며, 이는 현업과의 의견조율이 필요한 부분이다. 필자의 경우 취약으로 도출되었으나, 이행조치가 오히려 서비스장애를 초래하는 경우 해당 항목에 대해서는 양호로 판단하며, 별도의 표기를 통해 서비스장애가 발생될 가능성이 있기에 이행조치한것으로 간주한다라고 명시를 하는편이다.(※ 회사별 또는 진단자별 성향에 따라 다를수 있음. 취약으로 하고 위험수용으로 갈수도 있음. 다만 위험수용을 하는경우 위험평가보고서에 해당항목에 대해 명시를 해야함)

 

특히, 대부분의 진단자들이 각 항목에 취약, 양호만 판단할줄 알지 해당 항목에 대한 점수배점이 어떻게 측정이 되는지 모르는거 같아. 정확한 팩트를 알려드리고자 한다. 주요정보통신기반시설의 경우, 법제처의 정보통신기반보호법 내 주요정보통신기반시설의 별첨에 배점이 명시되어 있다.

[정보통신기반보호법 제9조 취약점의 분석ㆍ평가]에 명시
[주요정보통신기반시설 취약점 분석ㆍ평가 기준]
[주요정보통신기반시설 취약점 분석ㆍ평가 기준 점수산출식]

[링크참조]

https://www.krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988 

 

KISA 인터넷 보호나라&KrCERT

KISA 인터넷 보호나라&KrCERT

www.boho.or.kr

https://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EC%A0%95%EB%B3%B4%ED%86%B5%EC%8B%A0%EA%B8%B0%EB%B0%98%20%EB%B3%B4%ED%98%B8%EB%B2%95

 

정보통신기반 보호법

 

www.law.go.kr

https://www.law.go.kr/LSW//conAdmrulByLsPop.do?&lsiSeq=219583&joNo=0009&joBrNo=00&datClsCd=010102&dguBun=DEG&lnkText=%25EA%25B8%25B0%25EC%25A4%2580%25EC%259D%2584%2520%25EC%25A0%2595%25ED%2595%2598%25EA%25B3%25A0&admRulPttninfSeq=1705#AJAX 

 

국가법령정보센터 | 위임행정규칙

 

www.law.go.kr

 

저작자표시 비영리 변경금지

'1. 인프라 취약점(23년기준) > 1. 서버 취약점(Unix,Windows)' 카테고리의 다른 글

현직자가 알려주는 서버 취약점 1강  (0) 2022.05.05

+ Recent posts

티스토리툴바