image.png

image.png

정의

디지털전환(DX) 등으로 사이버 위협에 직면한 국가·공공기관의 업무·기능 보호를 위한 보안 기준 및 운영 지침

통제항목

• 권한
• 인증
• 분리 및 격리
• 통제
• 데이터
• 정보자산

절차

1. 준비 (Prepare)

기초 정보를 수립

제반 활동을 준비

기능별로 업무정보를 나눠 업무정보 생산·저장·처리·전송 등 정보시스템을 식별

활동별 책임자를 임명 및 관련 역할과 권한을 정의

2. 등급분류 (Categorize)

• C (Classified) : 기밀
• S (Sensitive) : 민감
• O (Open) : 공개

3. 위협식별 (Identify)

서로 다른 보안등급 간 위협요소를 식별

위협모델링 수행 : 보안대책 필요 지점 도출

정보시스템 위협 식별 방법론

• ‘위치-주체-객체’ 모델링
• ‘정보 생산·저장’ 원칙, ‘정보 이동’ 원칙

4. 보안대책 수립 (Select)

업무정보·정보시스템에 대한 보안통제 항목을 선택·조정

보안통제 구현계획을 수립

5. 적절성 평가/조정 (Assess)

출처

https://www.etnews.com/20250130000072