행정/공공기관의 경우, 국가정보보안지침(국정원)에 의거하여
정보보호제품 도입요건을 만족시키는 제품을 도입하여야 한다.
법적근거 : 기획재정부 정보보안 기본지침, 행정기관 및 공공기관 정보시스템 구축·운영지침
정보보호제품은 크게 “안전성 검증필 제품" 과 "암호화가 주기능인 제품"에 등재된 제품을 도입할 수 있다.
1) 안정성 검증필 제품: 각 제품 유형별로 획득해야하는 인증서를 득해야만 등재될 수 있다.
2) 암호화가 주기능인 제품(DRM, DLP 등)은 CC인증 및 검증필 암호모듈 탑재 해야함
1) 법적근거
□ 법령 : 국가정보화 기본법
정보보호제품 도입요건에 관한 정책을 "과기부"가 정한다라고 못박고 있다.
국가정보화기본법
www.law.go.kr
제38조(정보보호시스템에 관한 기준 고시 등) ① 과학기술정보통신부장관은 관계 기관의 장과 협의하여 정보보호시스템의 성능과 신뢰도에 관한 기준을 정하여 고시하고, 정보보호시스템을 제조하거나 수입하는 자에게 그 기준을 지킬 것을 권고할 수 있다. <개정 2013. 3. 23., 2017. 7. 26.>
② 과학기술정보통신부장관은 유통 중인 정보보호시스템이 제1항에 따른 기준에 미치지 못할 경우에 정보보호시스템의 보완 및 그 밖에 필요한 사항을 권고할 수 있다. <개정 2013. 3. 23., 2017. 7. 26.>
③ 제1항에 따른 기준을 정하기 위한 절차와 제2항에 따른 권고에 관한 사항 및 그 밖에 필요한 사항은 대통령령으로 정한다.
* 동법 시행령 제35조 (국가정보화기본법시행령)
제35조(정보보호시스템의 보완 등) ① 과학기술정보통신부장관은 법 제38조제1항에 따라 정보보호시스템의 성능과 신뢰도에 관한 기준을 정하거나, 그 기준에 맞는지의 여부를 평가 또는 인증하는 업무에 관한 세부 사항을 정할 때에는 관계기관의 장과 미리 협의하여야 한다. <개정 2013. 3. 23., 2015. 12. 22., 2017. 7. 26.>
② 과학기술정보통신부장관은 정보보호시스템을 제조하거나 수입하는 자가 그 시스템이 법 제38조제1항에 따른 기준에 합치되는지의 확인을 요청한 경우에는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조에 따른 한국인터넷진흥원의 장 또는 관계 국제협약에서 정한 기준에 맞는 기관의 장에게 그 시스템을 조사 또는 시험ㆍ평가하게 할 수 있다. <개정 2013. 3. 23., 2017. 7. 26.>
③ 제2항에 따른 조사 또는 시험ㆍ평가를 요청하는 자는 과학기술정보통신부장관이 정하여 고시하는 기준에 따라 한국인터넷진흥원의 장 또는 관계 국제협약에서 정한 기준에 맞는 기관의 장이 정한 수수료를 내야 한다. <개정 2013. 3. 23., 2017. 7. 26.>
2) 평가기준
정보보호시스템 공통평가기준
정보보호시스템 공통평가기준
www.law.go.kr
제1조(목적) 이 기준은 「국가정보화 기본법」 제38조제1항 및 동법 시행령 제35조의 규정에 의하여 정보보호시스템을 평가하기 위한 요구사항에 대해 정함을 목적으로 한다.
제4조(평가기준 구조) 공통평가기준은 별첨과 같이 총 3부로 구성된다.
1. 1부는 정보보호시스템 보안성 평가의 원칙과 일반개념을 정의하고 평가의 일반적인 모델을 설명하는 소개부분으로, IT 보안목적을 표현하고 IT 보안요구사항을 선택·정의하며, 제품 및 시스템의 상위수준 명세를 작성하기 위한 구조를 소개한다.
2. 2부는 보안기능요구사항을 표준화된 방법으로 표현한 것으로 기능 컴포넌트들의 집합으로 구성되며, 기능 클래스, 기능 패밀리, 기능 컴포넌트로 분류된다.
3. 3부는 보증요구사항을 표준화된 방법으로 표현한 것으로 보증 컴포넌트들의 집합으로 구성되고, 보증 클래스, 보증 패밀리, 보증 컴포넌트로 분류되며, 보호프로파일 및 보안목표명세서에 대한 평가기준을 정의한다.