정보 보호 시스템의 평가 기준

• 개요
  • 정보 보호 시스템에 대한 안전성과 신뢰성을 보증하기 위해 공신력 있는 제3자로 부터 객관적이고 공정한 평가를 통해 검증된 정보 보호 시스템 사용을 권장함으로써 정보의 불법적 유출이나 해킹, 바이러스와 같은 정보화 역기능으로부터 안전한 정보화 사회를 구현하는 데 목적이 있음
  • 선진국의 경우 1980년부터 IT 시스템 및 정보를 보호하기 위해 자국의 환경에 맞는 정보 보호 시스템 평가 기준을 제정하고 평가에 적용
       
• 국내.외 평가 기준 현황
  • 미국
    1983년 오렌지북이라는 TCSEC(Trusted Computer System Evaluation Criteria)을 개발하였고, 국방 기관 및 정보 기관이 안전성 및 신뢰성이 입증된 운영체제를 도입하여 활용
  • 캐나다
    CTCPEC(Canadian Trusted Computer Product Evaluation Criteria)
  • 영국을 비롯한 유럽 국가
    ITSEC(Information Technology Security Evaluation Criteria)
  • 기타
    • 국제적으로 CC(Common Criteria)가 국제 표준으로 제정되어 있어 평가에 활용
    • 선진국들은 CC를 이용해 국가별로 평가받은 제품에 대하여 효력을 상호 인정하는 CCRA 협정을 체결
    • 평가 결과를 국가 간 상호인정하여 정보 보호 제품의 수.출입 및 다양한 평가 제품의 활용이라는 측면에서 소비자의 욕구를 만족