정보보호 인증 및 평가 기준 정리

🇰🇷 국내 인증 제도

ISMS (Information Security Management System)

• 명칭: 정보보호 관리체계 인증
• 목적: 조직의 정보자산 보호를 위한 관리체계 구축·운영 인증
• 대상: 정보통신서비스 제공자, IDC 등

PIMS (Personal Information Management System)

• 명칭: 개인정보보호 관리체계 인증
• 목적: 개인정보의 안전한 처리·보호를 위한 관리체계 인증
• 대상: 개인정보 처리 기업

ISMS-P

• 명칭: 정보보호 및 개인정보보호 관리체계 인증
• 목적: ISMS + PIMS 통합 인증 (2018년 통합)
• 특징: 정보보호와 개인정보보호를 동시에 관리
• 대상: 일정 규모 이상 정보통신서비스 제공자 의무 인증

---

국제 보안 평가 기준

TCSEC (Trusted Computer System Evaluation Criteria)

• 국가: 미국 (DoD)
• 별칭: Orange Book (오렌지북)
• 등급: D → C1 → C2 → B1 → B2 → B3 → A1 (7단계)
• 특징: 최초의 체계적 보안 평가 기준 (1983)

ITSEC (Information Technology Security Evaluation Criteria)

• 국가: 유럽 (영국, 프랑스, 독일, 네덜란드)
• 등급: E0 → E1 → E2 → E3 → E4 → E5 → E6 (7단계)
• 특징: 기능성(F)과 보증성(E)을 분리 평가, TCSEC의 단점 보완

CC (Common Criteria)

• 명칭: 정보보호시스템 공통평가기준
• 국가: 국제 표준 (ISO/IEC 15408)
• 등급: EAL 1 ~ EAL 7 (Evaluation Assurance Level)
• 특징:
  • TCSEC, ITSEC 등을 통합한 국제 표준
  • 현재 가장 널리 사용되는 평가 기준
  • 상호 인증 협정 체결국 간 인증 결과 상호 인정

---

비교표

구분	지역/국가	특징	현재 상태
ISMS	🇰🇷 한국	정보보호 관리체계	운영 중
PIMS	🇰🇷 한국	개인정보보호 관리체계	ISMS-P로 통합
ISMS-P	🇰🇷 한국	정보보호+개인정보보호 통합	현행 제도
TCSEC	🇺🇸 미국	오렌지북, 최초 평가 기준	사실상 종료
ITSEC	🇪🇺 유럽	기능성·보증성 분리 평가	CC로 대체
CC	🌐 국제	국제 표준 통합 평가 기준	현재 주류