한국인터넷진흥원

신기술 및 융·복합 정보보호제품 신속확인 제도

사이트 바로가기

정보보호제품 신속확인 제도

• 신기술 및 융·복합 정보보호제품에 대해 최소한의 절차와 인증 기준으로 보안 제품을 평가한 뒤 평가 기준이 마련될 때까지 공공부문에 제품을 적용할 수 있도록 하는 제도

신속확인 절차

• 대상 검토
  

  기존제도 검토 : 제품이 기존 인증제도에서 평가가능한지 판별
  신청인은 ① 신속확인 대상여부 검토요청서, ② 제품 기능설명서를 신속확인기관에 제출
  ※ 신청 제품의 국가용 보안요구사항 및 국가용 보호프로파일(PP) 유무 등을 검토하여 ‘신속확인 대상여부 검토결과 통지서’발급

  신속확인 준비 : 신속확인 대상임을 통보받은 신청인은 신속확인 신청을 위해 보안점검(① 취약점 점검, ② 소프트웨어 보안약점 진단 확인서), ③ 기능시험 추진
  ※ 보안점검 및 기능시험 기관은 신청인과 이해관계 없는 제3자 기관 선택

• 신속 확인
  

  신속확인 신청 : 신청인은 ① 신청서, ② 취약점 분석·평가 결과서, ③ 소프트웨어 보안약점 진단 확인서, ④ 기능시험 확인서(또는 소프트웨어 품질인증서),
         ⑤ 법인사업자등록증, ⑥ 신청기관 준수사항 서약서, ⑦ 정보 제공·공개 동의서, ⑧ 제품 기능설명서를 첨부하여 신속확인 신청

  신속확인 심의 : 심의위원회에서 제품의 검토결과와 기업발표를 통해 심의·의결

  확인서 발급 : 심의결과 ‘적합’인 경우 확인서 발급(유효기간 2년)

• 사후 관리
  

  변경 승인 : 제품 변경 시 취약점 점검과 소스코드 보안약점 진단을 통해 결과 확인 후 변경 승인

  유효기간 연장 : 기존 인증제도를 검토해 취약점 점검 후 기간 연장

  이의 신청 : 신속확인 과정에서 이의가 있을 경우 심의위원회에서 심의를 통해 처리

  기준 마련 : 신속확인 제품이 기존 제도에서 평가기준(국가용 보안 요구사항)이 마련되면 연장은 불가능하고 유효기간 만료 후 종료

정보보호제품 신속확인 도입요건

• 신속확인서를 발급받은 정보보호제품은 ‘나’, ‘다’그룹에 편성된 기관(공공분야)에 보안적합성 검증 없이 도입 가능
  ※ ‘가’그룹 기관의 경우 국가정보원의 ‘보안적합성 검증’ 받으면 신속확인 제품 도입 가능
  ※ 세부사항은 국가사이버안보센터(ncsc.go.kr) 홈페이지에 게시된 ‘공공분야 IT보안제품 新 보안적합성 검증체계 개선’ 참고