발급절차 안내 개정판 배포
[정보통신신문=박광하기자]
국가정보원은 정보통신기술(ICT) 산업계의 보안기능 확인서 발급과 관련한 이해도 제고를 위해 제반 사항을 설명한 '보안기능 확인서 발급절차 안내' 개정판(v1.7)을 최근 배포했다.
이번 개정판에는 '국내용 CC 인증제품에 대한 발급절차'가 추가됐다.
추가된 내용을 살펴보면, 국내용 CC 평가·인증과정에서 국가용 보안요구사항 만족이 확인돼 IT보안인증사무국장이 발급한 국내용 CC 인증서를 획득한 제품은 보안기능 확인서 발급에 필요한 보안기능 시험과 제출문서 제출이 생략된다.
국내용 CC 인증서란 과학기술정보통신부의 '정보보호제품 평가·인증 수행규정' 중 '정보보호제품 국내용 평가·인증 세부 수행졀차'에서 규정된 절차에 따라 발급된 인증서다.
개정판은 국내용 CC 인증제도에 의한 평가·인증결과의 인정·대체 가능 범위를 자세히 설명했다.
예를 들어, 국내용 CC 인증 제출문서인 '사용자운영 설명서 및 준비절차서'는 보안기능 시험 제도의 '제품 설명서'와 '보안기능 운용설명서' 등으로 인정된다. 또한, 'TOE 설계서'는 '보안기능 구현명세서'로, '시험서'는 '자체 시험결과서'로, '취약점 분석서'는 '취약점 개선내역서'로 각각 인정받을 수 있다.
국내용 CC 인증의 보안기능 시험인 '보안기능 평가'는 보안기능 시험 제도의 '국가용 보안요구사항에 따른 시험'으로 인정된다.
국내용 CC 인증서를 보유한 기관(업체)은 동일 제품에 대한 보안기능 확인서를 발급받고자 할 경우, 신청 제품을 평가한 CC 평가기관에 보안기능 시험을 신청하면 된다.
만약, 신청 제품을 평가한 평가기관이 보안기능 시험 제도의 시험기관 자격이 없거나 정지돼 있다면 검증기관과 협의할 수 있다.
시험기관은 신청 업체가 국내용 CC 평가·인증을 위해 제출한 제출문서의 보안기능 시험 활용에 대한 동의를 받아 해시값 비교 등을 통해 동일 제품 여부를 확인한 후, 검증기관 검토없이 보안기능 확인서를 발급할 수 있다.