[이미지 출처: Information Security SP800-53, p21]
번호 |
측정지표 |
측정대상 |
측정방법 |
증빙요구자료 |
1 |
보안 예산 측정 |
정보시스템 예산에서 정보보호 관련 예산 | (정보보호예산 / 기관의 총 정보기술 예산) * 100 | 조직 예산 문서 |
2 |
취약점 측정 |
조직이 정한 시간 내에 완화된 취약점 비율 | (완화된 취약점 수 / 식별된 취약점 수) * 100 | 취약점 진단 도구, 감사 로그, 취약점 관리 시스템 등 |
3 |
원격 접근 제어 측정 |
비허가 접근을 얻을 수 있는 원격 접근 지점 | (비허가 접근을 얻을 수 있는 원격 접근 지점 수 / 총 원격 접근 지점 수) * 100 | 사고 데이터베이스, 감사로그, 네트워크 다이어그램, IDS 로그 및 정보 |
4 |
보안 교육 측정 |
보안 교육을 받은 정보 시스템 보안 인력 | (지난 해 보안 훈련을 완료한 정보시스템 보안 인력 수 / 총 정보시스템 보안 인력 수) * 100 | 훈련 및 교육(인식) 추적 기록 |
5 |
감사 기록 검토 측정 |
부적절한 행위에 대한 감사 기록 검토와 분석의 평균 빈도 | 보고 기간 동안 평균 빈도 | 감사 로그 보고서 |
6 |
증명서 & 승인완료 측정 |
구현 전에 증명과 승인 완료된 새로운 시스템의 비율 | (권한 부여 임원(AO)으로부터 증명서&승인 완료된 새로운 시스템 수 / 새로운 시스템의 총 수) * 100 | 시스템 목록, 시스템 증명서&승인문서 |
7 |
설정 변경 측정 |
승인되어 구현된 설정 변경 비율 | (승인되어 구현된 설정 변경 수 / 자동 검색을 통한 설정 변경의 총 수) * 100 | 시스템 보안 계획, 설정 관리 데이터베이스, 보안 툴 로그 |
8 |
비상 계획 시험 점검 측정 |
정보 시스템에 매년 수행되는 비상 계획 점검 | (매년 비상 계획을 점검하는 정보 시스템의 수 / 시스템 목록의 정보 시스템의 수) * 100 | 비상 계획 점검 결과 |
9 |
사용자 계정 측정 |
공유계정으로 접근하는 사용자 비율 | (공유계정으로 접근하는 사용자의 수 / 총 사용자의 수) * 100 | 설정 관리 데이터베이스, 접근 제어 목록, 시스템이 생성한 사용자 ID 리스트 |
10 |
사고 대응 측정 |
사고 별 요구 시간 내에 보고 된 사고 비율 | (각 사고 유형별(시간 내에 보고 된) 사고의 수 / 총 보고된 사고의 수) * 100 | 사고 기록, 사고 추적 데이터베이스 |
11 |
유지 보수 측정 |
정식 유지 보수 일정에 따라서 유지 보수된 시스템 구성 요소 비율 | (일정에 맞게 유지 보수된 시스템 구성 요소의 수 / 총 시스템 구성 요소의 수) * 100 | 유지 보수 일정, 유지 보수 기록 |
12 |
미디어 처리 측정 |
FIPS 199 High Impact 시스템의 처리 절차를 통과한 미디어 비율 | (처리 절차를 통과한 미디어의 수 / 점검한 총 미디어의 수) * 100 | 미디어 처리 결과 |
13 |
물리적 보안 사고 측정 |
시설 내의 정보 시스템에 허용된 비 허가 개체의 물리 보안 사고 비율 | (정보 시스템 허용된 비 허가 개체의 물리 보안 사고의 수 / 총 물리 보안 사고의 수) * 100 | 물리 보안 사고 결과, 물리 접근 통제 로그 |
14 |
계획 측정 |
규정을 숙지하고 서명하여 정보 시스템 접근 허가된 직원의 비율 | (규정에 서명하여 시스템 접근 승인된 사용자 수 / 총 시스템 사용자 수) * 100 | 규정 기록물 보관소 |
15 |
인적 보안 차단 측정 |
조직 정보와 정보 시스템 접근 승인 전의 개인 차단 비율 | (차단된 개인의 수 / 총 접근한 개인의 수) * 100 | 승인 기록, 접근 제어 목록 |
16 |
위험 평가 취약점 측정 |
조직에서 정의한 특정 시간 내에 개선한 취약점 비율 | (조치 일정에 따라 개선된 취약점 수 / 취약점 점검으로 식별된 취약점 수) * 100 | 조치일정(POA&M), 취약점 점검 보고서 |
17 |
서비스 구입 계약 측정 |
보안 요구사항과 스펙을 포함한 시스템 및 서비스 구입 계약 비율 | (보안 요구사항과 스펙을 포함한 시스템 및 서비스 구입 계약 수 / 총 시스템 및 서비스 구입 계약 수) * 100 | 서비스 구입 계약서 |
18 |
시스템 및 통신 보호 측정 |
FIPS 140-2에서 입증된 암호모듈과 운영모드를 사용하는 모바일 기기 비율 | (FIPS 140-2에서 입증된 암호화 기술을 사용하는 모바일 기기 수 / 총 모바일 기기 수) * 100 | 시스템 보안 계획 |
19 |
시스템 정보 무결성 측정 |
패치 되었거나 완화된 운영 시스템 취약점 비율 | (해당 없음, 승인된 포기, 패치 등의 권고와 분산된 경보로 해결된 취약점 수 / 경보와 권고, 취약점 점검을 통해 식별된 총 취약점 수) * 100 | 취약점 점검, 조치일정(POA&M), 경보와 권고 보관소, 위험 측정 |
