신기술, 융·복합 제품에 대해 최소한의 절차와 인증 기준으로 보안 제품을 평가한 뒤 평가 기준이 마련될 때까지 공공부문에 제품을 적용할 수 있도록 하는 제도

기존 인증제도에서 평가기준이 없는 신기술 및 융·복합제품의 공공시장 진입
※ 정부·공공기관의 혁신 제품 도입을 통한 신규 보안 위협 대응 등 국가 사이버 위협 대응역량 강화

< 신속확인 절차 >

1. 대상 검토

(기존제도 검토) 제품이 기존 인증제도에서 평가가능한지 판별(신청인은 ①신속확인 대상여부 검토요청서와 주요기능을 확인할 수 있는 ②제품기능설명서를

신속확인기관에 제출 필요)

      ※ 신청 제품의 국가용 보안요구사항 및 국가용 보호프로파일(PP) 유무를 검토하여 ‘신속확인 대상여부 검토결과 통지서’ 발급

(신속확인 준비) 신속확인 대상임을 통보받은 신청인은 신속확인 신청을 위해 보안점검(①취약점 점검, ②소프트웨어 보안약점 진단) ③기능시험 추진

※ 보안점검 및 기능시험 기관은 신청인과 이해관계가 없는 제3자 기관 선택

2. 신속 확인

(신속확인 신청) 신청인은 ①신청서와 ②취약점 분석ㆍ평가 결과서, ③소프트웨어 보안약점 진단 확인서, ④기능시험 확인서(또는 소프트웨어 품질인증서),

⑤법인사업자등록증, ⑥ 신청기관 준수사항 서약서 등을 첨부하여 신속확인 신청

(신속확인 심의) 심의위원회에서 제품의 검토결과와 기업발표를 통해 심의·의결

(확인서 발급) 심의결과가 적합인 경우 확인서 발급(유효기간 2년)

3. 사후 관리

(변경 승인) 제품 변경 시 취약점 점검과 소스코드 보안약점 진단을 통해 결과 확인 후 변경 승인

(유효기간 연장) 기존 인증제도를 검토해 취약점 점검 후 기간 연장

(이의 신청) 신속확인 과정에서 이의가 있을 경우 심의위원회에서 심의를 통해 처리

(기준 마련) 신속확인 제품이 기존 제도에서 평가기준(국가용 보안 요구사항)이 마련되면 연장은 불가능하고 유효기간 만료 후 종료

신속확인서를 발급받은 정보보호제품은 ‘나’, ‘다’ 그룹에 편성된 기관(공공분야)에 보안적합성 검증 없이 도입 가능

1. ‘가’그룹 기관의 경우 국가정보원의 ‘보안적합성 검증‘ 받으면 신속확인 제품 도입 가능

2. 세부사항은 국가사이버안보센터(ncsc.go.kr) 홈페이지에 게시된＇공공분야 IT보안제품 新 보안적합성 검증체계 개선‘ 참고 바로가기