토픽 123 / 128·비교표
## Part 4: 보안 인증 및 규제
ISMS vs ISMS-P vs ISO 27001
| 항목 | ISMS | ISMS-P | ISO 27001 |
|---|
| 범위 | 정보보호(80개 기준) | 정보보호+개인정보(101개) | 국제 정보보안(93개 통제) |
| 적용 | 국내 법정 인증 | 국내 통합 인증 | 글로벌 인증 |
| 의무 | ISP/IDC/매출100억+ | 자율(일부 의무) | 자율 |
| 사이클 | PDCA | PDCA | PDCA |
ISO 27001 vs ISO 27002 vs SOC 2 vs ISMS-P
| 항목 | ISO 27001 | ISO 27002 | SOC 2 | ISMS-P |
|---|
| 성격 | ISMS 인증 | 통제 구현 가이드 | 감사 보고서 | 국내 통합 인증 |
| 통제 | 93개(4도메인) | 93개 상세 지침 | 5원칙(TSC) | 101개 기준 |
SOC 1 vs SOC 2 vs SOC 3
| 항목 | SOC 1 | SOC 2 | SOC 3 |
|---|
| 초점 | 재무보고 관련 내부통제 | 보안/가용성/무결성/기밀성/프라이버시 | SOC 2 공개용 요약 |
| 대상 | 재무 감사인/고객 | 고객/감사인/관계자 | 일반 공개 |
| 상세도 | 상세 | 상세 | 요약 |
PCI DSS vs HIPAA vs SOX
| 항목 | PCI DSS | HIPAA | SOX |
|---|
| 대상 | 카드 결제 산업 | 의료(미국) | 상장기업 재무보고 |
| 초점 | 카드 데이터 보안 | 의료정보 보호 | 내부통제/투명성 |
| 요구사항 | 12가지 보안 요건 | 프라이버시+보안 규칙 | 302/404조 인증 |
| 준수 | Level 1~4(거래량) | 의무 | 경영진 인증 의무 |
CC인증 vs KCMVP vs GS인증
| 항목 | CC인증 | KCMVP | GS인증 |
|---|
| 대상 | 보안제품(국제) | 암호모듈(국내) | SW 품질(국내) |
| 등급 | EAL1~7 | 검증필 | 1등급/2등급 |
| 기관 | CCRA 국제 | 국가정보원 | TTA |
CC인증 vs 신속 확인제도
| 항목 | CC인증 | 신속 확인제도 |
|---|
| 평가 기간 | 6~12개월 | 2~3개월 |
| 보증 수준 | EAL1~7 (높음) | 기본 보안 기능 확인 |
| 비용 | 높음 | 상대적 저렴 |
| 적용 대상 | 전통 보안 제품 | 신기술/신제품 |
| 유효 기간 | 3년 | 2년 |
KCMVP vs FIPS 140-2/3
| 항목 | KCMVP | FIPS 140-2 | FIPS 140-3 |
|---|
| 지역 | 한국(국정원) | 미국(NIST) | 미국(NIST) |
| 기반 | KS X ISO 19790 | 독자 규격 | ISO 19790/24759 |
| 비침투 보안 | - | 선택 | 필수(Level 3+) |
CSAP vs CSA STAR vs ISO 27017
| 항목 | CSAP | CSA STAR | ISO 27017 |
|---|
| 범위 | 국내 클라우드 | 국제 클라우드 | 클라우드 보안(국제) |
| 대상 | 공공 납품 시 필수 | 자율 | 자율 |
| 등급 | 상/중/하 | Bronze/Silver/Gold | - |
정보보호 관리등급제 vs ISMS-P vs 정보보호 공시제도
| 항목 | 관리등급제 | ISMS-P | 공시제도 |
|---|
| 성격 | 등급 평가 | 인증 | 공시 의무 |
| 목적 | 수준 비교/선택 | 관리체계 인증 | 투명성 확보 |
| 결과 | 등급(상/중/하) | 인증서 발급 | 공시 정보 공개 |
정량적 vs 정성적 위험분석
| 항목 | 정량적 분석 | 정성적 분석 |
|---|
| 표현 | 금액(ALE=SLE*ARO) | 등급(상/중/하) |
| 장점 | 객관적 | 적용 용이 |
| 단점 | 데이터 수집 어려움 | 주관적 |