물리적 측면(제품/기술 평가 체계)

구분	무엇인가	등장/배경	평가대상/단위	등급·구조	핵심 포인트(쉽게)	결과물/인정	한계/주의
TCSEC (Orange Book)	미 국방성 컴퓨터 보안 평가 기준	1980s, 군/정부 중심 기밀성 보호	운영체제 등 제품 자체	D → C1/C2 → B1/B2/B3 → A1 (높을수록 강한 보증·통제)	기밀성 중심, MAC/DAC·감사·신뢰경로 등 요구	등급 부여(예: C2 인증 OS)	가용성·현실 운용성은 상대적 약점, 현대 환경 반영 한계
ITSEC	유럽식 보안 평가 기준	1990s, TCSEC 한계 보완	제품/시스템	기능성(F)과 보증(E) 2축 분리, E1~E6	“무엇을 하나(기능)”와 “얼마나 믿을만한가(보증)”를 분리 평가	국가별 인증서	국가/버전별 차이, 상호인정 어려움
CC (Common Criteria, ISO/IEC 15408)	국제 표준 보안 평가 기준	1999~ 현재, CC 상호인정 체계(CCRA)	TOE(평가대상) = 제품/시스템/모듈	EAL1~EAL7, PP(보호프로파일), ST(보안목표명세)	전 세계 공통 언어로 보안 요구사항을 명확화하고 상호인정	CC 인증서, PP 적합성	높은 EAL은 비용·기간 부담, 보안성=EAL 높음은 아님(적합성이 핵심)

한 줄 정리: TCSEC(기밀성·등급식) → ITSEC(기능·보증 분리) → CC(국제표준·PP/ST·EAL) 로 진화했습니다.

관리적 측면(조직의 보안·개인정보 관리 체계)

구분	무엇인가	적용범위	구성/문서	핵심 포인트(쉽게)	인증/심사	한계/주의
BS 7799	영국의 ISMS 시초 표준	조직 전반 보안 관리	Part 1(모범 규정) → 이후 ISO/IEC 27002로 발전, Part 2(요구사항) → ISO/IEC 27001로 발전	현대 ISMS의 원형. 정책·조직·자산·접근통제 등 관리 통제사전	(현재는 ISO 규격으로 계승)	원 표준은 역사적 의미, 최신은 ISO 27000 시리즈 참조
ISO/IEC 27000 시리즈	국제 정보보호 관리체계 표준군	조직 전반(산업/규모 무관)	27001(인증 요구사항), 27002(통제목록 가이드), 27005(위험관리), 27017/27018(클라우드/PII) 등	위험 기반으로 목표·통제 선택 → PDCA로 운용	27001 인증(외부심사)	문서화·운영 증빙 필요, 조직 현실에 맞는 통제 선정이 중요
ISMS-P (대한민국)	정보보호 + 개인정보보호 통합 인증	한국 내 조직(의무대상/자율신청)	ISMS(관리·보호대책) + 개인정보 보호 요구를 통합	보안 관리체계에 개인정보 라이프사이클(수집~파기)을 얹은 국내 통합 프레임	KISA 주관·PIPC 관계, 공식 인증서 발급	법·고시 개정 추적 필요, 범위 설정·개인정보 흐름 식별이 관건

한 줄 정리: 조직 운영은 ISO 27001/27002가 글로벌 표준, 한국에선 ISMS-P가 보안+개인정보를 한 번에 다룹니다.

암기: 티(TCSEC)–아이(ITSEC)–씨씨(CC) = 등급식 → 기능/보증 분리 → 국제표준(EAL).

BS 7799: ISMS의 시초 → 27001/27002로 발전
ISO/IEC 27000 시리즈: 27001(요구사항, 인증) / 27002(통제 가이드) / 27005(위험) / 27017·27018(클라우드/PII)
ISMS-P(대한민국): ISMS + 개인정보보호 통합 인증, KISA·PIPC 관여

암기: BS→ISO(27001/27002), 한국은 ISMS-P(보안+개인정보).