이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?
Home > 신고포상제 > 공동 운영 제도
공동 운영 제도
- 민간 기업에서 버그바운티를 도입하려 하나 기반 마련이 어려울 때, KISA가 수년간 버그바운티를 운영한 경험을 바탕으로 기업이 자체적으로 버그 바운티를 운영할 수 있도록 단계적으로 지원하는 제도
- 공동운영사로 참여하는 업체는 취약점 평가회의에 참석하여 적성성을 논의하고 결정된 포상금을 지급
공동 운영 이점
- 기업 버그바운티 운영을 위한 단계적 지원 활용(평가체계 등)
※ KISA에서 취약점 접수, 분석, 검증, 평가를 지원하며 추후 자체적으로 운영할 수 있도록 단계별로 독립
- 국제표준식별체계 CVE 발급이 필요한 경우, MITRE 연계 서비스 제공
- 공동운영사로 참여하는 업체는 KISA 취약점 포탈 홈페이지에 정보보호 활동 강화 기업 홍보
- 클라우드 기반 보안 취약점 분석 플랫폼 서비스 제공
공동 운영을 위한 협약 절차
-
- KISA 공동운영사 신고포상제 운영 안내 회의
- - 신고 포상제 현황, 평가체계 소개
- - 참여 기업 취약점 신고 현황 및 에상 포상금 추이
-
- 참여 기업 내부 결정 사항
- - 포상 대상 범위 설정 필요
- - 포상금 예산 확보(제조사 평균 신고건수, 파급도 고려)
-
- KISA, 참여 기업 신고포상제 공동운영 협약 체결
- - KISA, 공동운영사 협약 서명(대면보고/서면보고)
- - (가능한 경우) 언론보도 홍보, 취약점 포탈 홈페이지에 정보보호 활동 강화 기업 홍보
-
- 공동운영사 분기별 신고포상제 평가위원으로 참여
- - 3, 6, 9, 12월 둘째 주에 신고포상제 회의 개최
- - (각 분기에 해당 제조사 취약점이 신고된 경우) 평가위원으로 참석
- - KISA 내부 평가 자료 검토 및 평가위원들과 최종 포상금 조정
-
- 공동운영사 포상 대상 신고자에게 포상금 수여
- - 최종평가 회의 후 KISA측에서 신고자 정보, 제조사 취약점 평가결과 전달
- - 공동운영사에서 신고자 포상금 지급