ISMS-P

ISMS-P 항목 살펴보기 | I. 관리체계 수립 및 운영 - 1.2 위험관리

영차영차33 2020. 10. 22. 22:05

오늘은 1.2 위험관리 분야에 대해서 암기할 내용을 정리하겠다. 


 

 

ISMS-P 항목 살펴보기 | I. 관리체계 수립 및 운영 - 1.2 위험관리

 

1.2.1 정보자산 식별

<주요 확인사항>

  • 정보자산 분류기준을 수립하여 관리체계 범위 내의 모든 정보자산을 식별하여 목록화
  • 식별된 정보자산에 대해 법적 요건 및 업무 영향도 등을 고려하여 중요도를 결정하고 보안등급을 부여
  • 정기적으로 정보자산 현황을 조사하여 최신성을 유지

<자산 목록에 포함되어야 하는 정보>

  • 자산명
  • 용도
  • 위치
  • 관리자
  • 관리부서

<보안등급 산정 기준(예시)>

  • 기밀성, 무결성, 가용성, 법적 준거성 등에 따른 중요도 평가
  • 서비스 영향, 이익 손실, 고객 상실, 대외 이미지 손상 등을 고려

<결함 사례>

  • 주요 PC를 통제하는 데 사용되는 내부정보 유출 통제 시스템이 누락된 경우
  • 범위 내 제삼자에게 제공받은 개인정보가 있으나 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우
  • 내부지침에 명시된 자산 분류기준과 자산관리대장의 분류 기준이 상이한 경우

1.2.2 현황 및 흐름 분석

<주요 확인사항>

  • 관리체계 전 영역의 정보서비스 현황을 식별하고, 업무 절차 및 흐름을 파악하고 문서화 
  • 관리체계 범위 내 개인정보처리현황을 식별하고 개인정보 흐름을 파악하고 흐름도 작성
  • 서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 주기적으로 검토하여 최신성 유지

<정보서비스 흐름도 예시>

 

<개인정보 흐름표 작성 예시>

<개인정보 흐름도 예시>

<결함 사례>

  • 관리체계 범위 내 주요 서비스의 업무절차, 흐름, 현황이 문서화되지 않은 경우
  • 개인정보 흐름도를 작성하였으나 실제 개인정보 흐름과 상이한 부분이 다수 존재하거나 중요한 개인정보 흐름이 누락된 경우
  • 최초 개인정보 흐름도 작성 후 현행화하지 않아 변화 한 개인정보 흐름이 반영되지 않은 경우

1.2.3 위험평가

<주요 확인사항>

  • 위험을 식별하고 평가할 수 있는 방법을 정의
  • 위험 관리 방법, 절차를 구체화 한 위험관리 계획을 매년 수립
  • 위험관리 계획에 따라 연 1회 이상 위험평가 수행
  • 수용 가능한 목표 위험 수준(DOA)을 결정하고 그 수준을 초과하는 위험 식별
  • 위험식별 및 평가 결과를 경영진에게 보고

<결함 사례>

  • 수립된 위험관리계획서에 위험관리 수행 인력, 소요예산 등 구체적인 실행계획 누락
  • 전년도에 위험평가 수행 이후, 금년도에 자산변동사항이 없다고 위험평가 수행을 하지 않은 경우
  • 범위 내 주요 정보자산에 대해 위험평가를 수행하지 않았거나 법적 준거성 관련 위험을 식별하지 않은 경우
  • 위험관리 계획에 따라 위험평가 수행하고 목표위험수준(DOA)을 산정하였으나 경영진에게 보고하지 않은 경우

1.2.4 보호대책 선정

<주요 확인사항>

  • 식별된 위험에 대한 처리 전략(위험 감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책 선정
  • 보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에게 보고

<결함 사례>

  • 보호대책 이행계획을 수립하였으나 경영진에게 보고하지 않은 경우
  • 위험 감소가 요구되는 일부 위험에 대한 이행계획을 누락한 경우
  • 이행계획 시행 결과를 경영진에게 보고하였으나, 일부 미이행된 건에 대한 사유 보고나 후속조치를 하지 않은 경우