오늘은 1.2 위험관리 분야에 대해서 암기할 내용을 정리하겠다.
ISMS-P 항목 살펴보기 | I. 관리체계 수립 및 운영 - 1.2 위험관리
1.2.1 정보자산 식별
<주요 확인사항>
- 정보자산 분류기준을 수립하여 관리체계 범위 내의 모든 정보자산을 식별하여 목록화
- 식별된 정보자산에 대해 법적 요건 및 업무 영향도 등을 고려하여 중요도를 결정하고 보안등급을 부여
- 정기적으로 정보자산 현황을 조사하여 최신성을 유지
<자산 목록에 포함되어야 하는 정보>
- 자산명
- 용도
- 위치
- 관리자
- 관리부서
<보안등급 산정 기준(예시)>
- 기밀성, 무결성, 가용성, 법적 준거성 등에 따른 중요도 평가
- 서비스 영향, 이익 손실, 고객 상실, 대외 이미지 손상 등을 고려
<결함 사례>
- 주요 PC를 통제하는 데 사용되는 내부정보 유출 통제 시스템이 누락된 경우
- 범위 내 제삼자에게 제공받은 개인정보가 있으나 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우
- 내부지침에 명시된 자산 분류기준과 자산관리대장의 분류 기준이 상이한 경우
1.2.2 현황 및 흐름 분석
<주요 확인사항>
- 관리체계 전 영역의 정보서비스 현황을 식별하고, 업무 절차 및 흐름을 파악하고 문서화
- 관리체계 범위 내 개인정보처리현황을 식별하고 개인정보 흐름을 파악하고 흐름도 작성
- 서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 주기적으로 검토하여 최신성 유지
<정보서비스 흐름도 예시>
<개인정보 흐름표 작성 예시>
<개인정보 흐름도 예시>
<결함 사례>
- 관리체계 범위 내 주요 서비스의 업무절차, 흐름, 현황이 문서화되지 않은 경우
- 개인정보 흐름도를 작성하였으나 실제 개인정보 흐름과 상이한 부분이 다수 존재하거나 중요한 개인정보 흐름이 누락된 경우
- 최초 개인정보 흐름도 작성 후 현행화하지 않아 변화 한 개인정보 흐름이 반영되지 않은 경우
1.2.3 위험평가
<주요 확인사항>
- 위험을 식별하고 평가할 수 있는 방법을 정의
- 위험 관리 방법, 절차를 구체화 한 위험관리 계획을 매년 수립
- 위험관리 계획에 따라 연 1회 이상 위험평가 수행
- 수용 가능한 목표 위험 수준(DOA)을 결정하고 그 수준을 초과하는 위험 식별
- 위험식별 및 평가 결과를 경영진에게 보고
<결함 사례>
- 수립된 위험관리계획서에 위험관리 수행 인력, 소요예산 등 구체적인 실행계획 누락
- 전년도에 위험평가 수행 이후, 금년도에 자산변동사항이 없다고 위험평가 수행을 하지 않은 경우
- 범위 내 주요 정보자산에 대해 위험평가를 수행하지 않았거나 법적 준거성 관련 위험을 식별하지 않은 경우
- 위험관리 계획에 따라 위험평가 수행하고 목표위험수준(DOA)을 산정하였으나 경영진에게 보고하지 않은 경우
1.2.4 보호대책 선정
<주요 확인사항>
- 식별된 위험에 대한 처리 전략(위험 감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책 선정
- 보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에게 보고
<결함 사례>
- 보호대책 이행계획을 수립하였으나 경영진에게 보고하지 않은 경우
- 위험 감소가 요구되는 일부 위험에 대한 이행계획을 누락한 경우
- 이행계획 시행 결과를 경영진에게 보고하였으나, 일부 미이행된 건에 대한 사유 보고나 후속조치를 하지 않은 경우
'ISMS-P' 카테고리의 다른 글
ISMS-P 오답노트 1 (0) | 2020.10.31 |
---|---|
ISMS-P 항목 살펴보기 | I. 관리체계 수립 및 운영 - 1.3 관리체계 운영, 1.4 관리체계 점검 및 개선 (0) | 2020.10.24 |
ISMS-P 항목 살펴보기 | I. 관리체계 수립 및 운영 - 1.1 관리체계 기반 마련 (0) | 2020.10.18 |
ISMS-P 개인정보보호법 주요내용 정리(6) 제29조 ~ 제32조 (0) | 2020.09.22 |
ISMS-P 개인정보보호법 주요내용 정리(5) 제23조 ~ 제28조 (0) | 2020.09.16 |