위험관리 방법 및 계획 기준

오늘은 1.2 위험관리 분야에 대해서 암기할 내용을 정리하겠다.

목차 Show

1.2.1 정보자산 식별
1.2.2 현황 및 흐름 분석
1.2.3 위험평가
1.2.4 보호대책 선정
ISMS-P 인증 기준 1.2.3.위험 평가
개요[편집 | 원본 편집]
세부 설명[편집 | 원본 편집]
증거 자료[편집 | 원본 편집]
결함 사례[편집 | 원본 편집]
같이 보기[편집 | 원본 편집]
참고 문헌[편집 | 원본 편집]

1.2.1 정보자산 식별

<주요 확인사항>

정보자산 분류기준을 수립하여 관리체계 범위 내의 모든 정보자산을 식별하여 목록화
식별된 정보자산에 대해 법적 요건 및 업무 영향도 등을 고려하여 중요도를 결정하고 보안등급을 부여
정기적으로 정보자산 현황을 조사하여 최신성을 유지

<자산 목록에 포함되어야 하는 정보>

자산명
용도
위치
관리자
관리부서

<보안등급 산정 기준(예시)>

기밀성, 무결성, 가용성, 법적 준거성 등에 따른 중요도 평가
서비스 영향, 이익 손실, 고객 상실, 대외 이미지 손상 등을 고려

<결함 사례>

주요 PC를 통제하는 데 사용되는 내부정보 유출 통제 시스템이 누락된 경우
범위 내 제삼자에게 제공받은 개인정보가 있으나 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우
내부지침에 명시된 자산 분류기준과 자산관리대장의 분류 기준이 상이한 경우

1.2.2 현황 및 흐름 분석

<주요 확인사항>

관리체계 전 영역의 정보서비스 현황을 식별하고, 업무 절차 및 흐름을 파악하고 문서화
관리체계 범위 내 개인정보처리현황을 식별하고 개인정보 흐름을 파악하고 흐름도 작성
서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 주기적으로 검토하여 최신성 유지

<정보서비스 흐름도 예시>

<개인정보 흐름표 작성 예시>

<개인정보 흐름도 예시>

<결함 사례>

관리체계 범위 내 주요 서비스의 업무절차, 흐름, 현황이 문서화되지 않은 경우
개인정보 흐름도를 작성하였으나 실제 개인정보 흐름과 상이한 부분이 다수 존재하거나 중요한 개인정보 흐름이 누락된 경우
최초 개인정보 흐름도 작성 후 현행화하지 않아 변화 한 개인정보 흐름이 반영되지 않은 경우

1.2.3 위험평가

<주요 확인사항>

위험을 식별하고 평가할 수 있는 방법을 정의
위험 관리 방법, 절차를 구체화 한 위험관리 계획을 매년 수립
위험관리 계획에 따라 연 1회 이상 위험평가 수행
수용 가능한 목표 위험 수준(DOA)을 결정하고 그 수준을 초과하는 위험 식별
위험식별 및 평가 결과를 경영진에게 보고

<결함 사례>

수립된 위험관리계획서에 위험관리 수행 인력, 소요예산 등 구체적인 실행계획 누락
전년도에 위험평가 수행 이후, 금년도에 자산변동사항이 없다고 위험평가 수행을 하지 않은 경우
범위 내 주요 정보자산에 대해 위험평가를 수행하지 않았거나 법적 준거성 관련 위험을 식별하지 않은 경우
위험관리 계획에 따라 위험평가 수행하고 목표위험수준(DOA)을 산정하였으나 경영진에게 보고하지 않은 경우

1.2.4 보호대책 선정

<주요 확인사항>

식별된 위험에 대한 처리 전략(위험 감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책 선정
보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에게 보고

<결함 사례>

보호대책 이행계획을 수립하였으나 경영진에게 보고하지 않은 경우
위험 감소가 요구되는 일부 위험에 대한 이행계획을 누락한 경우
이행계획 시행 결과를 경영진에게 보고하였으나, 일부 미이행된 건에 대한 사유 보고나 후속조치를 하지 않은 경우

ISMS-P 인증 기준 1.2.3.위험 평가

IT위키

영역: 1.관리체계 수립 및 운영
분류: 1.2.위험 관리

개요[편집 | 원본 편집]

항목

1.2.3.위험 평가

인증기준

조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다.

주요 확인사항

조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가?
위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)를 구체화한 위험관리계획을 매년 수립하고 있는가?
- (가상자산 사업자) 위험평가 항목에서 경영진의 승인을 받은 항목에는 가상자산 취급업소에서 관리하는 가상자산의 콜드웰렛과 핫 월렛의 보유액 비율을 포함하고 있는가?
위험관리계획에 따라 연 1회 이상 정기적으로 또는 필요한 시점에 위험평가를 수행하고 있는가?
조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하고 있는가?
- (가산자산 사업자) 가상자산 거래 서비스에서 발생할 수 있는 위험을 빠짐없이 식별ㆍ평가하고 있는가? (예. CEO 사망, 내부유출, 부정거래, 자연재해, 키 분실, 월렛서버 탈취 등)
  - 가상자산의 특성상 가상자산 노드서버가 공인IP 사용, DMZ 구간에 위치해야 하는 등 운영상 제약이 있는 경우, 그에 따른 위험이 식별되어 있는가?
  - 위험식별 내용에는 가상자산별 블록체인에서 멀티시그를 제공하지 않는 경우가 포함되어 있는가?
위험식별 및 평가 결과를 경영진에게 보고하고 있는가?

세부 설명[편집 | 원본 편집]

위험 식별 방법 정의[편집 | 원본 편집]

조직의 특성을 반영하여 관리적·기술적·물리적·법적 분야 등 다양한 측면에서 발생할 수 있는 정보보호 및 개인정보보호 관련 위험을 식별하고 평가할 수 있도록 위험평가 방법을 정의하고 문서화하여야 한다.

위험평가 방법 선정 : 베이스라인 접근법, 상세위험 분석법, 복합 접근법, 위협 및 시나리오 기반 등
비즈니스 및 조직의 특성 반영 : 조직의 비전 및 미션, 비즈니스 목표, 서비스 유형, 컴플라이언스 등
다양한 관점 고려 : 해킹, 내부자 유출, 외부자 관리·감독 소홀, 개인정보 관련 법규 위반 등
최신 취약점 및 위협동향 고려
위험평가 방법론은 조직의 특성에 맞게 자체적으로 정하여 적용할 수 있으나, 위험평가의 과정은 합리적이어야 하고, 위험평가 결과는 실질적인 위험의 심각성을 대변할 수 있어야 함.

위험 관리 계획 수립[편집 | 원본 편집]

위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)을 구체화한 위험관리계획을 수립하여야 한다.

수행인력 : 위험관리 전문가, 정보보호·개인정보보호 전문가, 법률 전문가, IT 실무 책임자, 현업부서 실무 책임자, 외부 전문컨설턴트 등 참여(이해관계자의 참여 필요)
기간 : 최소 연 1회 이상 수행될 수 있도록 일정 수립
대상 : 인증 범위 내 모든 서비스 및 자산(정보자산, 개인정보, 시스템, 물리적 시설 등) 포함
방법 : 조직의 특성을 반영한 위험평가 방법론 정의
예산 : 위험 식별 및 평가 시행을 위한 예산 계획을 매년 수립하고 정보보호 최고책임자 등 경영진 승인

정기적 위험평가[편집 | 원본 편집]

위험관리계획에 따라 정보보호 및 개인정보보호 관리체계 범위 전 영역에 대한 위험평가를 연 1회 이상 정기적으로 또는 필요한 시점에 수행하여야 한다.

사전에 수립된 위험관리 방법 및 계획에 따라 체계적으로 수행
위험평가는 연 1회 이상 정기적으로 수행하되 조직의 변화, 신규시스템 도입 등 중요한 사유가 발생한 경우 해당 부분에 대하여 정기적인 위험평가 이외에 별도로 위험평가 수행
서비스 및 정보자산의 현황과 흐름분석 결과 반영
최신 법규를 기반으로 정보보호 및 개인정보보호 관련 법적 요구사항 준수 여부 확인
정보보호 및 개인정보보호 관리체계 인증기준의 준수 여부 확인
기 적용된 정보보호 및 개인정보보호 대책의 실효성 검토 포함

위험 수용 수준 설정 및 위험 식별[편집 | 원본 편집]

조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하여야 한다.

각종 위험이 조직에 미치는 영향(발생가능성, 심각도 등)을 고려하여 위험도 산정기준 마련
위험도 산정기준에 따라 식별된 위험에 대하여 위험도 산정
수용 가능한 목표 위험수준(DoA, Degree of Assurance)을 정보보호 최고책임자, 개인정보 보호책임자 등 경영진의 의사결정에 의하여 결정
수용 가능한 목표 위험수준을 초과하는 위험을 식별하고 문서화

경영진 보고[편집 | 원본 편집]

위험 식별 및 평가 결과를 정보보호 최고책임자, 개인정보 보호책임자 등 경영진이 이해하기 쉽게 작성하여 보고하여야 한다.

식별된 위험에 대한 평가보고서 작성
식별된 위험별로 관련된 이해관계자에게 내용 공유 및 논의(실무 협의체, 위원회 등)
IT, 법률적 전문 용어보다는 경영진의 눈높이에서 쉽게 이해하고 의사 결정할 수 있도록 보고서를 작성하여 보고

증거 자료[편집 | 원본 편집]

위험관리 지침
위험관리 매뉴얼/가이드
위험관리 계획서
위험평가 결과보고서
정보보호 및 개인정보보호위원회 회의록
정보보호 및 개인정보보호 실무 협의회 회의록
정보자산 및 개인정보자산 목록
정보서비스 및 개인정보 흐름표/흐름도

결함 사례[편집 | 원본 편집]

수립된 위험관리계획서에 위험평가 기간 및 위험관리 대상과 방법이 정의되어 있으나, 위험관리 수행 인력과 소요 예산 등 구체적인 실행계획이 누락되어 있는 경우
전년도에는 위험평가를 수행하였으나, 금년도에는 자산 변경이 없었다는 사유로 위험 평가를 수행하지 않은 경우
위험관리 계획에 따라 위험 식별 및 평가를 수행하고 있으나, 범위 내 중요 정보자산에 대한 위험 식별 및 평가를 수행하지 않았거나, 정보보호 관련 법적 요구 사항 준수 여부에 따른 위험을 식별 및 평가하지 않은 경우
위험관리 계획에 따라 위험 식별 및 평가를 수행하고 수용 가능한 목표 위험수준을 설정 하였으나, 관련 사항을 경영진(정보보호 최고책임자 등)에 보고하여 승인받지 않은 경우