본문 바로가기
도전! ISMS-P 인증 심사원/1. 관리체계 수립 및 운영

1.2.4 보호대책 선정

by JM's Dad 2023. 1. 6.
반응형

1. 관리체계 수립 및 운영 (16개)

[두음] 기위운점

1.2 위험 관리   1.2.1 정보자산 식별
  1.2.2 현황 및 흐름 분석
  1.2.3 위험 평가
  1.2.4 보호대책 선정

식수회감전

위험 처리 전략 선정 (감소, 회피, 전가, 수용),

보호대책 우선순위, 이행계획 수립, 경영진 승인

핵심 키워드 & 내용

 

- 보호대책 선정, 위험처리 전략(감소, 회피, 전가, 수용 등), 보호대책의 이행계획
- 식별된 위험에 대해 위험처리 전략 수립 및 보호대책 선정
- 정보보호 대책의 이행계획 수립 및 경영진 보고

 

연관 두음

 

▶ 위험 식별과 위험 처리 전략

[두음] 식수회감전
위험 식별, 위험 수용, 위험 회피, 위험 감소, 위험 전가

 

인증기준

 

위험 평가 결과에 따라 식별된 위험을 처리하기 위하여
조직에 적합한 보호대책을 선정하고,
보호대책의 우선순위와 일정 · 담당자 · 예산 등을 포함한 이행계획을 수립하여
경영진의 승인을 받아야 한다.

 

주요 확인사항

 

* 식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고
  위험처리를 위한 보호대책을 선정하고 있는가?

* 보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한
  보호대책 이행계획을 수하고 경영진에 보고하고 있는가?

 

세부 설명

 

□ 식별된 위험에 대한 처리 전략(위험감소, 위험회피, 위험전가, 위험수용 등)을 수립하고,

  이에 따라 위험별로 위험처리를 위한 적절한 정보보호 및 개인정보보호 대책을 선정하여야 한다.

 

▶ 위험수준 감소를 목표로 위험 처리전략을 수립하는 것이 일반적이며,

    상황에 따라 위험회피, 위험전가, 위험수용의 전략 고려

 

[두음] 식수회감전

※ 위험처리 전략(예시)

· 위험감소 :
패스워드 도용의 위험을 줄이기 위하여 개인정보처리시스템의 로그인 패스워드 복잡도와 길이를
3가지 문자조합 및 8글자 이상으로 강제 설정되도록 패스워드 설정 모듈을 개발하여 적용한다.

· 위험회피 :
회사 홍보용 인터넷 홈페이지에서는 회원 관리에 따른 리스크가 크므로
회원 가입을 받지 않는 것으로 변경하고 기존 회원정보는 모두 파기한다.

· 위험전가 :
중요정보 및 개인정보 유출 시 손해배상 소송 등에 따른 비용 손실을 줄이기 위하여
관련 보험에 가입한다.

· 위험수용 :
유지보수 등 협력업체, 개인정보 처리 수탁자 중
당사에서 직접 관리·감독할 수 없는 PG사, 본인확인기관 등과 같은 대형 수탁자에 대하여는
해당 수탁자가 법령에 의한 정부감독을 받거나
정부로부터 보안인증을 획득한 경우에는
개인정보 보호법에 따른 문서체결 이외의 별도 관리·감독은 생략할 수 있도록 한다.

 

□ 정보보호 및 개인정보보호 대책의 우선순위를 고려하여

   일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고,

   정보보호 최고책임자 및 개인정보 보호책임자 등 경영진에 보고하여야 한다.

 

▶ 위험의 심각성 및 시급성, 구현의 용이성, 예산 할당, 자원의 가용성, 선후행 관계 등을

    고려하여 우선순위 결정

 

결함사례

 

사례 1 :
정보보호 및 개인정보보호 대책에 대한 이행계획은 수립하였으나,
정보보호 최고책임자 및 개인정보 보호책임자에게 보고가 이루어지지 않은 경우

사례 2 :
위험감소가 요구되는 일부 위험의 조치 이행계획이 누락되어 있는 경우

사례 3 : 
이행계획 시행에 대한 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하였으나,
일부 미이행된 건에 대한 사유 보고 및 후속 조치가 이루어지지 않은 경우

사례 4 :
법에 따라 의무적으로 이행하여야 할 사항, 보안 취약성이 높은 위험 등을
별도의 보호조치 계획 없이 위험수용으로 결정하여 조치하지 않은 경우

가상자산 사업자 대상 주요 확인사항

 

가상자산별 블록체인에서 멀티시그를 제공하지 않는 경우, 
MFA(Multi Factor Authentication), 키분할, 자체 구축한 멀티시그 방식 등 
이를 대체하기 위한 안전장치가 보호대책에 포함되어 있는가?
참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)

 

 

 

반응형

'도전! ISMS-P 인증 심사원 > 1. 관리체계 수립 및 운영' 카테고리의 다른 글

1.3.2 보호대책 공유  (0) 2023.01.06
1.3.1 보호대책 구현  (0) 2023.01.06
1.2.3 위험 평가  (0) 2023.01.06
1.2.2 현황 및 흐름분석  (0) 2023.01.05
1.2.1 정보자산 식별  (0) 2023.01.05

관련글

댓글

티스토리툴바