ISMS(정보보호관리체계) 인증 기준 1.2.3 위험 평가

1. 관리체계 수립 및 운영 > 1.2 위험 관리 > 1.2.3 위험 평가

항목		상세내용
1.2.3	위험 평가	조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다.
주요 확인사항		ㆍ조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가? ㆍ위험관리 방법 및 절차를 구체화한 위험관리계획을 수립하고 있는가? ㆍ위험관리계획에 따라 연 1회 이상 정기적으로 또는 필요한 시점에 위험평가를 수행하고 있는가? ㆍ조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하고 있는가? ㆍ위험식별 및 평가 결과를 경영진에게 보고하고 있는가?
관련 법규		ㆍ개인정보보호법 제29조(안전조치의무) ㆍ개인정보의 안전성 확보조치 기준 제4조(내부관리계획의 수립ㆍ시행)

 

● 중요사안

- 관리적, 기술적, 물리적, 법적 분야 등 조직 전 영역에 대한 위험 식별 및 평가가 가능하도록 각 영역별 특성을 반영한 위험관리 방법을 선정하여야 하며 그 방법과 절차를 지침으로 규정하여야 한다.

- 위험관리 방법 및 절차에 따라 매년 위험관리계획을 수립하고 이행하여야 한다.

- 관리적, 운영적, 물리적 위험은 정보보호 및 개인정보보호 관리체계 통제항목이 적용되고 있는지 점검하여 통제적용이 이루어지지 않거나 미흡한 경우 위험으로 식별하여야 한다.

- 기술적 위험은 정보보호 및 개인정보보호 관리체계 범위 내의 정보시스템, 정보보호시스템 등에 대한 취약점 점검을 수행하여 발견된 취약점을 위험으로 식별하여야 한다.

- 매년 정보보호 및 개인정보보호 관리체계 범위 전체를 대상으로 위험 식별과 평가를 수행하여야 하며 기 적용된 정보보호 대책의 실효성 검토도 함께 이루어져야 한다.

- 식별된 위험이 실제 조직에 미치는 영향을 고려하여 위험도를 산정하여야 하며 이를 위하여 위험도 산정기준을 마련하여야 한다.

- 식별된 위험과 각 위험도를 검토하여 수용 가능한 목표 위험수준(DoA)을 정한 뒤 이를 초과하는 위험을 식별하여야 한다. 이 수준은 논리적이거나 수리적인 방법을 통해 계산된 필요는 없으나 반드시 정보보호 최고책임자 및 개인정보 보호책임자 등 경영진의 의사결정에 의해 설정되어야 한다.

- 식별된 위험에 대한 평가 보고서를 정보보호 최고책임자 및 개인정보 보호책임자를 포함한 경영진이 손쉽게 이해할 수 있도록 작성하여 보고하여야 한다.

 

 

● 운영현황 확인

- 회사 서비스에 존재하는 취약성을 식별하기 위한 활동 및 이력 확인

- 관리적, 물리적, 기술적, 법적 영역을 진단하고 도출된 위험을 분석ㆍ평가할 수 있는 기준을 수립한 정책 확인

- 위험관리계획의 수립 여부 확인

- 위험처리 전략의 수립을 위한 내부 정책 및 기준 확인

 

 

● 기록(증적자료)

- 인프라자산 취약점 진단 결과 보고서

- 위험분석 및 개선대책 보고서