ISMS(정보보호관리체계) 인증 기준 1.2.4 보호대책 선정

1. 관리체계 수립 및 운영 > 1.2 위험 관리 > 1.2.4 보호대책 선정

항목		상세내용
1.2.4	보호대책 선정	위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정ㆍ담당자ㆍ예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다.
주요 확인사항		ㆍ식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정하고 있는가? ㆍ보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에 보고하고 있는가?
관련 법규

 

● 중요사안

- 위험 식별 및 평가 결과에 근거하여 정보보호 대책을 선정하고 정보보호 및 개인정보보호 관리체계 인증기준에서 제시하는 보호대책 및 개인정보 처리 단계별 요구사항 통제항목(86개)과의 연계성도 함께 고려하여야 한다.

- 위험수준 감소를 목표로 위험처리 전략을 수립하는 게 일반적이며, 그 외 상황에 따라 위험회피, 위험전가, 위험수용 등으로 고려할 수 있다.

- 수용 가능한 위험 수준을 초과하지 않은 위험 중 기업 및 외부 환경에 따라 위험 수준이 상승할 가능성이 높거나 조직이 중요하다고 판단하는 부분에 대해서는 필요시 보호대책 수립을 고려할 수 있다.

- 특별한 사유(예 : 대책 적용 대상 자산 無)로 인해 위험수용 전략을 선택하는 경우 경영진, 정보보호 및 개인정보보호 관리체계 인증심사 팀 등 조직 내ㆍ외부에서 객관적으로 인정하는 경우에 가능하다.

- 위험수준의 감소를 위하여 선정한 보호대책은 위험처리의 시급성, 예산 할당, 구현에 요구되는 기간에 따라 이행 우선순위를 정하고 계획을 수립하여야 한다.

- 보호대책의 효과적인 이행을 위하여 이행계획을 정보보호 최고책임자 및 개인정보 보호책임자 등 경영진의 승인을 얻고 이행여부를 확인하기 위한 절차 및 방법도 함께 고려하여야 한다.

- 조직은 정보자산이 직면한 위험을 확인하여 위험 혹은 손실위험을 처리할 수 있는 방법을 선택해야 한다. 하지만 위험관리 대책이 모든 보안위험을 제거할 수는 없으므로 가능한 범위 내에서 처리를 해야 한다.

- 정보보호 대책선정은 정보자산 중 수용 가능한 위험수준(DoA)을 제외한 목표 위험수준보다 높을 경우에 대해서 현재 수행하고 있는 각종 대응책과 각 자산에 필요한 개선대책을 모두 파악하는 단계를 말하며 이를 '위험조치계획'이라고 정의한다.

 

 

● 운영현황 확인

- 식별된 위험 처리를 위해 위험감소, 위험회피, 위험수용, 위험전가 등 처리 전략 기준의 수립여부 확인

- 위험분석 및 개선대책을 위한 정보보호 협의체 활동 이력 확인

- 위험분석에 따른 결과에 경영진의 의사결정이 반영된 문서 확인

 

 

● 기록(증적자료)

- 인프라자산 취약점 진단 결과 보고서

- 위험분석 및 개선대책 보고서