| 1.2.1 | 정보자산 식별 | 조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다. |
| 1.2.2 | 현황 및 흐름분석 | 관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다. |
| 1.2.3 | 위험 평가 | 조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다. |
| 1.2.4 | 보호대책 선정 | 위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정·담당자·예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다. |
1.2.1 정보자산 식별
- 식별, 분류 -> 중요도 산정 -> 최신화 관리
- 분류 시 보안등급 산정기준을 수립하여 관리
사례 1 : 정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보취급자 PC를 통제하는데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락되어 있는 경우
사례 2 : 정보보호 및 개인정보보호 관리체계 범위 내에서 제3자로부터 제공받은 개인정보가 있으나 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우
사례 3 : 내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류 기준이 일치하지 않은 경우 => 내부 지침과 실제 분류 기준이 일치하지 않는 경우
1.2.2 현황 및 흐름분석
- 업무절차와 흐름을 파악하여 문서화 -> 최신성 유지(최소 연 1회 이상 검토)
- 업무 절차 및 흐름에 대한 문서화 : 업무현황표, 업무흐름도 등
사례 1 : 관리체계 범위 내 주요 서비스의 업무 절차 ․ 흐름 및 현황에 문서화가 이루어지지 않은 경우
사례 2 : 개인정보 흐름도를 작성하였으나 실제 개인정보의 흐름과 상이한 부분이 다수 존재하거나 중요한 개인정보 흐름이 누락되어 있는 경우
사례 3 : 최초 개인정보 흐름도 작성 이후에 현행화가 이루어지지 않아 변화된 개인정보 흐름이 흐름도에 반영되지 않고 있는 경우
1.2.3 위험 평가
- 관리체계 전 영역에 대하여 연 1회 이상 위험 평가, 수용할 위험은 경영진의 승인 필요
사례 1 : 수립된 위험관리계획서에 위험평가 기간 및 위험관리 대상과 방법이 정의 되어 있으나, 위험관리 수행 인력과 소요 예산 등 구체적인 실행계획이 누락되어 있는 경우
사례 2 : 전년도에는 위험평가를 수행하였으나, 금년도에는 자산의 변경이 없었다는 사유로 위험 평가를 수행하지 않은 경우
사례 3 : 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 있으나, 범위 내 중요 정보자산에 대한
위험 식별 및 평가를 수행하지 않았거나 정보보호 관련 법적 요구 사항 준수여부에 따른 위험을 식별 및 평가하지 않은 경우
사례 4 : 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 수용 가능한 목표 위험수준을 설정하였으나 관련 사항을 경영진(정보보호 최고책임자 등)에 보고하여 승인받지 않은 경우
1.2.4 보호대책 선정
- 보호대책 수립은 우선순위, 일정/담당자/예산을 포함한 이행계획 수립 -> 경영진의 승인
| ※ 위험처리 전략 (예시) ㆍ위험감소 : 패스워드 도용의 위험을 줄이기 위해 개인정보처리시스템의 로그인 패스워드 복잡도와 길이를 3가지 문자조합 및 8글자 이상으로 강제 설정되도록 패스워드 설정모듈을 개발하여 적용한다. ㆍ위험회피 : 회사 홍보용 인터넷 홈페이지에서는 회원 관리에 따른 리스크가 크므로 회원 가입을 받지 않는 것으로 변경하고 기존 회원정보는 모두 파기한다. ㆍ위험전가 : 중요정보 및 개인정보 유출 시 손해배상 소송 등에 따른 비용 손실을 줄이기 위해 관련 보험에 가입한다. ㆍ위험수용 : 유지보수 등 협력업체, 개인정보 처리 수탁자 중 당사에서 직접 관리 ․ 감독할 수 없는 PG사, 본인확인기관 등과 같은 대형 수탁자에 대하여는 해당 수탁자가 법령에 의한 정부감독을 받거나 정부로부터 보안인증을 획득한 경우에는 개인정보 보호법에 따른 문서체결 이외의 별도 관리 ․ 감독은 생략할 수 있도록 한다. |
사례 1 : 정보보호 및 개인정보보호 대책에 대한 이행계획은 수립하였으나 정보보호 최고책임자 및
개인정보 보호책임자에게 보고가 이루어지지 않은 경우
사례 2 : 위험감소가 요구되는 일부 위험의 조치 이행계획이 누락되어 있는 경우
사례 3 : 이행계획 시행에 대한 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하였
으나 일부 미이행된 건에 대한 사유 보고 및 후속 조치가 이루어지지 않은 경우
'자격증 > ISMS-P 인증심사원' 카테고리의 다른 글
| 1.4 관리체계 점검 및 개선 (0) | 2021.05.14 |
|---|---|
| 1.3 관리체계 운영 (0) | 2021.05.14 |
| 1.1 관리체계 기반 마련 (0) | 2021.05.14 |
| 정보통신망법/개인정보보호법 제2조 용어 정의 (0) | 2021.04.19 |
| 정보보호 관리등급 (0) | 2021.04.19 |