ISMS-P 인증 기준 1.2.3.위험 평가 편집하기

IT위키

경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.

편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.

최신판 당신의 편집
1번째 줄: 1번째 줄:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
 
* '''영역''': [[ISMS-P 인증기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
*'''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
* '''분류''': [[ISMS-P 인증기준 1.2.위험 관리|1.2.위험 관리]]
*'''분류''': [[ISMS-P 인증 기준 1.2.위험 관리|1.2.위험 관리]]
== 개요 ==
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!1.2.3.위험 평가
!1.2.3.위험 평가
|-
|-
| style="text-align:center" |'''인증기준'''
| style="text-align:center"|'''인증기준'''
|조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다.
|조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
*조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가?
* 조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가?
*위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)를 구체화한 위험관리계획을 매년 수립하고 있는가?
* 위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)를 구체화한 위험관리계획을 매년 수립하고 있는가?
**'''(가상자산 사업자)''' 위험평가 항목에서 경영진의 승인을 받은 항목에는 가상자산 취급업소에서 관리하는 가상자산의 콜드웰렛과 핫 월렛의 보유액 비율을 포함하고 있는가?
* 위험관리계획에 따라 연 1회 이상 정기적으로 또는 필요한 시점에 위험평가를 수행하고 있는가?
*위험관리계획에 따라 연 1회 이상 정기적으로 또는 필요한 시점에 위험평가를 수행하고 있는가?
* 조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하고 있는가?
*조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하고 있는가?
* 위험식별 및 평가 결과를 경영진에게 보고하고 있는가?
**'''(가상자산 사업자)''' 가상자산 거래 서비스에서 발생할 수 있는 위험을 빠짐없이 식별ㆍ평가하고 있는가? (예. CEO 사망, 내부유출, 부정거래, 자연재해, 키 분실, 월렛서버 탈취 등)
***가상자산의 특성상 가상자산 노드서버가 공인IP 사용, DMZ 구간에 위치해야 하는 등 운영상 제약이 있는 경우, 그에 따른 위험이 식별되어 있는가?
***위험식별 내용에는 가상자산별 블록체인에서 멀티시그를 제공하지 않는 경우가 포함되어 있는가?
*위험식별 및 평가 결과를 경영진에게 보고하고 있는가?
|}
|}
==세부 설명==
== 세부 설명 ==
 
==== 위험 식별 방법 정의 ====
조직의 특성을 반영하여 관리적·기술적·물리적·법적 분야 등 다양한 측면에서 발생할 수 있는 정보보호 및 개인정보보호 관련 위험을 식별하고 평가할 수 있도록 위험평가 방법을 정의하고 문서화하여야 한다.
 
*[[위험평가]] 방법 선정 : 베이스라인 접근법, 상세위험 분석법, 복합 접근법, 위협 및 시나리오 기반 등
*비즈니스 및 조직의 특성 반영 : 조직의 비전 및 미션, 비즈니스 목표, 서비스 유형, 컴플라이언스 등
*다양한 관점 고려 : 해킹, 내부자 유출, 외부자 관리·감독 소홀, 개인정보 관련 법규 위반 등
*최신 취약점 및 위협동향 고려
*위험평가 방법론은 조직의 특성에 맞게 자체적으로 정하여 적용할 수 있으나, 위험평가의 과정은 합리적이어야 하고, 위험평가 결과는 실질적인 위험의 심각성을 대변할 수 있어야 함.
 
==== 위험 관리 계획 수립 ====
위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)을 구체화한 '''위험관리계획'''을 수립하여야 한다.
 
*'''수행인력''' : 위험관리 전문가, 정보보호·개인정보보호 전문가, 법률 전문가, IT 실무 책임자, 현업부서 실무 책임자, 외부 전문컨설턴트 등 참여(이해관계자의 참여 필요)
*'''기간''' : 최소 연 1회 이상 수행될 수 있도록 일정 수립
*'''대상''' : 인증 범위 내 모든 서비스 및 자산(정보자산, 개인정보, 시스템, 물리적 시설 등) 포함
*'''방법''' : 조직의 특성을 반영한 위험평가 방법론 정의
*'''예산''' : 위험 식별 및 평가 시행을 위한 예산 계획을 매년 수립하고 정보보호 최고책임자 등 경영진 승인
 
==== 정기적 위험평가 ====
위험관리계획에 따라 정보보호 및 개인정보보호 관리체계 범위 전 영역에 대한 위험평가를 연 1회 이상 정기적으로 또는 필요한 시점에 수행하여야 한다.
 
*사전에 수립된 위험관리 방법 및 계획에 따라 체계적으로 수행
*위험평가는 연 1회 이상 정기적으로 수행하되 조직의 변화, 신규시스템 도입 등 중요한 사유가 발생한 경우 해당 부분에 대하여 정기적인 위험평가 이외에 별도로 위험평가 수행
*서비스 및 정보자산의 현황과 흐름분석 결과 반영
*최신 법규를 기반으로 정보보호 및 개인정보보호 관련 법적 요구사항 준수 여부 확인
*정보보호 및 개인정보보호 관리체계 인증기준의 준수 여부 확인
*기 적용된 정보보호 및 개인정보보호 대책의 실효성 검토 포함
 
==== 위험 수용 수준 설정 및 위험 식별 ====
조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하여야 한다.
 
*각종 위험이 조직에 미치는 영향(발생가능성, 심각도 등)을 고려하여 위험도 산정기준 마련
*위험도 산정기준에 따라 식별된 위험에 대하여 위험도 산정
*수용 가능한 목표 위험수준(DoA, Degree of Assurance)을 정보보호 최고책임자, 개인정보 보호책임자 등 경영진의 의사결정에 의하여 결정
*수용 가능한 목표 위험수준을 초과하는 위험을 식별하고 문서화
 
==== 경영진 보고 ====
위험 식별 및 평가 결과를 정보보호 최고책임자, 개인정보 보호책임자 등 경영진이 이해하기 쉽게 작성하여 보고하여야 한다.
 
*식별된 위험에 대한 평가보고서 작성
*식별된 위험별로 관련된 이해관계자에게 내용 공유 및 논의(실무 협의체, 위원회 등)
*IT, 법률적 전문 용어보다는 경영진의 눈높이에서 쉽게 이해하고 의사 결정할 수 있도록 보고서를 작성하여 보고
 
==증거 자료==
 
*위험관리 지침
*위험관리 매뉴얼/가이드
*위험관리 계획서
*위험평가 결과보고서
*정보보호 및 개인정보보호위원회 회의록
*정보보호 및 개인정보보호 실무 협의회 회의록
*정보자산 및 개인정보자산 목록
*정보서비스 및 개인정보 흐름표/흐름도
 
==결함 사례==
 
*수립된 위험관리계획서에 위험평가 기간 및 위험관리 대상과 방법이 정의되어 있으나, 위험관리 수행 인력과 소요 예산 등 구체적인 실행계획이 누락되어 있는 경우
*전년도에는 위험평가를 수행하였으나, 금년도에는 자산 변경이 없었다는 사유로 위험 평가를 수행하지 않은 경우
*위험관리 계획에 따라 위험 식별 및 평가를 수행하고 있으나, 범위 내 중요 정보자산에 대한 위험 식별 및 평가를 수행하지 않았거나, 정보보호 관련 법적 요구 사항 준수 여부에 따른 위험을 식별 및 평가하지 않은 경우
*위험관리 계획에 따라 위험 식별 및 평가를 수행하고 수용 가능한 목표 위험수준을 설정 하였으나, 관련 사항을 경영진(정보보호 최고책임자 등)에 보고하여 승인받지 않은 경우
*내부 지침에 정의한 위험 평가 방법과 실제 수행한 위험 평가 방법이 상이할 경우
*정보보호 관리체계와 관련된 관리적·물리적 영역의 위험 식별 및 평가를 수행하지 않고, 단순히 기술적 취약점진단 결과를 위험 평가 결과로 갈음하고 있는 경우
*수용 가능한 목표 위험수준(DoA)을 타당한 사유 없이 과도하게 높이는 것으로 결정함에 따라, 실질적으로 대응이 필요한 주요 위험들이 조치가 불필요한 위험(수용 가능한 위험)으로 지정된 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
* 조직의 특성을 반영하여 관리적·기술적·물리적·법적 분야 등 다양한 측면에서 발생할 수 있는 정보보호 및 개인정보보호 관련 위험을 식별하고 평가할 수 있도록 위험평가 방법을 정의하고 문서화하여야 한다.
** 위험평가 방법 선정 : 베이스라인 접근법, 상세위험 분석법, 복합 접근법, 위협 및 시나리오 기반 등
** 비즈니스 및 조직의 특성 반영 : 조직의 비전 및 미션, 비즈니스 목표, 서비스 유형, 컴플라이언스 등
** 다양한 관점 고려 : 해킹, 내부자 유출, 외부자 관리·감독 소홀, 개인정보 관련 법규 위반 등
** 최신 취약점 및 위협동향 고려
** 위험평가 방법론은 조직의 특성에 맞게 자체적으로 정하여 적용할 수 있으나, 위험평가의 과정은 합리적이어야 하고, 위험평가 결과는 실질적인 위험의 심각성을 대변할 수 있어야 함.
* 위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)을 구체화한 위험관리계획을 수립하여야 한다.
** 수행인력 : 위험관리 전문가, 정보보호·개인정보보호 전문가, 법률 전문가, IT 실무 책임자, 현업부서 실무 책임자, 외부 전문컨설턴트 등 참여(이해관계자의 참여 필요)
** 기간 : 최소 연 1회 이상 수행될 수 있도록 일정 수립
** 대상 : 인증 범위 내 모든 서비스 및 자산(정보자산, 개인정보, 시스템, 물리적 시설 등) 포함
** 방법 : 조직의 특성을 반영한 위험평가 방법론 정의
** 예산 : 위험 식별 및 평가 시행을 위한 예산 계획을 매년 수립하고 정보보호 최고책임자 등 경영진 승인
* 위험관리계획에 따라 정보보호 및 개인정보보호 관리체계 범위 전 영역에 대한 위험평가를 연 1회 이상 정기적으로 또는 필요한 시점에 수행하여야 한다.
** 사전에 수립된 위험관리 방법 및 계획에 따라 체계적으로 수행
** 위험평가는 연 1회 이상 정기적으로 수행하되 조직의 변화, 신규시스템 도입 등 중요한 사유가 발생한 경우 해당 부분에 대하여 정기적인 위험평가 이외에 별도로 위험평가 수행
** 서비스 및 정보자산의 현황과 흐름분석 결과 반영
** 최신 법규를 기반으로 정보보호 및 개인정보보호 관련 법적 요구사항 준수 여부 확인
** 정보보호 및 개인정보보호 관리체계 인증기준의 준수 여부 확인
** 기 적용된 정보보호 및 개인정보보호 대책의 실효성 검토 포함
* 조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하여야 한다.
** 각종 위험이 조직에 미치는 영향(발생가능성, 심각도 등)을 고려하여 위험도 산정기준 마련
** 위험도 산정기준에 따라 식별된 위험에 대하여 위험도 산정
** 수용 가능한 목표 위험수준(DoA, Degree of Assurance)을 정보보호 최고책임자, 개인정보 보호책임자 등 경영진의 의사결정에 의하여 결정
** 수용 가능한 목표 위험수준을 초과하는 위험을 식별하고 문서화
* 위험 식별 및 평가 결과를 정보보호 최고책임자, 개인정보 보호책임자 등 경영진이 이해하기 쉽게 작성하여 보고하여야 한다.
** 식별된 위험에 대한 평가보고서 작성
** 식별된 위험별로 관련된 이해관계자에게 내용 공유 및 논의(실무 협의체, 위원회 등)
** IT, 법률적 전문 용어보다는 경영진의 눈높이에서 쉽게 이해하고 의사 결정할 수 있도록 보고서를 작성하여 보고
== 증거 자료 ==
* 위험관리 지침
* 위험관리 매뉴얼/가이드
* 위험관리 계획서
* 위험평가 결과보고서
* 정보보호 및 개인정보보호위원회 회의록
* 정보보호 및 개인정보보호 실무 협의회 회의록
* 정보자산 및 개인정보자산 목록
* 정보서비스 및 개인정보 흐름표/흐름도
== 결함 사례 ==
* 수립된 위험관리계획서에 위험평가 기간 및 위험관리 대상과 방법이 정의되어 있으나, 위험관리 수행 인력과 소요 예산 등 구체적인 실행계획이 누락되어 있는 경우
* 전년도에는 위험평가를 수행하였으나, 금년도에는 자산 변경이 없었다는 사유로 위험 평가를 수행하지 않은 경우
* 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 있으나, 범위 내 중요 정보자산에 대한 위험 식별 및 평가를 수행하지 않았거나, 정보보호 관련 법적 요구 사항 준수 여부에 따른 위험을 식별 및 평가하지 않은 경우
* 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 수용 가능한 목표 위험수준을 설정 하였으나, 관련 사항을 경영진(정보보호 최고책임자 등)에 보고하여 승인받지 않은 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 IT위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소 편집 도움말 (새 창에서 열림)
원본 주소 "https://itwiki.kr/w/ISMS-P_인증_기준_1.2.3.위험_평가"