ISMS-P 인증 기준 1.2.4.보호대책 선정

From IT Wiki
Revision as of 18:21, 7 May 2022 by Maintenance script (talk | contribs) (Imported from text file)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)

개요

항목 1.2.4.보호대책 선정
인증기준 위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정·담당자·예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다.
주요 확인사항
  • 식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정하고 있는가?
  • 보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에 보고하고 있는가?

세부 설명

  • 식별된 위험에 대한 처리 전략(위험감소, 위험회피, 위험전가, 위험수용 등)을 수립하고, 이에 따라 위험별로 위험처리를 위한 적절한 정보보호 및 개인정보보호 대책을 선정하여야 한다.
    • 위험수준 감소를 목표로 위험 처리전략을 수립하는 것이 일반적이며, 상황에 따라 위험회피, 위험전가, 위험수용의 전략 고려
  • ※ 위험처리 전략(예시)
  • 위험감소 : 패스워드 도용의 위험을 줄이기 위하여 개인정보처리시스템의 로그인 패스워드 복잡도와 길이를 3가지 문자조합 및 8글자 이상으로 강제 설정되도록 패스워드 설정 모듈을 개발하여 적용한다.
  • 위험회피 : 회사 홍보용 인터넷 홈페이지에서는 회원 관리에 따른 리스크가 크므로 회원 가입을 받지 않는 것으로 변경하고 기존 회원정보는 모두 파기한다.
  • 위험전가 : 중요정보 및 개인정보 유출 시 손해배상 소송 등에 따른 비용 손실을 줄이기 위하여 관련 보험에 가입한다.
  • 위험수용 : 유지보수 등 협력업체, 개인정보 처리 수탁자 중 당사에서 직접 관리·감독할 수 없는 PG사, 본인확인기관 등과 같은 대형 수탁자에 대하여는 해당 수탁자가 법령에 의한 정부감독을 받거나 정부로부터 보안인증을 획득한 경우에는 개인정보 보호법에 따른 문서체결 이외의 별도 관리·감독은 생략할 수 있도록 한* 다.
  • 보호대책을 선정할 때에는 정보보호 및 개인정보보호 대책은 정보보호 및 개인정보보호 관리체계 인증기준과의 연계성 고려
  • 불가피한 사유가 있는 경우에는 위험수용 전략을 선택할 수 있으나 무조건적인 위험수용은 지양하여야 하며, 불가피한 사유의 적정성, 보완대책 적용가능성 등을 충분히 검토한 후 명확하고 객관적인 근거에 기반하여 위험수용 전략 선택
  • 법률 위반에 해당하는 위험은 수용 가능한 위험에 포함되지 않도록 주의
  • 수용 가능한 위험수준을 초과하지 않은 위험 중 내·외부 환경의 변화에 따라 위험수준이 상승할 가능성이 높거나 조직이 중요하다고 판단하는 부분에 대해서는 보호대책 수립 고려
  • 정보보호 및 개인정보보호 대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고, 정보보호 최고책임자 및 개인정보 보호책임자 등 경영진에 보고하여야 한다.
    • 위험의 심각성 및 시급성, 구현의 용이성, 예산 할당, 자원의 가용성, 선후행 관계 등을 고려하여 우선순위 결정
    • 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 정보보호 및 개인정보보호 대책 이행계획을 수립하여 경영진에게 보고 및 승인
  • 증거 자료

    • 정보보호 및 개인정보보호 이행계획서/위험관리계획서
    • 정보보호 및 개인정보보호 대책서
    • 정보보호 및 개인정보보호 마스터플랜
    • 정보보호 및 개인정보보호 이행계획 경영진 보고 및 승인 내역

    결함 사례

    • 정보보호 및 개인정보보호 대책에 대한 이행계획은 수립하였으나, 정보보호 최고책임자 및 개인정보 보호책임자에게 보고가 이루어지지 않은 경우
    • 위험감소가 요구되는 일부 위험의 조치 이행계획이 누락되어 있는 경우
    • 이행계획 시행에 대한 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하였으나, 일부 미이행된 건에 대한 사유 보고 및 후속 조치가 이루어지지 않은 경우
    • 법에 따라 의무적으로 이행하여야 할 사항, 보안 취약성이 높은 위험 등을 별도의 보호조치 계획 없이 위험수용으로 결정하여 조치하지 않은 경우

    같이 보기

    참고 문헌

    • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)