ISMS-P 인증 기준 1.2.4.보호대책 선정
From IT Wiki
- 영역: 1.관리체계 수립 및 운영
- 분류: 1.2.위험 관리
개요
| 항목 | 1.2.4.보호대책 선정 |
|---|---|
| 인증기준 | 위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정·담당자·예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다. |
| 주요 확인사항 |
|
세부 설명
- 식별된 위험에 대한 처리 전략(위험감소, 위험회피, 위험전가, 위험수용 등)을 수립하고, 이에 따라 위험별로 위험처리를 위한 적절한 정보보호 및 개인정보보호 대책을 선정하여야 한다.
- 위험수준 감소를 목표로 위험 처리전략을 수립하는 것이 일반적이며, 상황에 따라 위험회피, 위험전가, 위험수용의 전략 고려
- 보호대책을 선정할 때에는 정보보호 및 개인정보보호 대책은 정보보호 및 개인정보보호 관리체계 인증기준과의 연계성 고려
- 불가피한 사유가 있는 경우에는 위험수용 전략을 선택할 수 있으나 무조건적인 위험수용은 지양하여야 하며, 불가피한 사유의 적정성, 보완대책 적용가능성 등을 충분히 검토한 후 명확하고 객관적인 근거에 기반하여 위험수용 전략 선택
- 법률 위반에 해당하는 위험은 수용 가능한 위험에 포함되지 않도록 주의
- 수용 가능한 위험수준을 초과하지 않은 위험 중 내·외부 환경의 변화에 따라 위험수준이 상승할 가능성이 높거나 조직이 중요하다고 판단하는 부분에 대해서는 보호대책 수립 고려
- 정보보호 및 개인정보보호 대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고, 정보보호 최고책임자 및 개인정보 보호책임자 등 경영진에 보고하여야 한다.
- 위험의 심각성 및 시급성, 구현의 용이성, 예산 할당, 자원의 가용성, 선후행 관계 등을 고려하여 우선순위 결정
- 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 정보보호 및 개인정보보호 대책 이행계획을 수립하여 경영진에게 보고 및 승인
증거 자료
- 정보보호 및 개인정보보호 이행계획서/위험관리계획서
- 정보보호 및 개인정보보호 대책서
- 정보보호 및 개인정보보호 마스터플랜
- 정보보호 및 개인정보보호 이행계획 경영진 보고 및 승인 내역
결함 사례
- 정보보호 및 개인정보보호 대책에 대한 이행계획은 수립하였으나, 정보보호 최고책임자 및 개인정보 보호책임자에게 보고가 이루어지지 않은 경우
- 위험감소가 요구되는 일부 위험의 조치 이행계획이 누락되어 있는 경우
- 법에 따라 의무적으로 이행하여야 할 사항, 보안 취약성이 높은 위험 등을 별도의 보호조치 계획 없이 위험수용으로 결정하여 조치하지 않은 경우
- 위험수용에 대한 근거와 타당성이 미흡하고, 시급성 및 구현 용이성 등의 측면에서 즉시 또는 단기 조치가 가능한 위험요인에 대해서도 특별한 사유 없이 장기 조치계획으로 분류한 경우
같이 보기
참고 문헌
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
