ISMS-P 인증 기준 1.2.4.보호대책 선정

From IT Wiki


개요[edit | edit source]

항목 1.2.4.보호대책 선정
인증기준 위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정·담당자·예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다.
주요 확인사항
  • 식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정하고 있는가?
    • (가상자산사업자) 가상자산별 블록체인에서 멀티시그를 제공하지 않는 경우, MFA(Multi Factor Authentication), 키분 할, 자체 구축한 멀티시그 방식 등 이를 대체하기 위한 안전장치가 보호대책에 포함되어 있는가?
  • 보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에 보고하고 있는가?

세부 설명[edit | edit source]

  • 식별된 위험에 대한 처리 전략(위험감소, 위험회피, 위험전가, 위험수용 등)을 수립하고, 이에 따라 위험별로 위험처리를 위한 적절한 정보보호 및 개인정보보호 대책을 선정하여야 한다.
    • 위험수준 감소를 목표로 위험 처리전략을 수립하는 것이 일반적이며, 상황에 따라 위험회피, 위험전가, 위험수용의 전략 고려
    • 보호대책을 선정할 때에는 정보보호 및 개인정보보호 대책은 정보보호 및 개인정보보호 관리체계 인증기준과의 연계성 고려
    • 불가피한 사유가 있는 경우에는 위험수용 전략을 선택할 수 있으나 무조건적인 위험수용은 지양하여야 하며, 불가피한 사유의 적정성, 보완대책 적용가능성 등을 충분히 검토한 후 명확하고 객관적인 근거에 기반하여 위험수용 전략 선택
    • 법률 위반에 해당하는 위험은 수용 가능한 위험에 포함되지 않도록 주의
    • 수용 가능한 위험수준을 초과하지 않은 위험 중 내·외부 환경의 변화에 따라 위험수준이 상승할 가능성이 높거나 조직이 중요하다고 판단하는 부분에 대해서는 보호대책 수립 고려
  • 정보보호 및 개인정보보호 대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고, 정보보호 최고책임자 및 개인정보 보호책임자 등 경영진에 보고하여야 한다.
    • 위험의 심각성 및 시급성, 구현의 용이성, 예산 할당, 자원의 가용성, 선후행 관계 등을 고려하여 우선순위 결정
    • 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 정보보호 및 개인정보보호 대책 이행계획을 수립하여 경영진에게 보고 및 승인

증거 자료[edit | edit source]

  • 정보보호 및 개인정보보호 이행계획서/위험관리계획서
  • 정보보호 및 개인정보보호 대책서
  • 정보보호 및 개인정보보호 마스터플랜
  • 정보보호 및 개인정보보호 이행계획 경영진 보고 및 승인 내역

결함 사례[edit | edit source]

  • 정보보호 및 개인정보보호 대책에 대한 이행계획은 수립하였으나, 정보보호 최고책임자 및 개인정보 보호책임자에게 보고가 이루어지지 않은 경우
  • 위험감소가 요구되는 일부 위험의 조치 이행계획이 누락되어 있는 경우
  • 법에 따라 의무적으로 이행하여야 할 사항, 보안 취약성이 높은 위험 등을 별도의 보호조치 계획 없이 위험수용으로 결정하여 조치하지 않은 경우
  • 위험수용에 대한 근거와 타당성이 미흡하고, 시급성 및 구현 용이성 등의 측면에서 즉시 또는 단기 조치가 가능한 위험요인에 대해서도 특별한 사유 없이 장기 조치계획으로 분류한 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23)