ISMS-P 구축 운영
ISMS-P 구축 운영 - 1.1 관리체계 기반 마련 항목
ISMS-P 구축 운영 - 1.2 위험 관리
ISMS-P 구축 운영 - 1.3 관리체계 운영
ISMS-P 구축 운영 - 1.4 관리체계 점검 및 개선
1.1
위험관리
위험에 대한 보호대책을 수립하는 일련의 과정
보호해야 할 대상(서비스, 시스템
등)과 자산을 목록화
자산별 가치를 선정 후, 자산의 가치에 따라 우선적으로 보호해야 할
자산을 식별
그 자산에 영향을 미치는 위협과 자산이 내포하고 있는 취약성 찾기
기업마다 다양한 방식으로 위험관리 운영
기업마다 다양한 형태의 위험관리 방법론을 선정
조직의 특성에 맞는 방법론을 새롭게 개발하고 개선
위험관리 운영 시 어려운 이유
위험관리 방법론에 대한 충분한 이해와 경험 부족
위험관리 방법론을 기업의 특성을 고려하지 않은 채 단순 적용
기업의 자체적인 방법론이 아닌 외부 전문가 또는 컨설팅 업체에 대한 높은 의존도
위험관리 방법
‘분석방법에 따라 다양한 방법론이 존재한다’
위험관리 방법론을 선정하는 것은 조직의 책임
인력, 예산 등을 고려해 비용 효과적이고 효율적으로 수행 가능한 방법론
선택
“선택한 방법론을 몇 가지 사례를 들어 시범운영 수행하는 것이 적절하다”
시범 운영 과정이 적합했다면
위험관리에 참여하는 모든 담당자에게 교육
공감대 형성
위험관리 방법론
관리적 위험관리 방법론(기준선 접근법)
- 정보보호 관리체계 인증기준으로 점검
기술적 위험관리 방법론
- 기술적 취약점 분석 평가 방법론 사용
법적 위험관리 방법론
- 개인정보보호를 위한 흐름도와 흐름표 작성을 통해 법적 요건의 충족 여부 점검
1.2.1 정보자산 식별
|
인증 기준 |
조직의 업무특성에 따라
정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다. |
|
주요 확인사항 |
정보자산의 분류기준을
수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는가? |
|
식별된 정보자산에 대해 법적 요구사항
및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가? |
|
|
정기적으로 정보자산 현황을
조사하여 정보자산목록을 최신으로 유지하고 있는가? |
정보자산 분류
시스템 자산 – 서버, 보안장비, 네트워크, PC 등
데이터 – 시스템 자산의 설정 정보,
시스템 자산에 저장된 로그 및 이벤트 정보, 업무용 PC/모바일
기기에 저장된 중요정보 등
시설 – 건물 및 사무실, 출입통제
설비, CCTV, UPS 등
자산 식별
‘정보자산 목록은 위험관리를 위한 분석, 평가의 기본이 되는 중요한 산출물’
기업의 주요 서비스별 정보자산의 분류 명칭을 기록
간략한 자산명칭, 수량, 용도
및 기능, 위치, 관리 부서를 기록하는 정도로 식별
자산 목록
‘조직이 수립한 기준에 따라 자산별 가치를 평가’
전체 자산가치
정보보호 특성(기밀성, 무결성, 가용성)의 가치
기밀성: 정보자산의 접근은 인가된 사람만이 접근 가능함을 보장해야 하는 특성
무결성: 정보자산 내의 정보 및 처리 방법의 정확성, 완전성을 보호해야 하는 특성
가용성: 인가된 사용자가 필요 시 정보자산 및 관련 정보에 접근하는
것을 보장해야 하는 특성
1.2.2 현황 및 흐름 분석
|
인증 기준 |
관리체계 전 영역에 대한
정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로
검토하여 최신성을 유지하여야 한다. |
|
주요 확인사항 |
관리체계 전 영역에 대한
정보서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화하고 있는가? |
|
관리체계 범위 내 개인정보 처리 현황을
식별하고 개인정보의 흐름을 파악하여 개인정보흐름도 등으로 문서화하고 있는가? |
|
|
서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 주기적으로 검토하여 흐름도 등 관련 문서의 최신성을
유지하고 있는가? |
관리체계 전 영역에 대한 서비스와 유관한 개인정보 자산 식별
개인정보 자산의 형태, 소유자, 관리자
특성 등을 포함하여 목록과 흐름도 작성
개인정보 흐름분석
개인정보 처리업무 분석
관리체계 범위 내 기업의 개인정보 관련 서비스 및 업무 중에서 개인정보 처리업무를 도출하여 평가범위를 선정
개인정보 흐름표 작성
개인정보의 수집, 보유, 이용.제공, 파기에 이르는 Life-Cycle별
현황을 식별하여 개인정보 처리현황을 명확히 할 수 있도록 흐름표 작성
개인정보 흐름도 작성
개인정보 흐름표를 바탕으로 개인정보의 수집, 보유, 이용.제공, 파기에 이르는
Life-Cycle별 현황을 식별하여 개인정보 처리 현황을 명확히 알 수 있도록 흐름도 작성
1.2.3
위험평가
|
인증 기준 |
조직의 대내외 환경분석을
통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회
이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다. |
|
주요 확인사항 |
조직 또는 서비스의 특성에
따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가? |
|
위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)를
구체화한 위험관리계획을 매년 수립하고 있는가? |
|
|
위험관리계획에 따라 연 1회 이상 정기적으로 또는 필요한 시점에 위험평가를 수행하고 있는가? |
|
|
조직에서 수용 가능한 목표 위험수준을
정하고 그 수준을 초과하는 위험을 식별하고 있는가? |
|
|
위험식별 및 평가 결과를
경영진에게 보고하고 있는가? |
위험식별 및 평가 단계
‘잠재적 손실에 대한 영향을 식별 및 분석하는 과정’
식별된 자산에 대한 가치를 평가
자산에 영향을 줄 수 있는 모든 위협, 취약성 및 위험을 식별하고
분류
정보자산의 가치와 위험을 고려
위험평가 업무 절차
1 자산식별 및 가치 평가
-
자산의 가치 평가 수행
2 위협 평가
-
위협은 자산에 피해를 줄 수 있는 잠재성을 가지고 있는 것으로, 발생 가능성은 의도적 또는 비의도적, 자연적 또는 사람에 의한 가능성을
평가하도록 한다.(누가, 무엇이, 원인과 어떤 자산이 어떤 위협이나 영향을 받고 있는지 확인하고 위협 가능성을 평가)
3 취약성 평가
자산이나 서비스에 피해를 발생시키는 위협의 요소는 이용하는 조직, 인력, 외부자, 하드웨어, 소프트웨어, 인프라 장비와 해당 요소들이 내포하고 있는 취약성을 포함한다.(위협과
연계되지 않은 취약성은 보호대책 구현이 필요하지 않지만 환경의 변화에 대해 모니터링을 유지하지 않으면 추후 위험에 노출될 수 있다.
4 위험 평가
정보자산의 가치를 평가하고 자산에 대한 위협, 취약성을 분석한 후에는
해당 정보자산의 가치와위협 및 취약성의 정도를 고려하여 기밀성, 무결성, 가용성 손상에 따른 잠재적 손실의 영향을 식별하고 그 크기를 분석해야 한다.
5 목표 위험수준 결정
평가된 위험의 규모에 따라 수용할 위험과 수용하기 어려운 위험을 분류하고, 수용할
수 없는 위험에 대해서는 우선순위를 정하여 적절한 보호대책을 수립한다.
6 위험평가 결과 경영진 보고
위험 평가 결과는 경영진이 이해하기 쉽게 보고하고, 평가 보고서에
경영진이 의사 결정할 수 있는 내용으로 작성한다.
1.2.4 보호대책 선정
|
인증 기준 |
위험 평가 결과에 따라
식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정·담당자·예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야
한다. |
|
주요 확인사항 |
식별된 위험에 대한 처리
전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정하고 있는가? |
|
보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을
수립하고 경영진에 보고하고 있는가? |
위험 식별 및 평가 결과에 근거하여 선정
관리체계 인증 기준에서 제시하는 보호대책 통제항목과의 연계성도 함께 고려
보호대책 선정 및 이행계획 수립 업무 절차
위험처리 전략 설정
위험분석 평가 단계를 통해 설정된 위험의 우선순위에 따라 각 위험에 적절한 대응을 마련해야 한다.
위험감소, 위험수용, 위험회피, 위험전가
보호대책 선정 시 고려사항 검토
보호대책 선정 시, 위험을 제거하거나 최소화할 수 있는 보호대책 방안을
마련한다.
위험 대응 유사사례 벤치마킹/ 담당자들이 취약점 조치사항 및 책임사항
규정/ 위험점검 및 개선을 위한 계획 수립
보호대책 선정 시 비용 효과 분석을 수행하는 것이 좋다
이행계획 수립 및 보고
보호대책에 대해 단기, 중기, 장기로
구분하여 이행계획을 수립하고 정보보호최고책임자 등의 경영진에게 보고해야 한다. 보고 시에는 위험도를
기준으로 우선 순위를 결정하되 구축비용을 고려하여 필요한 인력, 예산 등의 자원을 확보받는다.
