1.2.3 위험 평가


조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다.



● 주요 점검 사항


  • 조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가?
  • 위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)를 구체화한 위험관리 계획을 매년 수립하고 있는가?
  • 위험관리 계획에 따라 연 1회 이상 정기적으로 또는 필요한 시점에 위험평가를 수행하고 있는가?
  • 위험식별 및 평가 결과를 경영진에게 보고하고 있는가?

● 관련 법규


  • 개인정보 보호법 제29조(안전조치의무)
  • 개인정보의 안정성 확보조치 기준(고시) 제4조(내부 관리계획의 수립·시행)

● 세부 설명


  • 조직의 특성을 반영하여 관리적, 기술적, 물리적, 법적 분야 등 다양한 측면에서 발생할 수 있는 정보보호 및 개인정보보호 관련 위험을 식별하고 평가할 수 있도록 위험평가 방법을 정의하고 문서화하여야 한다.
    • 위험평가 방법 선정 : 베이스라인 접근법, 상세위험 분석법, 복합 접근법, 위협 및 시나리오 기반 등
    • 비즈니스 및 조직의특성 반영 : 조직의 비전 및 미션, 비즈니스 목표, 서비스 유형, 컴플라이언스 등
    • 다양한 관점 고려 : 해킹, 내부자 유출, 외부자 관리·감독 소홀, 개인정보 관련 법규 위반 등
    • 최신 취약점 및 위협 동향 고려
    • 위험평가 방법론은 조직의 특성에 맞게 자체적으로 정하여 적용할 수 있으나, 위험평가의 과정은 합리적이어야 하고 위험평가 결과는 실질적인 위험의 심각성을 대변할 수 있어야 함
  • 위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)을 구체화한 위험관리계획을 수립하여야 한다.
    • 수행인력 : 위험관리 전문가, 정보보호 및 개인정보보호 전문가, 법률 전문가, IT 실무 책임자, 현업부서 실무 책임자, 외부 전문컨설턴트 등 참여(이해관계자 및 이해관계자가 아닌 제3자의 참여 필요)
    • 기간 : 최소 연 1회 이상 수행될 수 있도록 일정 수립
    • 대상 : 인증 범위 내 모든 서비스 및 자산(정보자산, 개인정보, 시스템, 물리적 시설 등) 포함
    • 방법 : 조직의 특성을 반영한 위험평가 방법론 정의
    • 예산 : 위험 식별 및 평가 시행을 위한 예산 계획을 매년 수립하고 정보보호책임자 등 경영진 승인
  • 위험관리계획에 따라 정보보호 및 개인정보보호 관리체계 범위 전 영역에 대한 위험평가를 연 1회 이상 정기적으로 또는 필요한 시점에 수행하여야 한다.
    • 사전에 수립된 위험관리 방법 및 계획에 따라 체계적으로 수행
    • 위험평가는 연 1회 이상 정기적으로 수행하되 조직의 변화, 신규시스템 도입 등 중요한 사유가 발생한 경우 해당 부분에 대하여 정기적인 위험평가 외 별도의 위험평가를 수행
    • 서비스 및 정보자산의 현황과 흐름분석 결과를 반영
    • 최신 법류를 기반으로 정보보호 및 개인정보보호 관련 법적 요구사항 준수 여부 확인
    • 정보보호 및 개인정보 관리체계 인증기준의 준수 여부 확인
    • 기 적용된 정보보호 및 개인정보보호 대책의 실효성 검토 포함
  • 조직에서 수횽 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하여야 한다.
    • 각종 위험이 조직에 미치는 영향(발생가능성, 심각도 등)을 고려하여 위험도 산정기준을 마련
    • 위험도 산정기준에 따라 식별된 위험에 대하여 위험도를 산정
    • 수용 가능한 목표 위험수준(DoA : Degree of Assurance)을 정보보호 최고책임자, 개인정보 보호책임자 등 경영진의 의사결정에 의하여 결정
    • 수용 가능한 목표 위험수준을 초과하는 위험을 식별하고 문서화
  • 위험 식별 및 평가 결과를 정보보호 최고책임자, 개인정보 보호책임자 등 경영진이 이해하기 쉽계 작성하여 보고하여야 한다.
    • 식별된 위험에 대한 평가보고서 작성
    • 식별된 위험 별로 관련된 이해관계자에게 내용 공유 및 논의(실무 협의체, 위원회 등)
    • IT, 법률적 전문 용어보다는 경영진의 눈높이에서 쉽게 이해하고 의사 결정할 수 있도록 보고서를 작성하여 보고

● 결함 사례


  • 수립된 위험관리계획서에 위험평가 기간 및 위험관리 대상과 방법이 정의 되어 있으나, 위험관리 수행 인력과 소요 예산 등 구체적인 실행계획이 누락되어 있는 경우
  • 전년도에는 위험평가를 수행하였으나, 금년도에는 자산의 변경이 없었다는 사유로 위험평가를 수행하지 않은 경우
  • 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 있으나, 범위 내 중요 정보자산에 대한 위험 식별 및 평가를 수행하지 않았거나 정보보호 관련 법적 요구사항 준수여부에 따른 위험을 식별 및 평가하지 않은 경우
  • 위험관리 계획에 따라 위험식별 및 평가를 수행하고 수용 가능한 목표 위험 수준을 설정하였으나 관련 사항을 경영진(정보보호 최고책임자 등)에 보고하여 승인받지 않은 경우


● taeho's notes


  • 위험관리는 두꺼운 책으로 한권이 나올 만큼 방대한 내용을 가지며 정보보안기사 시험과 ISMS인증심사원 시험에서도 꼭 공부해야 하는 매우 중요한 과목임. KISA의 Library에 잘 정리된 문서가 있으므로 참고바람
  • 1.2.3 위험 평가는 위험관리 단계 중 '위험관리 전략 및 계획 수립', '위험 분석', '위험 평가' 단계의 적절성을 평가하는 인증기준임
    • 최소 연 1회 이상 사용자 환경 및 서버,PC, DBMS, 응용프로그램 등 정보시스템 전반에 대한 위험 관리 계획을 수립하고 투입인력, 방법론, 소요예산, 일정 등을 경영진 및 정보보호위원회에 보고하고 승인받아야 함
    • 자산의 유형별로 적절한 위험평가 방법론 및 취약점 점검 방법이 적용되었는지 확인해야 함
  • 최초 심사를 수검받는 신청기관이 위험관리의 라이프사이클을 최소 1회 이행완료하지 못한 경우 중결함 사안에 해당될 수 있음.
  • 사후 혹은 갱신 심사를 수검받는 신청기관에서 연1회 이상 법적 요구사항의 변화에 대한 검토를 하지 않았거나 법적 요구사항의 변화를 검토하는 위험 평가를 수행하고 인지한 증적이 있음에도 관련 내용을 정책이나 지침에 반영하지 않았을 경우에도 결함으로 도출될 수 있음
  • DoA의 적절성 평가를 짧은 심사기간 동안 수행하기는 매우 어렵지만 신청기관의 업종 및 서비스의 특성을 감안하여 중요 정보시스템에 중대한 서비스 중단이나 중요 정보유출 등 사고를 유발할 수 있는 위험이 DoA보다 낮은 수준의 위험으로 산정되지는 않았는지를 확인하여야 함


#ISMS-P인증기준  #정책수립 #정보보호관리체계 #KISA의ISMS-P인증기준안내서

  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기

댓글을 달아 주세요

">