1.2.4 보호대책 선정


위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정·담당자·예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다.



● 주요 점검 사항


  • 식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정하고 있는가?
  • 보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에 보고하고 있는가?

● 세부 설명


  • 식별된 위험에 대한 처리 전략(위험감소, 위험회피, 위험전가, 위험수용 등)을 수립하고 이에 다라 각 위험별로 위험처리를 위한 적절한 정보보호 및 개인정보보호 대책을 선정하여야 한다.
    • 위험수준 감소를 목표로 위험 처리전략을 수립하는 것이 일반적이며, 상황에 다라 위험회피, 위험전가, 위험수용의 전략을 고려

         ※ 위험처리 전략 (예시)

         * 위험감소 : 패스워드 도용의 위험을 줄이기 위해 개인정보처리시스템의 로그인 패스워드 복잡도와 길이를 3가지 문자조합 및 8글자 이상으로 강제 설정되도록 패스워드 설정 모듈을 개발하여 적용한다.

         위험회피 : 회사 홍보용 인터넷 홈페이지에서는 회원관리에 따른 리스크가 크므로 회원가입을 받지 않는 것으로 변경하고 기존 회원정보는 모두 파기한다.

         * 위험전가 : 중요정보 및 개인정보 유출 시 손해배상 소송 등에 따른 비용 손실을 줄이기 위해 관련 보험에 가입한다.

         * 위험수용 : 유지보수 등 협력업체, 개인정보 처리 수탁자 둥 당사에서 직접 관리·감독할 수 없는 PG사, 본인확인기관 등과 같은 대형 수탁자에 대하여는 해당 수탁자가 법령에 의한 정부감독을 받거나 정부로부터 보안인증을 획득한 경우에는 개인정보 보호법에 따른 문서체결 이외의 별도 관리·감독은 생략할 수 있도록 한다.

    • 보호대책을 선정할 때에는 정보보호 및 개인정보보호 대책은 정보보호 및 개인정보보호 관리체계 인증기준과의 연계성 고려
    • 불가피한 사유가 있는 경우에는 위험수용 전략을 선택할 수 있으나 무조건적인 위험수용은 지양하여야 하며 불가피한 사유의 적정성, 보완대책 적용가능성 등을 충분히 검토한 후 명확하고 객관적인 근거에 기반하여 위험수용 전략을 선택
    • 법률 위반에 해당하는 위험은 수용 가능한 위험에 포함되지 않도록 주의
    • 수용 가능한 위험수준을 초과하지 않은 위험 중 내·외부 환경의 변화에 따라 위험수준이 상승할 가능성이 높거나 조직이 중요하다고 판단하는 부분에 대해서는 보호대책 수립 고려
  • 정보보호 및 개인정보보호 대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 정보보호 최고책임자 및 개인정보보호 책임자 등 경영진에 보고하여야 한다.
    • 위험의 심각성 및 시급성, 구현의 용이성, 예산 할당, 자원의 가용성, 선후행 관계 등을 고려하여 우선순위 결정
    • 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 정보호보 및 개인정보보호 대책 이행계획을 수립하여 경영진에게 보고 및 승인

● 결함 사례


  • 정보보호 및 개인정보보호 대책에 대한 이행계획은 수립하였으나 정보보호 최고책임자 및 개인정보 보호책임자에게 보고가 이루어지지 않은 경우
  • 위험감소가 요구되는 일부 위험의 조치 이행계획이 누락되어 있는 경우
  • 이행계획 시행에 대한 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하였으나 일부 미이행된 건에 대한 사유 보고 및 후속 조치가 이루어지지 않은 경우


● taeho's notes


  • 보호대책이라 함은 위험평가 결과 식별된 위험을 처리하기 위한 관리적, 물리적, 기술적 조치방안을 일컫는다.
  • 보호대책에는 기술적으로는 방화벽, DB접근통제시스템과 같은 고가의 보안장비 및 보안SW에서 부터 홈페이지의 기술적 취약점을 제거하기 위한 시큐어코딩과 같은 무형의 보호대책을 망라하며 관리적으로는 각종 대장을 통한 관리기법, 위험을 수용하기 위한 각종 적정성 검토 및 결과 보고서와 그 승인 증적 그리고 각종 정보보호 및 화재보험 등 보험가입 증서도 포함될 수 있다.
  • 이러한 보호대책의 구현에는 긴 시간이 필요할 수 있으며 그러할 경우 구현이전까지 해당 위험을 제거하지는 못하더라도 어떻게 보완할 것인지에 대한 계획도 요구될 수 있다.


#ISMS-P인증기준  #보호대책선정 #정보보호관리체계 #KISA의ISMS-P인증기준안내서

  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기

댓글을 달아 주세요

">