태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.


1.2.4 보호대책 선정


위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정·담당자·예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다.



● 주요 점검 사항


  • 식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정하고 있는가?
  • 보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에 보고하고 있는가?

● 세부 설명


  • 식별된 위험에 대한 처리 전략(위험감소, 위험회피, 위험전가, 위험수용 등)을 수립하고 이에 다라 각 위험별로 위험처리를 위한 적절한 정보보호 및 개인정보보호 대책을 선정하여야 한다.
    • 위험수준 감소를 목표로 위험 처리전략을 수립하는 것이 일반적이며, 상황에 다라 위험회피, 위험전가, 위험수용의 전략을 고려

         ※ 위험처리 전략 (예시)

         * 위험감소 : 패스워드 도용의 위험을 줄이기 위해 개인정보처리시스템의 로그인 패스워드 복잡도와 길이를 3가지 문자조합 및 8글자 이상으로 강제 설정되도록 패스워드 설정 모듈을 개발하여 적용한다.

         위험회피 : 회사 홍보용 인터넷 홈페이지에서는 회원관리에 따른 리스크가 크므로 회원가입을 받지 않는 것으로 변경하고 기존 회원정보는 모두 파기한다.

         * 위험전가 : 중요정보 및 개인정보 유출 시 손해배상 소송 등에 따른 비용 손실을 줄이기 위해 관련 보험에 가입한다.

         * 위험수용 : 유지보수 등 협력업체, 개인정보 처리 수탁자 둥 당사에서 직접 관리·감독할 수 없는 PG사, 본인확인기관 등과 같은 대형 수탁자에 대하여는 해당 수탁자가 법령에 의한 정부감독을 받거나 정부로부터 보안인증을 획득한 경우에는 개인정보 보호법에 따른 문서체결 이외의 별도 관리·감독은 생략할 수 있도록 한다.

    • 보호대책을 선정할 때에는 정보보호 및 개인정보보호 대책은 정보보호 및 개인정보보호 관리체계 인증기준과의 연계성 고려
    • 불가피한 사유가 있는 경우에는 위험수용 전략을 선택할 수 있으나 무조건적인 위험수용은 지양하여야 하며 불가피한 사유의 적정성, 보완대책 적용가능성 등을 충분히 검토한 후 명확하고 객관적인 근거에 기반하여 위험수용 전략을 선택
    • 법률 위반에 해당하는 위험은 수용 가능한 위험에 포함되지 않도록 주의
    • 수용 가능한 위험수준을 초과하지 않은 위험 중 내·외부 환경의 변화에 따라 위험수준이 상승할 가능성이 높거나 조직이 중요하다고 판단하는 부분에 대해서는 보호대책 수립 고려
  • 정보보호 및 개인정보보호 대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 정보보호 최고책임자 및 개인정보보호 책임자 등 경영진에 보고하여야 한다.
    • 위험의 심각성 및 시급성, 구현의 용이성, 예산 할당, 자원의 가용성, 선후행 관계 등을 고려하여 우선순위 결정
    • 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 정보호보 및 개인정보보호 대책 이행계획을 수립하여 경영진에게 보고 및 승인

● 결함 사례


  • 정보보호 및 개인정보보호 대책에 대한 이행계획은 수립하였으나 정보보호 최고책임자 및 개인정보 보호책임자에게 보고가 이루어지지 않은 경우
  • 위험감소가 요구되는 일부 위험의 조치 이행계획이 누락되어 있는 경우
  • 이행계획 시행에 대한 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하였으나 일부 미이행된 건에 대한 사유 보고 및 후속 조치가 이루어지지 않은 경우


● taeho's notes


  • 보호대책이라 함은 위험평가 결과 식별된 위험을 처리하기 위한 관리적, 물리적, 기술적 조치방안을 일컫는다.
  • 보호대책에는 기술적으로는 방화벽, DB접근통제시스템과 같은 고가의 보안장비 및 보안SW에서 부터 홈페이지의 기술적 취약점을 제거하기 위한 시큐어코딩과 같은 무형의 보호대책을 망라하며 관리적으로는 각종 대장을 통한 관리기법, 위험을 수용하기 위한 각종 적정성 검토 및 결과 보고서와 그 승인 증적 그리고 각종 정보보호 및 화재보험 등 보험가입 증서도 포함될 수 있다.
  • 이러한 보호대책의 구현에는 긴 시간이 필요할 수 있으며 그러할 경우 구현이전까지 해당 위험을 제거하지는 못하더라도 어떻게 보완할 것인지에 대한 계획도 요구될 수 있다.


#ISMS-P인증기준  #보호대책선정 #정보보호관리체계 #KISA의ISMS-P인증기준안내서