[ISMS-P인증기준] 1.2.3 위험 평가

항목

---

1. 관리체계 수립 및 운영

- 1.2. 위험 관리

- 1.2.3 위험 평가

 

인증기준

---

조직의 대내외 환경분석을 통하여 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다.

 

1.2.3 위험 평가

세부설명

---

■ 조직의 특성을 반영하여 관리적·기술적·물리적·법적 분야 등 다양한 측면에서 발생할 수 있는 정보보호 및 개인정보보호 관련 위험을 식별하고 평가할 수 있도록 위험평가 방법을 정의하고 문서화하여야 한다.

 

- 위험평가 방법 선정 : 베이스라인 접근법, 상세위험 분석법, 복합 접근법, 위협 및 시나리오 기반 등

- 비즈니스 및 조직의 특성 반영 : 조직의 비전 및 미션, 비즈니스 목표, 서비스 유형, 컴플라이언스 등

- 다양한 관점 고려 : 해킹, 내부자 유출, 외부자 관리·감독 소홀, 개인정보 관련 법규 위반 등

- 최신 취약점 및 위협동향 고려

- 위험평가 방법론은 조직의 특성에 맞게 자체적으로 정하여 적용할 수 있으나, 위험평가의 과정은 합리적이어야 하고, 위험평가 결과는 실질적인 위험의 심각성을 대변할 수 있어야 함

 

■ 위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)를 구체화한 위험관리계획을 수립하여야 한다.

 

- 수행인력 : 위험관리 전문가, 정보보호·개인정보보호 전문가, 법률 전문가, IT 실무 책임자, 현업부서 실무 책임자, 외부 전문컨설턴트 등 참여(이해관계자의 참여 필요)

- 기간 : 최소 연 1회 이상 수행될 수 있도록 일정 수립

- 대상 : 인증 범위 내 모든 서비스 및 자산(정보자산, 개인정보, 시스템, 물리적 시설 등) 포함

- 방법 : 조직의 특성을 반영한 위험평가 방법론 정의

- 예산 : 위험 식별 및 평가 시행을 위한 예산 계획을 매년 수립하고 정보보호 최고책임자 등 경영진 승인

 

 

■ 위험관리계획에 따라 정보보호 및 개인정보보호 관리체계 범위 전 영역에 대한 위험평가를 연 1회 이상 정기적으로 또는 필요한 시점에 수행하여야 한다.

 

- 사전에 수립된 위험관리 방법 및 계획에 따라 체계적으로 수행

- 위험평가는 연 1회 이상 정기적으로 수행하되 조직의 변화, 신규시스템 도입 등 중요한 사유가 발생한 경우 해당 부분에 대하여 정기적인 위험평가 이외에 별도로 위험평가 수행

- 서비스 및 정보자산의 현황과 흐름분석 결과 반영

- 최신 법규를 기반으로 정보보호 및 개인정보보호 관련 법적 요구사항 준수 여부 확인

- 정보보호 및 개인정보보호 관리체계 인증기준의 준수 여부 확인

- 기 적용된 정보보호 및 개인정보보호 대책의 실효성 검토 포함

 

■ 조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하여야 한다.

 

- 각종 위험이 조직에 미치는 영향(발생가능성, 심각도 등)을 고려하여 위험도 산정기준 마련

- 위험도 산정기준에 따라 식별된 위험에 대하여 위험도 산정

- 수용 가능한 목표 위험수준(DoA, Degree of Assurance)을 정보보호 최고책임자, 개인정보 보호책임자 등 경영진의 의사결정에 의하여 결정

- 수용 가능한 목표 위험수준을 초과하는 위험을 식별하고 문서화

 

■ 위험 식별 및 평가 결과를 정보보호 최고책임자, 개인정보 보호책임자 등 경영진이 이해하기 쉽게 작성하여 보고하여야 한다.

 

- 식별된 위험에 대한 평가보고서 작성

- 식별된 위험별로 관련된 이해관계자에게 내용 공유 및 논의(실무 협의체, 위원회 등)

- IT, 법률적 전문 용어보다는 경영진의 눈높이에서 쉽게 이해하고 의사 결정할 수 있도록 보고서를 작성하여 보고

 

결함사례

---

‧ 사례 1 : 수립된 위험관리계획서에 위험평가 기간 및 위험관리 대상과 방법이 정의되어 있으나, 위험관리 수행 인력과 소요 예산 등 구체적인 실행계획이 누락되어 있는 경우

 

‧ 사례 2 : 전년도에는 위험평가를 수행하였으나, 금년도에는 자산 변경이 없었다는 사유로 위험 평가를 수행하지 않은 경우

 

‧ 사례 3 : 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 있으나, 범위 내 중요 정보자산에 대한 위험 식별 및 평가를 수행하지 않았거나, 정보보호 관련 법적 요구 사항 준수 여부에 따른 위험을 식별 및 평가하지 않은 경우

 

‧ 사례 4 : 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 수용 가능한 목표 위험수준을 설정하였으나, 관련 사항을 경영진(정보보호 최고책임자 등)에 보고하여 승인받지 않은 경우

 

‧ 사례 5 : 내부 지침에 정의한 위험 평가 방법과 실제 수행한 위험 평가 방법이 상이할 경우

 

‧ 사례 6 : 정보보호 관리체계와 관련된 관리적·물리적 영역의 위험 식별 및 평가를 수행하지 않고, 단순히 기술적 취약점진단 결과를 위험 평가 결과로 갈음하고 있는 경우

 

‧ 사례 7 : 수용 가능한 목표 위험수준(DoA)을 타당한 사유 없이 과도하게 높이는 것으로 결정함에 따라, 실질적으로 대응이 필요한 주요 위험들이 조치가 불필요한 위험(수용 가능한 위험)으로 지정된 경우

 

"본 저작물은 '한국인터넷진흥원'에서 '2023년' 작성하여 공공누리 제4유형으로 개방한 '정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증기준 안내서'를 이용하였으며, 해당 저작물은 '한국인터넷진흥원(https://isms.kisa.or.kr/)'에서 무료로 다운받으실 수 있습니다."