[ISMS/ISMS-P 인증기준] (관리체계) 1.2.4 보호대책 선정

ISMS/ISMS-P 공통 > 1.2 위험 관리 > 1.2.4 보호대책 선정

·

[인증기준]

• 위험평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정, 담당자, 예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다.

[주요 확인사항]

• 식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정하고 있는가?
• 보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에 보고하고 있는가?
• [MVNO 추가]
  본인인증 과정 등에서 식별된 위험을 처리하기 위한 적합한 보호대책을 선정하고 있는가?

[세부 설명]

• 식별된 위험에 대한 처리 전략(위험감소, 위험회피, 위험전가, 위험수용 등)을 수립하고, 이에 따라 위험별로 위험처리를 위한 적절한 정보보호 및 개인정보보호 대책을 선정하여야 한다.
  (예시)
  * 위험감소 : 위험을 조치
  * 위험회피 : 위험을 제3자에게 공유 (ex. 손해배상 소송 등에 따른 비용을 줄이기 위해 보험 가입)
  * 위험전가 : 위험이 존재하는 프로세스, 사업을 수행하지 않음
  * 위험수용 : 잠재적 손실이나 위험을 받아들이고 프로세스 및 사업 수행
  
  • 위험수준 감소를 목표로 위험 처리전략을 수립하는 것이 일반적이며, 상황에 따라 위험회피, 위험전가, 위험수용의 전략 고려
  • 보호대책을 선정할 때에는 정보보호 및 개인정보보호 대책은 정보보호 및 개인정보보호 관리체계 인증기준과의 연계성 고려
  • 불가피한 사유가 있는 경우에는 위험수용 전략을 선택할 수 있으나 무조건적인 위험수용은 지양하여야하며, 불가피한 사유의 적정성, 보완대책 적용가능성 등을 충분히 검토한 후 명확하고 객관적인 근거에 기반하여 선택
  • 법률 위반에 해당하는 위험은 수용 가능한 위험에 포함되지 않도록 주의
  • 수용 가능한 위험수준을 초과하지 않은 위험 중 내·외부 환경의 변화에 따라 위험수준이 상승할 가능성이 높거나 조직이 중요하다고 판단하는 부분에 대해서는 보호대책 수립 고려
• 정보보호 및 개인정보보호 대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고, 정보보호 최고책임자 및 개인정보 보호책임자 등 경영진에 보고하여야 한다.
  • 위험의 심각성 및 시급성, 구현의 용이성, 예산 할당, 자원의 가용성, 선후행 관계 등을 고려하여 우선순위 결정
  • 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 정보보호 및 개인정보보호 대책 이행계획을 수립하여 경영진에게 보고 및 승인

[증거자료]

• 정보보호 및 개인정보보호 이행계획서, 위험관리 계획서
• 정보보호 및 개인정보보호 대책서
• 정보보호 및 개인정보보호 마스터 플랜
• 정보보호 및 개인정보보호 이행계획서 경영진 보고 및 승인 내역

[결함사례]

• 정보보호 및 개인정보보호 대책에 대한 이행계획은 수립하였으나, 정보보호 최고책임자 및 개인정보 보호책임자에게 보고가 이루어지지 않은 경우
• 위험감소가 요구되는 일부 위험의 조치 이행계획이 누락되어 있는 경우
• 법에 따라 의무적으로 이행하여야 할 사항, 보안 취약성이 높은 위험 등을 별도의 보호조치 계획 없이 위험수용으로 결정하여 조치하지 않은 경우
• 위험수용에 대한 근거와 타당성이 미흡하고, 시급성 및 구현 용이성 등의 측면에서 즉시 또는 단기 조치가 가능한 위험요인에 대해서도 특별한 사유 없이 장기 조치계획으로 분류한 경우