ISMS-P 인증기준 (2)

1.2 위험 관리

1.2.1 정보자산 식별

인증 기준	조직의 업무 특성에 따라 정보자산 분류 기준을 수립하여 관리체계 범위 내 모든 정보 자산을 식별 및 분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다.
결함 사례	- 정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서 중요 정보 취급자 및 개인정보 취급자 PC를 통제하는 데 사용되는 출력물 보안, 문서 암호화, USB 매체제어 등의 내부 정보 유출 통제 시스템이 누락되어 있는 경우 - 정보보호 및 개인정보보호 관리체계 범위 내에서 제 3자로부터 제공받은 개인 정보가 있으나, 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우 - 내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류 기준이 일치하지 않은 경우

1.2.2 현황 및 흐름분석

인증 기준	관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악 후 문서화하여 이를 주기적으로 검토 및 최신성을 유지해야 한다.
결함 사례	- 관리체계 범위 내 주요 서비스의 업무 절차와 흐름 및 현황에 문서화가 이루어지지 않은 경우 - 개인정보 흐름도를 작성했으나, 실제 새인정보의 흐름과 상이한 부분이 다수 존재하거나 중요한 개인정보 흐름이 누락되어 있는 경우 - 최초 개인정보 흐름도 작성 이후에 현행화가 이루어지지 않아 변화된 개인정보 흐름이 흐름도에 반영되지 않고 있는 경우

1.2.3 위험 평가

인증 기준	조직의 대내외 환경 분석을 통해 유형별 위협 정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대해 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리해야 한다.
결함 사례	- 수립된 위험관리계획서에 위험평가 기간 및 위험관리 대상과 방법이 정의되어 있으나, 위험관리 수행 인력과 소요 예산 등 구체적인 실행계획이 누락되어 있는 경우 - 전년도에는 위험평가를 수행했으나, 금년도에는 자산 변경이 없었다는 사유로 위험평가를 수행하지 않은 경우 - 위험 관리 계획에 따라 위험 식별 및 평가를 수행하고 있으나, 범위 내 중요 정보자산에 대한 위험 식별 및 평가를 수행하지 않았거나, 정보보호 관련 법적 요구 사항 준수 여부에 따른 위험을 식별 및 평가하지 않은 경우 - 위험 관리 계획에 따라 위험 식별 및 평가를 수행하고, 수용 가능한 목표 위험 수준을 설정하였으나, 관련 사항을 경영진(정보보호 최고책임자 등)에 보고하여 승인 받지 않은 경우

1.2.4 보호대책 선정

인증 기준	위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정, 담당자, 예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다.
결함 사례	- 정보보호 및 개인정보보호 대책에 대한 이행계획은 수립하였으나, 정보보호 최고책임자 및 개인정보 보호책임자에게 보고가 이루어지지 않은 경우 - 위험감소가 요구되는 일부 위험의 조치 이행 계획이 누락되어 있는 경우 - 이행계획 시행에 대한 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고했으나, 일부 미이행된 건에 대한 사유 보고 및 후속 조치가 이루어지지 않은 경우 - 법에 따라 의무적으로 이행해야 할 사항, 보안 취약성이 높은 위험 등을 별도의 보호조치 계획 없이 위험수용으로 결정하여 조치하지 않은 경우