1.2 위험관리
1.2.1 정보자산 식별
정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는가?
식별된 정보자산에 대하여 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가?
- 정보자산이 보안 위험에 노출되었을 경우 발생할 손실을 반영하여 정보 자산 중요도를 평가한다
- 정보자산의 중요도 평가는 기밀성, 무결성, 가용성을 기준으로 설정한 값의 총합을 통해 산정한다.
- 기밀성 (출처 : 정보자산 관리지침 제 7조)
- 무결성
- 가용성
정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가?
EX) 「정보보호 관리체계 운영지침」 제 ◌◌조 (정보자산 등록)
1) 정보자산 관리자는 정보자산의 등록, 변경, 삭제의 경우 부서 정보보호 책임자에 허가를 득하고 부서 자산 목록에 수정한다. 이 때, 부서 정보보호 책임자는 자산의 분류, 중요도 평가, 보안 등급을 검토 후 허가를 하여야 한다.
3) 부서 정보보호 책임자는 변경된 '부서 자산 목록'을 정보보호 담당자에게 제출하여야 한다.
3) '정보 자산 목록'은 최신으로 유지하여야 하며, 정보보호 담당자는 연 1회 이상 실사를 진행한다.
1.2.2 현황 및 흐름분석
관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화하고 있는가?
네트워크 구성도로 대체
주요 직무자 업무 절차 및 흐름..?
-> 주요 직무자 선별이 우선 (2.2.1)
◇ 관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보 흐름도 등으로 문서화하고 있는가?
- 개인정보 처리 확인 후 진행
서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 주기적으로 검토하여 흐름도 등 관련 문서의 최신성을 유지하고 있는가?
연 1회 이상 정보 흐름 최신성 유지
ㄴ 오픈한지 얼마 되지 않음
기존 서비스, 업무 및 개인정보 흐름의 변화 여부(신규 서비스 오픈 또는 개편, 업무절차의 변경, 개인정보 처리 방법 변화, 조직의 변경, 외부 연계 및 제공 흐름 변경 등)
▶ 처리되는 중요정보, 개인정보 항목의 변화 여부
▶ 정보시스템 및 개인정보처리시스템의 종류, 구성, 기능 등의 변경 여부
▶ 신규 개인정보 처리업무 및 흐름 발생 여부
▶ 법규 개정, 신규 취약점의 발생 등 외부 환경의 변화 여부 등
1.2.3 위험 평가
조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가?
IT 위험 관리 지침
정보보호 위원회 절차서
=> 책 보면서 다시 생각해보자
어떤 자료를 어떻게 만들어야 하는지 고민
위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)를 구체화한 위험관리계획을 매년 수립하고 있는가
[참고 자료]
https://www.sharedit.co.kr/posts/15883
https://www.kisa.or.kr/204/form?postSeq=010304&lang_type=KO
SK 쉴더스 - 정보보호 및 개인정보보호관리체계(ISMS-P) 운영 가이드
KISA - ISMS-P 인증기준 안내서(2022.4.22)
KISA - ISMS 인증 심사 신청
LG CNS - https://blog.lgcns.com/2557
'내 웹 서버 > ISMS 인증' 카테고리의 다른 글
| 2.2 인적 보안 (0) | 2023.04.13 |
|---|---|
| 2.1 정책, 조직, 자산 관리 (0) | 2023.04.12 |
| 1.4 관리체계 점검 및 개선 (0) | 2023.04.07 |
| 1.3 관리체계 운영 (0) | 2023.04.05 |
| 1.1 관리체계 수립 및 운영 (0) | 2023.03.29 |