ISMS-P 인증 기준, 위험 관리

ISMS 인증을 준비하면서 제일 힘들었던 영역중 하나가 위험평가 영역이었습니다. 다행스럽게도 내년부터는 간편인증으로 갈아타기 때문에 위험평가 영역은 패스해도 되지만 최초심사와 사후1차 심사과정에서도 제일 어려웠던 영역이 위험평가 부분이었습니다. 

 

참고로 활용할 수 있는 문서가 없어서 좀 오래된 문서이기는 하지만 KISA 에서 제공하는 '위험관리 가이드' 기초로 지식을 넓혀가게 되었습니다. 

위험관리 가이드-20041214(배포용).hwp

0.44MB

 

 

 

ISMS-P 인증 대상 기업에서는 1.2.3 항목이 유지되었고요.

ISMS-P 간편인증 대상(7의2,7의3) 기업에서는 1.2.3 항목이 삭제되었습니다. 

(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업 (7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업

 

1.2 위험 관리

1.2.1 정보자산 식별

1.2.2 현황 및 흐름 분석

1.2.3 위험 평가

1.2.4 보호대책 선정

 

개요

인증기준

조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다.

 

주요확인사항

조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가?

위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)를 구체화한 위험관리계획을 매년 수립하고 있는가?

위험관리계획에 따라 연 1회 이상 정기적으로 또는 필요한 시점에 위험평가를 수행하고 있는가?

조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하고 있는가?

위험식별 및 평가 결과를 경영진에게 보고하고 있는가?

 

세부 설명

위험 식별 방법 정의

조직의 특성을 반영하여 관리적·기술적·물리적·법적 분야 등 다양한 측면에서 발생할 수 있는 정보보호 및 개인정보보호 관련 위험을 식별하고 평가할 수 있도록 위험평가 방법을 정의하고 문서화하여야 한다. 위험평가 방법 선정 : 베이스라인 접근법, 상세위험 분석법, 복합 접근법, 위협 및 시나리오 기반 등 비즈니스 및 조직의 특성 반영 : 조직의 비전 및 미션, 비즈니스 목표, 서비스 유형, 컴플라이언스 등 다양한 관점 고려 : 해킹, 내부자 유출, 외부자 관리·감독 소홀, 개인정보 관련 법규 위반 등 최신 취약점 및 위협동향 고려 위험평가 방법론은 조직의 특성에 맞게 자체적으로 정하여 적용할 수 있으나, 위험평가의 과정은 합리적이어야 하고, 위험평가 결과는 실질적인 위험의 심각성을 대변할 수 있어야 함.

 

위험 관리 계획 수립

위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)을 구체화한 위험관리계획을 수립하여야 한다. 수행인력 : 위험관리 전문가, 정보보호·개인정보보호 전문가, 법률 전문가, IT 실무 책임자, 현업부서 실무 책임자, 외부 전문컨설턴트 등 참여(이해관계자의 참여 필요) 기간 : 최소 연 1회 이상 수행될 수 있도록 일정 수립 대상 : 인증 범위 내 모든 서비스 및 자산(정보자산, 개인정보, 시스템, 물리적 시설 등) 포함 방법 : 조직의 특성을 반영한 위험평가 방법론 정의 예산 : 위험 식별 및 평가 시행을 위한 예산 계획을 매년 수립하고 정보보호 최고책임자 등 경영진 승인

 

정기적 위험평가

위험관리계획에 따라 정보보호 및 개인정보보호 관리체계 범위 전 영역에 대한 위험평가를 연 1회 이상 정기적으로 또는 필요한 시점에 수행하여야 한다. 사전에 수립된 위험관리 방법 및 계획에 따라 체계적으로 수행 위험평가는 연 1회 이상 정기적으로 수행하되 조직의 변화, 신규시스템 도입 등 중요한 사유가 발생한 경우 해당 부분에 대하여 정기적인 위험평가 이외에 별도로 위험평가 수행 서비스 및 정보자산의 현황과 흐름분석 결과 반영 최신 법규를 기반으로 정보보호 및 개인정보보호 관련 법적 요구사항 준수 여부 확인 정보보호 및 개인정보보호 관리체계 인증기준의 준수 여부 확인 기 적용된 정보보호 및 개인정보보호 대책의 실효성 검토 포함

 

위험 수용 수준 설정 및 위험 식별

조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하여야 한다. 각종 위험이 조직에 미치는 영향(발생가능성, 심각도 등)을 고려하여 위험도 산정기준 마련 위험도 산정기준에 따라 식별된 위험에 대하여 위험도 산정 수용 가능한 목표 위험수준(DoA, Degree of Assurance)을 정보보호 최고책임자, 개인정보 보호책임자 등 경영진의 의사결정에 의하여 결정 수용 가능한 목표 위험수준을 초과하는 위험을 식별하고 문서화

 

경영진 보고

위험 식별 및 평가 결과를 정보보호 최고책임자, 개인정보 보호책임자 등 경영진이 이해하기 쉽게 작성하여 보고하여야 한다. 식별된 위험에 대한 평가보고서 작성 식별된 위험별로 관련된 이해관계자에게 내용 공유 및 논의(실무 협의체, 위원회 등) IT, 법률적 전문 용어보다는 경영진의 눈높이에서 쉽게 이해하고 의사 결정할 수 있도록 보고서를 작성하여 보고

증거자료

위험관리 지침 위험관리 매뉴얼/가이드 위험관리 계획서 위험평가 결과보고서 정보보호 및 개인정보보호위원회 회의록 정보보호 및 개인정보보호 실무 협의회 회의록 정보자산 및 개인정보자산 목록 정보서비스 및 개인정보 흐름표/흐름도

 

 

결함사례

수립된 위험관리계획서에 위험평가 기간 및 위험관리 대상과 방법이 정의되어 있으나, 위험관리 수행 인력과 소요 예산 등 구체적인 실행계획이 누락되어 있는 경우 전년도에는 위험평가를 수행하였으나, 금년도에는 자산 변경이 없었다는 사유로 위험 평가를 수행하지 않은 경우 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 있으나, 범위 내 중요 정보자산에 대한 위험 식별 및 평가를 수행하지 않았거나, 정보보호 관련 법적 요구 사항 준수 여부에 따른 위험을 식별 및 평가하지 않은 경우 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 수용 가능한 목표 위험수준을 설정 하였으나, 관련 사항을 경영진(정보보호 최고책임자 등)에 보고하여 승인받지 않은 경우 내부 지침에 정의한 위험 평가 방법과 실제 수행한 위험 평가 방법이 상이할 경우 정보보호 관리체계와 관련된 관리적·물리적 영역의 위험 식별 및 평가를 수행하지 않고, 단순히 기술적 취약점진단 결과를 위험 평가 결과로 갈음하고 있는 경우 수용 가능한 목표 위험수준(DoA)을 타당한 사유 없이 과도하게 높이는 것으로 결정함에 따라, 실질적으로 대응이 필요한 주요 위험들이 조치가 불필요한 위험(수용 가능한 위험)으로 지정된 경우

참고문헌

정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23)

ISMS-P 인증기준 안내서(2023.11.23).pdf

8.11MB