Isms 위험관리 방법 및 계획 수립

* 위험의 구성요소

- 자산 (Assets) : 조직이 보호해야 할 대상

- 위협 (Threats) : 원치 않은 사건의 잠재적인 원인이나 행위자

- 취약성 (Vulnerability) : 자산의 잠재적인 속성으로, 위협의 이용 대상

- 정보보호대책 (Safeguard) : 위협에 대응하여, 자산을 지키기 위한 대책

* 위험관리(Risk Management)

- 위험을 인식하고, 적절한 비용 이내에서 필요한 통제 방안을 선택함으로써 위협을 적절히 통제하는 과정

* 위험관리 방법

- 위험 감소: 보안 투자를 늘리는 등의 방법으로 위험이 발생할 확률을 줄인다.

(개인정보 유출로 인하여 과태료를 지불해야 할 상황)

- 위험 회피: 위험이 동반되는 사업을 수행하지 않거나 완전 다른 방법을 사용한다.

- 위험 전가: 위험한 사업을 외주로 전환하거나 보험에 들어 위험부담이나 책임을 이전시킨다.

- 위험 수용: 위험부담을 그대로 감수하고 진행한다.

* 위험관리 과정

1. 위험 관리 계획 수립

2. 위험 식별

3. 정성적 위험분석 수행

4. 정량적 위험분석 수행

5. 위험 대응 계획 수립

6. 위험 감시 및 통제

* 위험관리 방법론

① 국내 ISMS 인증체계

② ISO/IEC 27001

③ ISO/IEC TR 13335-3

* 위험분석 방법: 

* 델파이법:

- 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한위협과 취약성을 토론을 통해 분석하는 방법이다.

- 위험 분석을 짧은 기간에 도출할 수 있어 시간과 비용을 절약할 수 있지만, 추정의 정확도가 낮다.

 

* 시나리오법:

- 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건 하에 위협에 대한 발생 가능한 결과들을 추정하는 방법

- 적은 정보를 가지고 전반적인 가능성을 추론할 수 있고 위험분석과 관리층 간의 원활한 의사소통을 가능하게 한다.

-그러나 발생 가능한 사건의 이론적인 추측에 불과하고 정확도, 완성도, 이용기술의 수준 등이 낮을 수 있다.

* 상세 위험 분석

-자산 분석, 위협 분석, 취약성 분석의 각 단계를 수행하여 위험을 분석하는 것을 말한다.

* 정보보호 관리 체계 ISMS(Information Security Management System) 의 각 단계 (계-수-점-조)

계획 -> 수행 -> 점검 -> 조치

1. 계획 - ISMS 수립

2. 수행 - ISMS 구현과 운영

3. 점검 - ISMS 모니터링과 검토

4. 조치 - ISMS 관리와 개선

* 정보보호 관리 체계 (ISMS)의 관리 과정

1. 정보보호 정책 수립 및 범위 설정

2. 경영진 책임 및 조직 구성

3. 위험관리

4. 정보보호 대책 구현

5. 사후관리

ISMS구축을 위한 5단계 프로세스.xlsx

0.01MB

ISMS구축을 위한 5단계 프로세스 (정책 수립 및 범위설정>경영조직>위험관리>구현>사후관리)

관리과정	특징	관련 문서
정보보호 정책 수립 및 범위설정	〮 조직 전반에 걸친 상위 수준의 정보보호 정책 수립 〮 정보보호 관리체계 범위설정	〮 정보보호 정책서 〮 정보보호 관리체계 범위서 〮 정보 자산 목록(정보통신 설비 목록) 〮 네트워크 및 시스템 구성도
경영진 책임 및 조직구성	〮 정보보호를 수행하기 위한 조직 내 각 부문의 책임 설정 〮 경영진 참여 가능하도록 보고 및 의사결정체계 구축	〮 정보보호 조직도
위험관리	〮 위험관리 방법 및 계획 수립 〮 위험 식별 및 위험도 평가 〮 정보보호 대책 선정 〮구현 계획 수립	〮 위험관리 지침서 〮 (00년)위험관리 계획서 〮 위험 분석, 평가 보고서
정보보호 대책 구현	〮 정보보호 대책 구현 및 이행 확인 〮 내부 공유 및 교육	〮 정보보호 대책 명세서 〮 정보보호계획서 〮 정보보호 계획 이행결과 보고서
사후관리	〮 법적 요구사항 준수 검토 〮 정보보호 관리체계 운영 현황 관리 〮 정기적인 내부감사를 통해 정책 준수 확인	〮 정보보호 관리체계, 내부감사 보고서 〮 정보보호 관리체계, 운영현황표

ISMS-P 인증 기준 1.2.3.위험 평가

IT위키

• 영역: 1.관리체계 수립 및 운영
• 분류: 1.2.위험 관리

개요[편집 | 원본 편집]

항목 1.2.3.위험 평가

인증기준	조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다.
주요 확인사항	조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가? 위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)를 구체화한 위험관리계획을 매년 수립하고 있는가? (가상자산 사업자) 위험평가 항목에서 경영진의 승인을 받은 항목에는 가상자산 취급업소에서 관리하는 가상자산의 콜드웰렛과 핫 월렛의 보유액 비율을 포함하고 있는가? 위험관리계획에 따라 연 1회 이상 정기적으로 또는 필요한 시점에 위험평가를 수행하고 있는가? 조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하고 있는가? (가산자산 사업자) 가상자산 거래 서비스에서 발생할 수 있는 위험을 빠짐없이 식별ㆍ평가하고 있는가? (예. CEO 사망, 내부유출, 부정거래, 자연재해, 키 분실, 월렛서버 탈취 등) 가상자산의 특성상 가상자산 노드서버가 공인IP 사용, DMZ 구간에 위치해야 하는 등 운영상 제약이 있는 경우, 그에 따른 위험이 식별되어 있는가? 위험식별 내용에는 가상자산별 블록체인에서 멀티시그를 제공하지 않는 경우가 포함되어 있는가? 위험식별 및 평가 결과를 경영진에게 보고하고 있는가?

세부 설명[편집 | 원본 편집]

위험 식별 방법 정의[편집 | 원본 편집]

조직의 특성을 반영하여 관리적·기술적·물리적·법적 분야 등 다양한 측면에서 발생할 수 있는 정보보호 및 개인정보보호 관련 위험을 식별하고 평가할 수 있도록 위험평가 방법을 정의하고 문서화하여야 한다.

• 위험평가 방법 선정 : 베이스라인 접근법, 상세위험 분석법, 복합 접근법, 위협 및 시나리오 기반 등
• 비즈니스 및 조직의 특성 반영 : 조직의 비전 및 미션, 비즈니스 목표, 서비스 유형, 컴플라이언스 등
• 다양한 관점 고려 : 해킹, 내부자 유출, 외부자 관리·감독 소홀, 개인정보 관련 법규 위반 등
• 최신 취약점 및 위협동향 고려
• 위험평가 방법론은 조직의 특성에 맞게 자체적으로 정하여 적용할 수 있으나, 위험평가의 과정은 합리적이어야 하고, 위험평가 결과는 실질적인 위험의 심각성을 대변할 수 있어야 함.

위험 관리 계획 수립[편집 | 원본 편집]

위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)을 구체화한 위험관리계획을 수립하여야 한다.

• 수행인력 : 위험관리 전문가, 정보보호·개인정보보호 전문가, 법률 전문가, IT 실무 책임자, 현업부서 실무 책임자, 외부 전문컨설턴트 등 참여(이해관계자의 참여 필요)
• 기간 : 최소 연 1회 이상 수행될 수 있도록 일정 수립
• 대상 : 인증 범위 내 모든 서비스 및 자산(정보자산, 개인정보, 시스템, 물리적 시설 등) 포함
• 방법 : 조직의 특성을 반영한 위험평가 방법론 정의
• 예산 : 위험 식별 및 평가 시행을 위한 예산 계획을 매년 수립하고 정보보호 최고책임자 등 경영진 승인

정기적 위험평가[편집 | 원본 편집]

위험관리계획에 따라 정보보호 및 개인정보보호 관리체계 범위 전 영역에 대한 위험평가를 연 1회 이상 정기적으로 또는 필요한 시점에 수행하여야 한다.

• 사전에 수립된 위험관리 방법 및 계획에 따라 체계적으로 수행
• 위험평가는 연 1회 이상 정기적으로 수행하되 조직의 변화, 신규시스템 도입 등 중요한 사유가 발생한 경우 해당 부분에 대하여 정기적인 위험평가 이외에 별도로 위험평가 수행
• 서비스 및 정보자산의 현황과 흐름분석 결과 반영
• 최신 법규를 기반으로 정보보호 및 개인정보보호 관련 법적 요구사항 준수 여부 확인
• 정보보호 및 개인정보보호 관리체계 인증기준의 준수 여부 확인
• 기 적용된 정보보호 및 개인정보보호 대책의 실효성 검토 포함

위험 수용 수준 설정 및 위험 식별[편집 | 원본 편집]

조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하여야 한다.

• 각종 위험이 조직에 미치는 영향(발생가능성, 심각도 등)을 고려하여 위험도 산정기준 마련
• 위험도 산정기준에 따라 식별된 위험에 대하여 위험도 산정
• 수용 가능한 목표 위험수준(DoA, Degree of Assurance)을 정보보호 최고책임자, 개인정보 보호책임자 등 경영진의 의사결정에 의하여 결정
• 수용 가능한 목표 위험수준을 초과하는 위험을 식별하고 문서화

경영진 보고[편집 | 원본 편집]

위험 식별 및 평가 결과를 정보보호 최고책임자, 개인정보 보호책임자 등 경영진이 이해하기 쉽게 작성하여 보고하여야 한다.

• 식별된 위험에 대한 평가보고서 작성
• 식별된 위험별로 관련된 이해관계자에게 내용 공유 및 논의(실무 협의체, 위원회 등)
• IT, 법률적 전문 용어보다는 경영진의 눈높이에서 쉽게 이해하고 의사 결정할 수 있도록 보고서를 작성하여 보고

증거 자료[편집 | 원본 편집]

• 위험관리 지침
• 위험관리 매뉴얼/가이드
• 위험관리 계획서
• 위험평가 결과보고서
• 정보보호 및 개인정보보호위원회 회의록
• 정보보호 및 개인정보보호 실무 협의회 회의록
• 정보자산 및 개인정보자산 목록
• 정보서비스 및 개인정보 흐름표/흐름도

결함 사례[편집 | 원본 편집]

• 수립된 위험관리계획서에 위험평가 기간 및 위험관리 대상과 방법이 정의되어 있으나, 위험관리 수행 인력과 소요 예산 등 구체적인 실행계획이 누락되어 있는 경우
• 전년도에는 위험평가를 수행하였으나, 금년도에는 자산 변경이 없었다는 사유로 위험 평가를 수행하지 않은 경우
• 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 있으나, 범위 내 중요 정보자산에 대한 위험 식별 및 평가를 수행하지 않았거나, 정보보호 관련 법적 요구 사항 준수 여부에 따른 위험을 식별 및 평가하지 않은 경우
• 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 수용 가능한 목표 위험수준을 설정 하였으나, 관련 사항을 경영진(정보보호 최고책임자 등)에 보고하여 승인받지 않은 경우

같이 보기[편집 | 원본 편집]

• 정보보호 및 개인정보보호관리체계 인증
• ISMS-P 인증 기준
• ISMS-P 인증 기준 세부 점검 항목

참고 문헌[편집 | 원본 편집]

• 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)