1.통제 목적
조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험평가 방법을 선정하여 관리체계 전 영역에 대하여 연1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다.
2.주요 확인 사항
- 조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가?
- 위험관리 방법 및 절차(수행 인력, 기간, 대상, 방법, 예산 등)를 구체화한 위험관리 계획을 매년 수립하고 있는가?
- 위험관리계획에 따라 연 1회 이상 정기적으로 또는 필요한 시점에 위험 평가를 수행하고 있는가?
- 조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하고 있는가?
- 위험식별 및 평가 결과를 경영진에게 보고하고 있는가?
3.결함 사례
1)수립된 위험관리계획서에 위험평가 기간 및 위험관리 대상과 방법이 정의 되어 있으나, 위험관리 수행 인력과 소요 예산등 구체적인 실행계획이 누락되어 있는 경우
2)전년도에는 위험평가를 수행하였으나, 금년도에는 자산의 변경이 없었다는 사유로 위험평가를 수행하지 않은 경우
3)위험관리 계획에 따라 위험 식별 및 평가를 수행하고 있으나, 범위 내 중요 정보자산에 대한 위험식별 및 평가를 수행하지 않았거나 정보보호 관련 법적요구사항 준수여부에 따른 위험을 식별 및 평가하지 않은 경우
4)위험관리계획에 따라 위험 식별 및 평가를 수행하고 수용 가능한 목표 위험수준을 설정하였으나, 관련 사항을 경영진(정보보호 책임자 등)에 보고하여 승인 받지 않은 경우
'정보보호 및 개인정보보호 관리체계 > 항목별 참조 자료 모음' 카테고리의 다른 글
| 1.3.1 보호대책 구현 (0) | 2020.12.02 |
|---|---|
| 1.2.4 보호대책 선정 (0) | 2020.12.01 |
| 1.2.2 현황 및 흐름분석 (0) | 2020.12.01 |
| 1.2.1 정보자산식별 (0) | 2020.11.30 |
| 1.1.6 자원할당 (0) | 2020.11.30 |