ISMS-P (관리체계) 1.2.3 위험평가(Risk assessment)

 

※ 관련법규

• 「개인정보 보호법」 제29조(안전조치의무)
• 「 개인정보의 안전성 확보조치 기준 」 제4조(내부 관리계획의 수립·시행 및 점검)

 

항목		상세내용	주요 확인사항
1.2.3	위험 평가	조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다.	조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가?
			위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)를 구체화한 위험관리계획을 매년 수립하고 있는가?
			위험관리계획에 따라 연 1회 이상 정기적으로 또는 필요한 시점에 위험평가를 수행하고 있는가?
			조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하고 있는가?
			위험식별 및 평가 결과를 경영진에게 보고하고 있는가?

 

△ 위험평가 방법 정의하여 문서화

• 위험평가 방법 예시
  • 베이스라인 접근법
    : 모든 시스템에 대해 표준화된 보호대책을 체크리스트 형태로 제공하는 방법
    • 체크리스트를 통해 보호대책을 확인하므로 분석 비용과 시간을 절약할 수 있습니다.
    • 모든 시스템에 대해 동일한 보호대책을 적용하므로 표준화된 접근을 제공할 수 있습니다.
  • 상세위험 분석법
    : 자산분석, 위협분석, 취약성 분석의 각 단계를 수행하여 위험을 평가하는 방법
    • 정보시스템/물리적/인적 자산등을 포함하여 조직의 자산을 식별하고 분류
    • 외부공격자, 내부위협, 자연재해 등을 고려하여 조직이 직면한 위협을 식별하고 평가
    • 보안결함, 미흡한 보호장치, 사람의 실수(휴먼 에러, human error) 등을 고려하여 자산에 대한 취약성 식별
  • 복합 접근법
    : 여러 가지 방법론을 복합적으로 사용하는 방법 (ex, 베이스라인접근 + 상세위험분석)
    • 장점 : 비용과 자원의 효과적 사용, 고위험 영역을 빠르게 식별하고 적절하게 처리
    • 단점 : 고위험 영역을 잘못 식별할 경우 부적절한 대응이 발생할 수 있음
  • 위협 및 시나리오 기반
    : 다양한 보안 위협 시나리오를 고려하여 위험을 평가하고 대응 계획을 수립하는 방법
    • 시나리오 개발 (Scenario Development)
      : 사이버 공격, 내부 위협, 기술적 취약점, 자연재해, 법적 위험 등 조직의 다양한 특성과 환경을 고려하여 발생 가능한 보안 위협 시나리오를 제작
    • 위험 평가 (Risk Assessment)
      :  잠재적 영향과 발생 가능성을 고려하여 위험 수준을 결정하는 과정으로 각 시나리오에 대한 위험을 평가
    • 대응 계획 수립 (Response Planning)
      : 각 시나리오에 대한 대응 방안을 구체적으로 계획하여 예방, 탐지, 대응, 복구 단계를 고려하여 위험을 최소화하는 방법을 정함
• 비즈니스 및 조직의 특성 반영 : 조직의 비전 및 미션, 비즈니스 목표, 서비스 유형, 컴플라이언스 등
• 다양한 관점 고려 : 해킹, 내부자 유출, 외부자 관리·감독 소홀, 개인정보 관련 법규 위반 등
• 최신 취약점 및 위협동향 고려
• 위험평가 방법론은 조직의 특성에 맞게 자체적으로 정하여 적용할 수 있으나, 위험평가의 과정은 합리적이어야 하고, 위험평가 결과는 실질적인 위험의 심각성을 대변할 수 있어야 합니다.
• 위험 식별 및 평가 시행을 위한 예산 계획을 매년 수립하고 정보보호 최고책임자 등 경영진 승인이 필요합니다.
• 위험 식별 및 평가 결과를 정보보호 최고책임자(CISO), 개인정보 보호책임자(CPO) 등 경영진이 이해하기 쉽게 작성하여 보고하여야 합니다.

 

※ 증거자료 예시 

• 위험관리 지침
• 위험관리 매뉴얼·가이드
• 위험관리 계획서
• 위험평가 결과보고서
• 정보보호 및 개인정보보호 위원회 회의록
• 정보보호 및 개인정보보호 실무 협의회 회의록
• 정보자산 및 개인정보자산 목록
• 정보서비스 및 개인정보 흐름표·흐름도

 

※ 결함사례 참고

• 사례 1
   : 수립된 위험관리계획서에 위험평가 기간 및 위험관리 대상과 방법이 정의되어 있으나, 위험관리 수행 인력과 소요 예산 등 구체적인 실행계획이 누락되어 있는 경우
• 사례 2
  : 전년도에는 위험평가를 수행하였으나, 금년도에는 자산 변경이 없었다는 사유로 위험 평가를 수행하지 않은 경우
• 사례 3
  : 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 있으나, 범위 내 중요 정보자산에 대한 위험 식별 및 평가를 수행하지 않았거나, 정보보호 관련 법적 요구 사항 준수 여부에 따른 위험을 식별 및 평가하지 않은 경우
• 사례 4
  : 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 수용 가능한 목표 위험 수준을 설정하였으나, 관련 사항을 경영진(정보보호 최고책임자 등)에 보고하여 승인받지 않은 경우
• 사례 5
  : 내부 지침에 정의한 위험 평가 방법과 실제 수행한 위험 평가 방법이 상이할 경우
• 사례 6
  : 정보보호 관리체계와 관련된 관리적·물리적 영역의 위험 식별 및 평가를 수행하지 않고, 단순히 기술적 취약점진단 결과를 위험 평가 결과로 갈음하고 있는 경우 
• 사례 7
  : 수용 가능한 목표 위험수준(DoA)을 타당한 사유 없이 과도하게 높이는 것으로 결정함에 따라, 실질적으로 대응이 필요한 주요 위험들이 조치가 불필요한 위험(수용 가능한 위험)으로 지정된 경우