(관리체계) 1.2.4 보호대책 선정 (위험 감소/회피/전가/수용)

항목		상세내용	주요 확인사항
1.2.4	보호대책 선정	위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정∙담당자∙예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다.	식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정하고 있는가?
			보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에 보고하고 있는가?

 

 

※ 위험처리 전략

구분		예시
위험감소	위험을 줄이기 위한 대책을 구현하는 것	시스템 도입, 응용프로그램 구현 등 상황예시) 패스워드 도용의 위험을 줄이기 위하여 개인정보처리시스템의 로그인 패스워드 복잡도와 길이를 3가지 문자조합 및 8글자 이상으로 강제 설정되도록 패스워드 설정모듈을 개발하여 적용
위험회피	위험이 발생할 상황 자체를 피하는 것	시스템 사용중지, 데이터 파기 등 상황예시) 회사 홍보용 인터넷 홈페이지에서는 회원 관리에 따른 위험이 크므로 회원 가입을 받지 않는 것으로 변경하고 기존 회원정보는 모두 파기
위험전가	위험으로 인한 손실을 누군가에게 부담시키는 것	전문업체 활용, 보험가입 등 상황예시) 중요정보 및 개인정보 유출 시 손해배상 소송 등에 따른 비용 손실을 줄이기 위하여 관련 보험에 가입한다.
위험수용	위험이 발생할 가능성을 그대로 발아들이는 것	기존시스템 운영, 대형수탁사 관리감독 생략 등 상황예시) 유지보수 등 협력업체, 개인정보 처리 수탁자 중 당사에서 직접 관리·감독할 수 없는 PG사, 본인확인기관 등과 같은 대형 수탁자에 대하여는 해당 수탁자가 법령에 의한 정부감독을 받거나 정부로부터 보안인증을 획득한 경우에는 개인정보 보호법에 따른 문서체결 이외의 별도 관리·감독은 생략할 수 있도록 한다.

 

정보보호 및 개인정보보호 대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고, 정보보호 최고책임자 및 개인정보 보호책임자 등 경영진에 보고하여야 합니다.

• 위험의 심각성 및 시급성, 구현의 용이성, 예산 할당, 자원의 가용성, 선후행 관계 등을 고려하여 우선순위 결정
• 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 정보보호 및 개인정보보호 대책 이행계획을 수립하여 경영진에게 보고 및 승인

 

※ 증거자료 예시 

• 정보보호 및 개인정보보호 이행계획서·위험관리계획서
• 정보보호 및 개인정보보호 대책서
• 정보보호 및 개인정보보호 마스터플랜
• 정보보호 및 개인정보보호 이행계획 경영진 보고 및 승인 내역

 

※ 결함사례 예시 

• 사례 1
   :  정보보호 및 개인정보보호 대책에 대한 이행계획은 수립하였으나, 정보보호 최고책임자 및 개인정보 보호책임자에게 보고가 이루어지지 않은 경우
• 사례 2
  : 위험감소가 요구되는 일부 위험의 조치 이행계획이 누락되어 있는 경우
• 사례 3
  : 법에 따라 의무적으로 이행하여야 할 사항, 보안 취약성이 높은 위험 등을 별도의 보호조치 계획 없이 위험수용으로 결정하여 조치하지 않은 경우
• 사례 4
  : 위험수용에 대한 근거와 타당성이 미흡하고, 시급성 및 구현 용이성 등의 측면에서 즉시 또는 단기 조치가 가능한 위험요인에 대해서도 특별한 사유 없이 장기 조치계획으로 분류한 경우 

 

※ 인증항목 유사 내용 구분 비교

주요 키워드	인증항목
이행 계획	1.2.4 보호대책 선정
이행 완료계획	1.3.1 보호대책 구현