1.2.1. 정보자산 식별

조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별· 분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다.

 

1. 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는가? (개정 23.11.23.)

상세 기준

  - 조직의 특성에 맞게 정보자산의 분류기준을 수립하고, 분류 기준에 따라 정보자산을 빠짐없이 식별

    ※ 정보자산 분류(예시)

      - 자산 유형별 분류 : 서버, 데이터(DBMS), 정보시스템(응용프로그램), 소프트웨어, 네트워크장비, 보안시스템, PC, 정보, 설비, 시설 등

      - 자산 유형별 항목(예)

        : 서버 : 호스트 명칭, 자산 일련번호, 모델명, 용도, IP주소, 관리 부서명, 관리 실무자, 관리 책임자, 보안등급 등

        : 데이터 : 데이터베이스명, Table명, (개인)정보 항목명(예: 이름, 성별, 생년월일, 휴대폰번호, 이메일 등), 관리 부서명, 관리 실무자, 관리 책임자, 저장 시스템(호스트 명칭), 저장 위치(IP 주소), 보안등급 등

        : 정보시스템 : 서버, PC 등 단말기, 보조저장매체, 네트워크 장비, 응용 프로그램 등 정보의 수집, 가공, 저장, 검색, 송수신에 필요한 하드웨어 및 소프트웨어

        : 보안시스템 : 정보의 훼손, 변조, 유출 등을 방지하기 위하여 구축된 시스템으로 침입차단시스템 , 침입탐지시스템, 침입방지시스템, 개인정보유출방지시스템 등을 포함

        : 정보 : 문서적 정보와 전자적 정보 모두를 포함(중요정보, 개인정보 등)

  - 자산명, 용도, 위치, 책임자 및 관리자, 관리부서 등의 자산정보를 확인하여 목록 작성

  - 정보자산의 효율적 관리를 위하여 자산관리시스템 활용 또는 문서(엑셀) 등 다양한 형태로 관리

  - 클라우드 서비스를 이용하는 경우, 클라우드 서비스의 특성을 반영한 분류기준(예를 들어, 가상서버, 오브젝트 스토리지 등)을 마련하고 이에 따라 클라우드 자산을 식별·관리(개정 23.11.23.)

 

2. 식별된 정보자산에 대하여 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가?

상세 기준   - 법적 요구사항이나 업무에 미치는 영향 등 각 자산 특성에 맞는 보안등급 평가기준 결정
    ※ 보안등급 산정기준(예시)
      - 기밀성, 무결성, 가용성, 법적 준거성 등에 따른 중요도 평가
      - 서비스 영향, 이익손실, 고객 상실, 대외 이미지 손상 등도 고려
  - 보안등급 평가기준에 따라 정보자산별 보안등급 산정 및 목록으로 관리

 

3. 정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가?

상세 기준   - 신규 도입, 변경, 폐기되는 자산 현황을 확인할 수 있도록 절차 마련
  - 정기적으로 정보자산 현황 조사를 수행하고 정보자산목록을 최신으로 유지

 

    운영 내역(증적) 예시

 

  • 정보자산 및 개인정보 자산분류 기준
  • 정보자산 및 개인정보  자산목록(자산관리시스템 화면)
  • 정보자산 및 개인정보 보안등급
  • 자산실사 내역
  • 위험분석 보고서(자산식별 내역)

 

    ** 인증심사 결함사항 예시 ** (개정 23.11.23.)

 

  1. 정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보취급자 PC를 통제하는데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락되어 있는 경우
  2. 정보보호 및 개인정보보호 관리체계 범위 내에서 제3자로부터 제공받은 개인정보가 있으나 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우
  3. 내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류기준이 일치하지 않은 경우
  4.  온프레미스 자산에 대해서는 식별이 이루어졌으나, 외부에 위탁한 IT 서비스(웹호스팅, 서버호스팅, 클라우드 등)에 대한 자산 식별이 누락된 경우(단, 인증범위 내) (개정 23.11.23.)
  5. 고유식별정보 등 개인정보를 저장하고 있는 백업서버의 기밀성 등급을 (하)로 산정하는 등 정보자산 중요도 평가의 합리성 및 신뢰성이 미흡한 경우 (개정 23.11.23.)

  6. (CELA)(AWS) 클라우드 시스템 자산 식별이 누락된 경우 : AWS, Azure, GCP 등 클라우드 서비스

  7. (CELA)개발 관련 시스템 자산을 추가하지 않은 경우 : GitLab, SVN, Jenkins 등
  8. (CELA)(AWS) 클라우드 시스템 자산 식별이 누락된 경우 : S3, cloudwatch, cloudtrail, ELB, VPC, SG 등


1.2.2. 현황 및 흐름분석

관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다.

 

1. 관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화하고 있는가?

상세 기준

  - 현황 및 흐름분석은 위험분석의 사전단계로 다양한 관점에서 위험분석을 진행할 수 있는 기초자료가 된다. 또한 경영진이 정보보호 현황을 이해하고 위험관리를 위한 의사결정을 내리는데 효과적으로 활용 할 수 있다.

    : 현황분석은 인증기준과 운영현황을 비교하는 GAP 분석표를 통하여 인증기준과 운영현황과의 차이를 확인

    : 흐름분석은 정보서비스 흐름분석과 개인정보 처리단계별 흐름분석으로 구분되며 그 결과는 흐름표 또는 흐름도로 도식화

      ※ 정보서비스 흐름도는 조직의 업무절차, 정보보호 요구사항, 보안통제의 상호연계를 사용자 기반으로 도식화한 접근통제 개념도를 의미함

      ※ 개인정보 흐름도는 수집, 보유, 이용·제공, 파기되는 개인정보 처리단계별로 흐름을 한눈에 확인 할 수 있도록 도식화한 개념도를 의미함

  - 관리체계 범위 내의 모든 정보서비스 현황 식별

  - 정보서비스별 업무 절차 및 흐름 파악

  - 업무 절차 및 흐름에 대한 문서화 : 업무현황표, 업무흐름도 등

 

2. 관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보흐름도 등으로 문서화하고 있는가?

상세 기준 (ISMS_P 인증인 경우)
  : (1단계) 개인정보 처리가 이루어지는 단위 업무를 식별
  : (2단계) 각 단위 업무에 대한 개인정보 생명주기별 개인정보 흐름표 작성
  : (3단계) 작성된 개인정보 흐름표를 기반으로 수집, 보유, 이용·제공, 파기되는 개인정보 처리 단계별로 흐름을 한눈에 파악할 수 있도록 총괄 개인정보 흐름도 및 업무별 개인정보 흐름도 작성

 

3. 서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 주기적으로(최소 연 1회 이상) 검토하여 흐름도 등 관련 문서의 최신성을 유지하고 있는가? (개정 23.11.23.)

상세 기준

  - 기존 서비스, 업무 및 개인정보 흐름의 변화 여부(신규 서비스 오픈 또는 개편, 업무절차의 변경, 개인정보 처리 방법 변화, 조직의 변경, 외부 연계 및 제공 흐름 변경 등)

  - 처리되는 중요정보, 개인정보 항목의 변화 여부

  - 정보시스템 및 개인정보처리시스템의 종류, 구성, 기능 등의 변경 여부

  - 신규 개인정보 처리업무 및 흐름 발생 여부

  - 법규 개정, 신규 취약점의 발생 등 외부 환경의 변화 여부 등

 

    운영 내역(증적) 예시

 

  • 정보서비스 현황표
  • 정보서비스 업무흐름표/업무흐름도
  • 개인정보 처리 현황표(ISMS-P 인증인 경우)
  • 개인정보 흐름표/흐름도(ISMS-P 인증인 경우)

 

    ** 인증심사 결함사항 예시 **

 

  1. 관리체계 범위 내 주요 서비스의 업무 절차·흐름 및 현황에 문서화가 이루어지지 않은 경우
  2. 개인정보 흐름도를 작성하였으나 실제 개인정보의 흐름과 상이한 부분이 다수 존재하거나 중요한 개인정보 흐름이 누락되어 있는 경우
  3. 최초 개인정보 흐름도 작성 이후에 현행화가 이루어지지 않아 변화된 개인정보 흐름이 흐름도에 반영되지 않고 있는 경우

  4. (CELA)개인정보 흐름도 내 수탁사 현황 및 외부 시스템과 연계 전송 방법이 누락된 경우

  5. (CELA)개인정보 흐름도 내 다운로드 되는 개인정보에 대한 현황이 누락된 경우

  6. (CELA)개인정보 흐름도 내 오프라인으로 수집되는 개인정보 현황이 누락된 경우

  7. (CELA)개인정보 흐름도 내 DB 동기화에 대한 현황이 누락된 경우


1.2.3. 위험평가

조직의 대내외 환경분석을 통하여 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다.

 

1. 조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 문서화하고 있는가?

상세 기준

  - 위험평가 방법 선정 : 베이스라인 접근법, 상세위험 분석법, 복합 접근법, 위협 및 시나리오 기반 등

  - 비즈니스 및 조직의 특성 반영 : 조직의 비전 및 미션, 비즈니스 목표, 서비스 유형, 컴플라이언스 등 

  - 다양한 관점 고려 : 해킹, 내부자 유출, 외부자 관리· 감독 소홀, 개인정보 관련 법규 위반 등

  - 최신 취약점 및 위협동향 고려

  - 위험평가 방법론은 조직의 특성에 맞게 자체적으로 정하여 적용할 수 있으나, 위험평가의 과정은 합리적이어야 하고, 위험평가 결과는 실질적인 위험의 심각성을 대변할 수 있어야 함.

 

2. 위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)를 구체화한 위험관리 계획을 매년 수립하고 있는가?

상세 기준

  - 수행인력 : 위험관리 전문가, 정보보호 개인정보보호 전문가, 법률 전문가, IT 실무 책임자, 현업부서 실무 책임자, 외부 전문컨설턴트 등 참여(이해관계자의 참여 필요)

  - 기간 : 최소 연 1회 이상 수행될 수 있도록 일정 수립

  - 대상 : 인증 범위 내 모든 서비스 및 자산(정보자산, 개인정보, 시스템, 물리적 시설 등) 포함

  - 방법 : 조직의 특성을 반영한 위험평가 방법론 정의

  - 예산 : 위험 식별 및 평가 시행을 위한 예산 계획을 매년 수립하고 정보보호 최고책임자 등 경영진 승인

 

(가상자산사업자) 위험평가 항목에서 경영진의 승인을 받은 항목에는 가상자산 취급업소에서 관리하는 가상자산의 콜드웰렛과 핫 월렛의 보유액 비율을 포함하고 있는가?

상세 기준

  - 한국블록체인협회에서 권장하는 콜드/핫 월렛 보유량 비율 기준 : 콜드70%, 핫30%

 

3. 위험관리계획에 따라 정보보호 및 개인정보보호 관리체계 범위 전 영역에 대한 위험평가를 연 1회 이상 정기적으로 또는 필요한 시점에 수행하고 있는가?

상세 기준

  - 사전에 수립된 위험관리 방법 및 계획에 따라 체계적으로 수행

  - 위험평가는 연 1회 이상 정기적으로 수행하되 조직의 변화, 신규시스템 도입 등 중요한 사유가 발생한 경우 해당 부분에 대하여 정기적인 위험평가 이외에 별도로 위험평가를 수행

  - 서비스 및 정보자산의 현황과 흐름분석 결과 반영

  - 최신 법규를 기반으로 정보보호 및 개인정보보호 관련 법적 요구사항 준수여부 확인

  - 정보보호 및 개인정보보호 관리체계 인증기준의 준수 여부 확인

  - 기 적용된 정보보호 및 개인정보보호 대책의 실효성 검토 포함

 

4. 조직에서 수용 가능한 목표 위험수준을 정하고, 그 수준을 초과하는 위험을 식별하고 있는가?

상세 기준

  - 각종 위험이 조직에 미치는 영향(발생가능성, 심각도 등)을 고려하여 위험도 산정기준 마련

  - 위험도 산정기준에 따라 식별된 위험에 대하여 위험도 산정

  - 수용 가능한 목표 위험수준(DoA, Degree of Assurance)을 정보보호 최고책임자, 개인정보 보호책임자 등 경영진의 의사결정에 의하여 결정

  - 수용 가능한 목표 위험수준을 초과하는 위험을 식별하고 문서화

 

(가상자산사업자) 가상자산 거래 서비스에서 발생할 수 있는 위험을 빠짐없이 식별ㆍ평가하고 있는가?

상세 기준

  - 예. CEO 사망, 내부유출, 부정거래, 자연재해, 키 분실, 월렛서버 탈취 등

    : CEO의 사망으로 인한 개인키를 복구하지 못할 경우에 대한 위험 식별

    : 접근통제 미흡으로 인한 중요 자산 내부유출, 월렛서버 탈취 위험 식별

    : 불공정 거래로 인한 손해배상 및 법률 위반 위험 식별

    : 재해복구 절차 수립 미흡으로 인한 위험 식별

    : 백업 미흡으로 인한 키 분실 위험 식별

 

(가상자산사업자) 가상자산의 특성상 가상자산 노드서버가 공인IP 사용, DMZ 구간에 위치해야 하는 등 운영상 제약이 있는 경우, 그에 따른 위험이 식별되어 있는가?

상세 기준

  - 가상자산 노드서버가 공인IP 사용, DMZ 구간에 위치해야 하는 등 운영상 제약이 있는 경우, 그에 따른 위험 식별

 

(가상자산사업자) 위험식별 내용에는 가상자산별 블록체인에서 멀티시그를 제공하지 않는 경우가 포함되어 있는가?

상세 기준

  - 위험식별 내용에 가상자산별 블록체인에서 멀티시그를 제공하지 않는 경우 포함

 

5. 위험식별 및 평가 결과를 정보보호 최고책임자, 개인정보 보호책임자 등 경영진에게 이해하기 쉽게 작성하여 보고하고 있는가?

상세 기준

  - 식별된 위험에 대한 평가보고서 작성

  - 식별된 위험별로 관련된 이해관계자에게 내용 공유 및 논의(실무 협의체, 위원회 등)

  - IT, 법률적 전문 용어보다는 경영진의 눈높이에서 쉽게 이해하고 의사 결정할 수 있도록 보고서를 작성하여 보고

 

    운영 내역(증적) 예시

 

  • 위험관리 지침
  • 위험관리 매뉴얼/가이드
  • 위험관리 계획서
  • 위험평가 결과보고서
  • 정보보호 및 개인정보보호 위원회 회의록
  • 정보보호 및 개인정보보호 실무 협의회 회의록
  • 정보자산 및 개인정보자산 목록
  •  정보서비스 및 개인정보 흐름표/흐름도

 

    ** 인증심사 결함사항 예시 ** (개정 23.11.23.)

 

  1. 수립된 위험관리계획서에 위험평가 기간 및 위험관리 대상과 방법이 정의 되어 있으나, 위험관리 수행 인력과 소요 예산 등 구체적인 실행계획이 누락되어 있는 경우
  2. 내부 지침에 정의한 위험 평가 방법과 실제 수행한 위험 평가 방법이 상이할 경우 (개정 23.11.23.)
  3. 전년도에는 위험평가를 수행하였으나, 금년도에는 자산의 변경이 없었다는 사유로 위험 평가를 수행하지 않은 경우
  4. 정보보호 관리체계와 관련된 관리적·물리적 영역의 위험 식별 및 평가를 수행하지 않고, 단순히 기술적 취약점진단 결과를 위험 평가 결과로 갈음하고 있는 경우 (개정 23.11.23.)
  5. 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 있으나, 범위 내 중요 정보자산에 대한 위험 식별 및 평가를 수행하지 않았거나 정보보호 관련 법적 요구 사항 준수여부에 따른 위험을 식별 및 평가하지 않은 경우
  6. 수용 가능한 목표 위험수준(DoA)을 타당한 사유 없이 과도하게 높이는 것으로 결정함에 따라, 실질적으로 대응이 필요한 주요 위험들이 조치가 불필요한 위험(수용 가능한 위험)으로 지정된 경우 (개정 23.11.23.)
  7. 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 수용 가능한 목표 위험수준을 설정하였으나 관련 사항을 경영진(정보보호 최고책임자 등)에 보고하여 승인받지 않은 경우

  8. (CELA)클라우드 시스템 자산에 대한 위험평가 자산이 누락된 경우 : AWS Security Group, AWS S3, AWS WAF 등

  9. (CELA)모바일 앱 서비스의 취약점 점검에 누락된 항목이 있으며, 관련 취약점이 발견된 경우
  10. (CELA)네트워크 영역을 분리하였으나, 동일 네트워크 구역 내 서버간 RDP, SSH 등 연결이 차단되지 않은 경우 
  11. (CELA)실제 위험이 없어도 위험을 식별하는 과도한 위험도 산정 방법을 수립한 경우

  12. (CELA)재택근무로 인하여 망분리 된 PC의 인터넷망PC에서 업무망PC로 원격을 허용하는 예외 정책에 대한 위험 식별 및 평가가 누락된 경우

1.2.4. 보호대책 선정

위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정· 담당자· 예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다.

 

1. 식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정하고 있는가?

상세 기준

  - 위험수준 감소를 목표로 위험 처리전략을 수립하는 것이 일반적이며, 상황에 따라 위험회피, 위험전가, 위험수용의 전략 고려
    ※ 위험처리 전략(예시)
      - 위험감소 : 패스워드 도용의 위험을 줄이기 위하여 개인정보처리시스템의 로그인 패스워드 복잡도와 길이를 3가지 문자조합 및 8글자 이상으로 강제 설정되도록 패스워드 설정모듈을 개발하여 적용한다.
      - 위험회피 : 회사 홍보용 인터넷 홈페이지에서는 회원 관리에 따른 리스크가 크므로 회원 가입을 받지 않는 것으로 변경하고 기존 회원정보는 모두 파기한다.
      - 위험전가 : 중요정보 및 개인정보 유출 시 손해배상 소송 등에 따른 비용 손실을 줄이기 위하여 관련 보험에 가입한다.
      - 위험수용 : 유지보수 등 협력업체, 개인정보 처리 수탁자 중 당사에서 직접 관리 감독할 수 없는 PG사, 본인확인기관 등과 같은 대형 수탁자에 대하여는 해당 수탁자가 법령에 의한 정부감독을 받거나 정부로부터 보안인증을 획득한 경우에는 개인정보보호법에 따른 문서체결 이외의 별도 관리 감독은 생략할 수 있도록 한다.

  - 보호대책을 선정할 때에는 정보보호 및 개인정보보호 대책은 정보보호 및 개인정보보호 관리체계 인증기준과의 연계성 고려

  - 불가피한 사유가 있는 경우에는 위험수용 전략을 선택할 수 있으나 무조건적인 위험수용은 지양하여야 하며, 불가피한 사유의 적정성, 보완대책 적용가능성 등을 충분히 검토한 후 명확하고 객관적인 근거에 기반하여 위험수용 전략을 선택

  - 법률 위반에 해당하는 위험은 수용 가능한 위험에 포함되지 않도록 주의

  - 수용 가능한 위험수준을 초과하지 않은 위험 중 내· 외부 환경의 변화에 따라 위험수준이 상승할 가능성이 높거나 조직이 중요하다고 판단하는 부분에 대해서는 보호대책 수립 고려

 

(가상자산사업자) 가상자산별 블록체인에서 멀티시그를 제공하지 않는 경우, MFA(Multi Factor Authentication), 키분할, 자체 구축한 멀티시그 방식 등 이를 대체하기 위한 안전장치가 보호대책에 포함되어 있는가?

상세 기준

  - 멀티시그 대체 안전장치 : MFA(Multi Factor Authentication), 키분할, 자체 구축한 멀티시그 방식, MPC(Multi-Party Computation) 등

 

2. 보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 정보보호 최고책임자 및 개인정보 보호책임자 등 경영진에게 보고하고 있는가?

상세 기준

  - 위험의 심각성 및 시급성, 구현의 용이성, 예산 할당, 자원의 가용성, 선후행 관계 등을 고려하여 우선순위 결정

  - 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 정보보호 및 개인정보보호 대책 이행계획을 수립하여 경영진에게 보고 및 승인

 

    운영 내역(증적) 예시

 

  • 정보보호 및 개인정보보호 이행계획서/위험관리계획서
  • 정보보호 및 개인정보보호 대책서
  • 정보보호 및 개인정보보호 마스터플랜
  •  정보보호 및 개인정보보호 이행계획 경영진 보고 및 승인 내역

 

    ** 인증심사 결함사항 예시 ** (개정 23.11.23.)

 

  1. 법에 따라 의무적으로 이행하여야 할 사항, 보안 취약성이 높은 위험 등을 별도의 보호조치 계획 없이 위험수용으로 결정하여 조치하지 않은 경우
  2. 정보보호 및 개인정보보호 대책에 대한 이행계획은 수립하였으나 정보보호 최고 책임자 및 개인정보 보호책임자에게보고가 이루어지지 않는 경우
  3. 위험감소가 요구되는 일부 위험의 조치 이행계획이 누락되어 있는 경우
  4.  이행계획 시행에 대한 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하였으나 일부 미이행된 건에 대한 사유 보고 및 후속 조치가 이루어지지 않은 경우
  5. 위험수용에 대한 근거와 타당성이 미흡하고, 시급성 및 구현 용이성 등의 측면에서 즉시 또는 단기 조치가 가능한 위험요인에 대해서도 특별한 사유 없이 장기 조치계획으로 분류한 경우 (개정 23.11.23.)