- [isms-p 정리] 1.2.4 보호대책 선정2025년 03월 26일
- Ibiza
- 작성자
- 2025.03.26.:56
※ 인증기준
위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정·담당자·예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다.
※ 내용정리
앞선 위험 평가(1.2.3) 결과를 바탕으로, 식별된 위험에 대해 적절하고 효과적인 보호조치를 수립하고 적용하는 단계
- 위험평가 기반 대책 수립
> 1.2.3에서 도출된 "위험수준(예: 높음/중간/낮음)"에 따라, 각각의 자산에 필요한 보안 조치 결정
> 예: 개인정보가 저장된 서버가 "위험도 높음"으로 평가 되었다면, 접근통제·암호화·이중인증 등의 대책 적용
- 적절한 보호대책 선택
> 조직 환경에 맞는 기술적, 물리적, 관리적 대책을 종합적으로 고려하여 선정
· 기술적 대책: 암호화, 백신, 방화벽, 접근통제
· 관리적 대책: 정책 수립, 교육, 권한관리
· 물리적 대책: 출입통제, CCTV, 잠금장치 등
- 보호대책의 타당성 확보
> 선택한 대책이 실제로 위험을 줄이는데 효과적인지 검토하고, 과도하거나 비효율적인 대책은 배제
> 법적 요구사항(개인정보 보호법, 정보통신망법 등)도 반드시 반영해야 함
- 보호대책 실행 및 문서화
> 선정한 보호조치를 실제 운영 환경에 적용하고, 적용 사실을 문서화 및 증적으로 관리.
> 예: 로그 보관 정책 수립, 암호화 솔루션 설치 내역, 백업 정책 매뉴얼 등
- 지속적인 관리 및 개선
> 보호대책의 실행 여부와 효과를 정기적으로 검토하고, 조직 환경 변화나 보안 위협 변화에 따라 보완
결함사례
- 위험평가 결과와 무관한 보호대책 선정
D사는 위험평가(1.2.3)를 통해 개인정보 DB가 '매우높음' 수준의 리스크로 평가되었음에도 불구하고, 기초적인 방화벽 이외에 별도의 보호조치를 적용하지 않음.
> 접근제어, 암호화, IDS/IPS 등의 고위험 대응 보호대책 미적용
> 위험 수준과 관계없이 모든 자산에 동일한 일반 보안정책만 적용
영향
> 고위험 자산에 대한 실질적 보호 미흡으로 보안사고 발생 가능성 높음
> '위험 평가와 보호대책 연계 부족' 으로 isms-p 심사에서 주요 결함 지적
- 법적 요구사항 반영 미흡
D사는 개인정보가 저장된 시스템에 보호조치를 적용했지만, 개인정보 보호법상 필수적인 암호화, 접근기록 보관 등의 항목이 누락됨
> 개인정보가 저장된 파일을 일반 텍스트 형태로 보관.
> 접근 로그를 수집하지 않아 누가 정보를 열람했는지 추적 불가.
영향
> 법률 위반 소지 발생, 개인정보 유출 시 책임 확대.
> ISMS-P 심사에서 “법적 요구사항 반영 미흡”으로 시정조치 요구.
- 보호대책 타당성 검토 누락
D사는 보안제품도입 중심으로 보호대책을 선정했지만, 조직 환경과 적합하지 않은 대책이 포함됨
> 보안 솔루션을 도입했으나, 관리 인력이 없어 운영되지 않음.
> 불필요하게 고비용의 고성능 장비를 저위험 자산에 적용해 예산 낭비.
영향
> 보호대책이 실효성이 없거나 과도하게 적용되어 관리 리스크 증가.
> “보호대책의 타당성 검토 부족”으로 인증 심사 시 비효율적 운영 지적.
- 보호대책 미이행 또는 문서화 미흡
D사는 위험평가 후 보호대책을 문서에만 기재하고, 실제 시스템에 적용하지 않거나 증적 부재
> 백업 정책 수립은 되어 있으나, 백업 서버가 작동하지 않음.
> 암호화 적용 계획은 문서화 했지만, 실제 암호화 설정이 미비
> 보안 시스템 설치 내역이나 로그 미보관
영향
> 보호대책이 실행되지 않아 보안 사각지대 발생
> 심사 시 "보호대책 이행 여부 증적 미비" 결함
- 변화 반영 미흡한 보호대책
D사는 보호대책을 한번 수립한 후, 조직 변화나 신규 서비스에 맞춰 보호조치를 갱신하지 않음.
> 클라우드 서비스로 전환했지만, 기존의 온프레미스 기준의 보호대책 그대로 유지
> 외부 위탁사 시스템에 대한 보호조치 누락
영향
> 변화된 환경에서 새로운 보안 위험 노출
> "보호대책 정비 및 지속적 관리 미흡"으로 isms-p 심사에서 지적
증거자료
정보보호 및 개인정보보호 이행계획서/위험관리계획서
정보보호 및 개인정보보호 대책서
정보보호 및 개인정보보호 마스터플랜
정보보호 및 개인정보보호 이행계획 경영진 보고 및 승인 내역'Security > isms-p 인증심사' 카테고리의 다른 글
[isms-p 정리] 1.3.2.보호대책 공유 (0) 2025.04.01 [isms-p 정리] 1.3.1 보호대책 구현 (0) 2025.03.26 [isms-p 정리] 1.2.3 위험 평가 (0) 2025.03.25 [isms-p 정리] 1.2.2 현황 및 흐름분석 (0) 2025.03.24 [isms-p 정리] 1.2.1 정보자산 식별 (0) 2025.03.20 다음글이전글이전 글이 없습니다.댓글