인증기준
- 위협정보를 수집하고 조직에 적합한 위험평가 방법을 선정하여 전 영역에 대해 연 1회 이상 위험을 평가하며, 수용 위험은 경영진 승인을 받아야 합니다.
주요 확인사항
- 위험 식별 및 평가 방법을 정의하고 있는지 확인합니다.
- 매년 구체적인 위험관리계획을 수립하고 있는지 점검합니다.
- 수용 가능한 목표 위험수준(DoA)을 설정하고 이를 초과하는 위험을 식별하는지 확인합니다.
세부 설명
- 위험평가 시 해킹, 내부 유출, 법규 위반 등 다양한 관점을 고려해야 합니다.
- 위험평가 결과는 경영진이 이해하기 쉽게 작성하여 보고해야 합니다.
- 중요한 시스템 도입이나 조직 변화가 있을 경우 정기 평가 외에 별도로 수행해야 합니다.
결함 사례
- 사례 1 : 위험관리계획에 수행 인력이나 소요 예산 등 구체적 실행계획이 누락된 경우
- 사례 2 : 자산 변경이 없다는 이유로 당해 연도 위험평가를 수행하지 않은 경우
- 사례 3 : 단순히 기술적 취약점 진단 결과로 위험 평가를 갈음한 경우