인증기준
- 위험 평가 결과에 따라 보호대책을 선정하고, 우선순위와 일정·담당자·예산을 포함한 이행계획을 수립하여 경영진 승인을 받아야 합니다.
주요 확인사항
- 감소, 회피, 전가, 수용 등 위험 처리 전략을 수립하고 대책을 선정하는지 확인합니다.
- 보호대책 이행계획을 수립하여 경영진에 보고하는지 점검합니다.
세부 설명
- 보호대책 선정 시 ISMS-P 인증기준과의 연계성을 고려해야 합니다.
- 법률 위반 사항은 수용 가능한 위험(DoA 이내)에 포함되지 않도록 주의해야 합니다.
- 이행계획 수립 시 위험의 심각성과 시급성을 고려하여 우선순위를 결정해야 합니다.
결함 사례
- 사례 1 : 이행계획은 수립했으나 최고책임자에게 보고가 이루어지지 않은 경우
- 사례 2 : 법적 의무 사항이나 고위험 항목을 별도 계획 없이 위험수용으로 결정한 경우