정보보호 보안기술의 요구사항(ISO 27001 : 2013) 2부

6. 계획 (또는 기획)

6. 1. 위험과 기회에 따른 조치

 

6. 1. 1. 일반사항

 조직은 정보보호 경영시스템을 계획할 때 4. 1 절에서 명시한 이슈와  4. 2 절에서 명시한 요구사항을 고려하여야 하며, 다음과 같은 사항을 다루기 위해 필요한 위험과 기회를 파악하여야 한다. 

 여기서 위험과 기회는 아직 일어나지 않은 위험이나, 예방적 조치를 수행하는 것에 대해서는 지도부의 권한을 보장해주는 것이다.

 

 a) 정보보호 경영시스템의 의도한 결과에 도달할 수 있음을 보장

 b) 원하지 않은 효과의 방지 또는 감소

 c) 지속적인 개선의 달성

조직은 다음을 계획하여야 한다.

d) 위험 및 기회를 다루기 위한 조치

e) 다음을 수행하는 방법

   1) 조치를 정보보호 경영시스템 프로세스에 통합하여 구현

   2) 조치의 효과성에 대한 평가

 

6. 1. 2. 정보보호 위험평가

  조직은 다음과 같은 정보보호 위험평가 프로세스를 정의하고 적용하여야 한다.

 

  a) 다음을 포함한 정보보호 위험기준의 수립 및 유지

    1) 위험 수용 기준

    2) 정보보호 위험평가의 수행을 위한 기준

 b) 반복적인 정보보호 위험평가의 결과가 일관성 있고 유효하며 비교 가능하도록 보장

 c) 정보보호 위험의 식별

    1) 정보보호 경영시스템의 범위 내에서 기밀성, 가용성, 무결성의 손실과 연관된 위험을 식별하기 위한 정보보호 위험평가 프로세스의 적용

    2) 위험 소유자의 식별

 d) 정보보호 위험의 분석

     1) 6.1.2. a) 1) 에서 식별한 위험이 현실화된 결과의 잠재적 영향 평가  

     2) 6.1.2. a) 1) 에서 식별한 위험의 실제적인 발생 가능성 평가

     3) 위험 수준의 결정

  e) 정보보호 위험 산정

     1) 6.1.2 a) 에서 수립한 위험기준과 위험분석 결과를 비교

     2) 위험 처리를 위해 분석된 위험의 우선순위를 결정

     조직은 정보보호 위험평가 프로세스에 관한 문서 정보를 유지하여야 한다. 

 

 6. 1. 3. 정보보호 위험처리

   조직은 정보보호 위험처리 프로세스를 정의하고 적용하여야 한다. 

 

   a) 위험평가 결과를 감안한 적절한 정보보호 위험처리 방안의 선택

   b) 선택한 정보보호 위험처리 방안의 구현에 필요한 모든 통제의 결정

   비고 : 조직은 필요한 통제를 설계하거나 다른 출처로부터 식별할 수 있다. 

   c) 6.1.3 b) 에서 결정한 통제를 부속서 A의 통제와 비교하여 필요한 통제 중 누락된 것이 없는지 검증하여야 한다. 

  비고 1 주 1: 부속서 A는 통제 목적과 통제에 대한 포괄적 목록을 포함하고 있다. 본 표준의 사용자는 필요한 통제 중 간과한 것이 없음을 보장하기 위하여 부속서 A를 따른다. 

   비고 2 주2 : 통제 목적은 선택한 통제에 묵시적으로 포함된다. 부속서 A에서 열거한 통제목적과 통제는 전부가 아니며 추가적인 통제 목적과 통제가 필요할 수 있다. 

   d) 필요한 통제와 선택 사유, 구현 여부, 부속서 A의 통제 중 제외된 것이 있다면, 그 사유를 포함한 적용성 보고서(Statement of Applicability)의 작성

   e) 정보보호 위험처리 계획의 수립

   f) 정보보호 위험처리 계획과 잔여 정보보호 위험의 수용에 대한 위험 소유자의 승인 획득

      조직은 정보보호 위험처리 프로세스를 문서화하여 유지하여야 한다.

     비고 : 본 표준의 정보보호 위험평가 및 처리 프로세스는 ISO 31000[5]에서 제공하는 원칙과 일반 가이드라인과 일치한다.

 

   6. 2 정보보호 목표 및 달성 계획

    조직은 적절한 기능과 수준으로 정보보호 목표를 수립하여야 한다.

    정보보호 목표는 다음과 같은 사항을 만족하여야 한다. 

     a) 정보보호 정책과의 일관성 유지

     b) 실현가능한 수준에서 측정 가능(여기서 정량화 또는 수치화가 가능하여야 한다) 

     c) 적용 가능한 정보보호 요구사항과 위험평가 및 위험처리 결과의 감안

     d) 의사소통

     e) 적절한 갱신

    조직은 정보보호 목표를 문서화하여 유지하여야 한다.

    정보보호 목적을 다성하는 방법을 계획할 대 조직은 다음과 같은 사항을 결정하여야 한다.

     f) 수행 내용

     g) 필요한 자원

     h) 책임자

     i) 완료 시기

     j) 결과 평가 방법

 

 7. 지원

 7. 1. 자원 

 조직은 정보보호 경영시스템의 수립, 구현, 유지, 지속적 개선에 필요한 자원을 파악하고 제공하여야 한다. 

  1) 인적자원 : 설계 및 개발인원, 검사 및 시험인원

   2) 유형자원 : R&D  장비, 시설, 장비, 검사 및 시험장비 시설

   3) 무형자원 : 소프트웨어

 7. 2. 적격성

  조직은 다음과 같은 사항을 수행하여야 한다.

  a) 조직의 통제 하에서 정보보호 성과에 영향을 미치는 작업을 수행하는 인력이 필요한 역량을 갖추고 있는지 파악한다.

  b) 적절한 교육이나 훈련 또는 경험의 측면에서 역량을 갖춘 인력인지 확인한다.

  c) 필요한 역량을 습득할 수 있도록 조치하고, 조치한 바에 대한 효과성을 평가한다.

  d) 적격성의 증거로 적합한 문서 정보를 유지한다.

   비고 : 적용 가능한 조치에는 기존 인력에 대한 훈련, 지도, 업무 재배치 또는 역량을 갖춘 인력의 고용이나 계약 등이 포함될 수 있다. 

   1. 적격성 결정은 직무수행 능력을 확인하여 채용함으로서 만족한다.

   2. 교육훈련은 아래의 내용이 포함된 교육훈련 프로그램을 수립하여야 한다.

     1) 교육훈련 목표

      2) 교육훈련 프로그램 및 방법

      3) 교육훈련에 필요한 자원 

      4 )교육훈련 효과성 평가 방법 

   3. 문서화된 정보보호 역량의 증거를 보여줄 수 있어야 한다.(학력, 교육훈련 숙련도 및 경험에 대한 기록 유지) 

       해당 실무담당자가 부여된 임무를 적절히 수행할 수 있는 인원인지에 대한 레퍼런스를 제공할 수 있어야 한다.