1.2.3 위험 평가
■ 인증기준
조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다.
- 조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가?
- 위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)를 구체화한 위험관리계획을 매년 수립 하고 있는가?
- 위험관리계획에 따라 연 1회 이상 정기적으로 또는 필요한 시점에 위험평가를 수행하고 있는가? 조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하고 있는가?
- 위험식별 및 평가 결과를 경영진에게 보고하고 있는가?
■ 관련법규
- 개인정보보호법 제29조(안전조치의무)
- 안정성확보조치기준 제4조(내부관리계획의 수립/시행)
■ 증적예시
■ 결함사례
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사원 공부하기' 카테고리의 다른 글
| 1. 관리체계 수립 및 운영/1.3 관리체계 운영(1.3.1 보호대책 구현) (0) | 2023.06.15 |
|---|---|
| 1. 관리체계 수립 및 운영/1.2 위험 관리(1.2.4 보호대책 선정) (0) | 2023.06.14 |
| 1. 관리체계 수립 및 운영/1.2 위험 관리(1.2.2 현황 및 흐름분석) (0) | 2023.06.14 |
| 1. 관리체계 수립 및 운영/1.2 위험 관리(1.2.1 정보자산 식별) (0) | 2023.06.14 |
| 1. 관리체계 수립 및 운영/1.1 관리체계 기반 마련(1.1.6 자원 할당) (1) | 2023.06.14 |