1. 설계 검토 단계를 포함한 사전점검 절차는 아래와 같음.
화면 캡처: 2014-05-03 오후 8:40
2. 보호자산 식별 단계에서 보호자산의 중요도 평가 기준
가. 대상 서비스를 구성하는 정보자산의 평가요소 도출 및 평가등급 설정은 아래 표와 같음
평가요소
|
평가등급
|
평가접수
|
설 명
|
기밀성
(Confidentiality)
|
H
|
3
|
매우 민감한 정보이므로 업무관련 책임자만 접근가능
|
|
M
|
2
|
민감한 정보이므로 내부담당자, 책임자 등 일부 허가된 직원만 접근가능
|
|
L
|
1
|
민감한 정보는 아니나 내부인만 접근가능
|
무결성
(Intergrity)
|
H
|
3
|
정보의 무결성 손상시 서비스 제공에 치명적인 영향을 주며, 주요업무 및 회사기능에 마비를 초래할 수 있음
|
|
M
|
2
|
정보의 무셜성 손상시 서비스 제공에 중대한 영향을 줌
|
|
L
|
1
|
정보의 무결성 손상시 서비스 제공에 경미한 영향을 주지만, 충분히 해결할 수 있음
|
가용성
(Avallability)
|
H
|
3
|
24시간 항상 가동이 필요하며 중단이 되어서는 안됨
|
|
M
|
2
|
근무시간 중에는 항상 접근 가능해야 함
|
|
L
|
1
|
근무시간 중에 50%이상 사용 가능해야 하고 접근 가능해야 함
|
나. 서비스의 특성에 따라 추가하는 평가요소의 등급 산정은 아래 사항을 고려한다.
평가등급
|
평가점수
|
설 명
|
H
|
3
|
피해발생 시 서비스 품질의 현저한 저하 및 직원이나 시스템 운영자가 업무에 심각한 지장을 초래하는 등급
|
M
|
2
|
피해발생 시 서비스 품질의 저하 및 운영자의 작업 효율성을 감소시킬 수 있는 등급
|
L
|
1
|
피해발생 시 서비스 품질에 거의 영향을 끼치지 못하는 등급
|
다. 보호자산의 중요도 평가 결과 및 방법은 아래와 같으며 평균값에 따라 보호자산별 중요도를
부여한다.
평가요소별 평가등급의 평균값
|
보호자산 중요도
|
2.0 이상 ~
|
H
|
1.0이상 ~ 2.0 미만
|
M
|
0.0이상 ~ 1.0 미만
|
L
|
⋇ 평가요소별 평가등급에 따른 접수의 평균값 계산 방법
평균값 = {(C의 점수) + (I의 점수) + (A의 점수) + (추가 점수)} ÷ (평가요소 개수)
3. 위협 분석 단계에서 위협 평가 기준
가. 대상 서비스를 구성하는 보호자산의 내⋅외부적 위협요소를 식별하고, 해당 위협의 위협 등급을 평가하는 기준은 아래와 같다.
평가등급
|
위협에 의한 영향
|
발생주기 또는 발생가능성
|
H
|
보호자산 손실로 인해 업무중단 등 심각한 영향을 초래
|
서비스 제공시 손실이 자주 발생함(6개월 이내)
|
M
|
보호자산의 손실이 있으나, 업무에 심각하게 영향을 끼치지 않음
|
서비스를 운영하는 동안 여러 번 손실이 발생할 수 있는 상태(1년 이내)
|
L
|
보호자산의 손실이 매우 경미함
|
서비스를 운영하는 동안 손실이 거의 발생하지 않음
|
나. 서비스 특성에 따라 추가하는 평가요소의 위협등급은 아래사항을 고려하여 산정한다.
위협영향
|
발생주기
|
위협등급
|
H
|
H
|
H
|
H
|
M
|
H
|
H
|
L
|
M
|
M
|
H
|
M
|
M
|
M
|
M
|
M
|
L
|
L
|
L
|
H
|
M
|
L
|
M
|
L
|
L
|
L
|
L
|
4. 취약점 분석 단계에서 취약점 평가 기준
가. 위협분석 단계에서 도출된 위협 분류와 내용을 활용하여 취약점 관련 정보를 수집하고 관리적⋅물리적⋅기술적 사항에 대한 취약점을 식별하고 아래 취약점 평가 기준표를 참고하여 평가한다.
매우 취약(VH)
|
보호자산의 복구가 불가능하거나 피해규모가 아주 큰 경우
|
비교적 취약(H)
|
최고 경영자나 상급관리자의 정밀한 검색 및 승인을 필요로 하는 위험을 발생 시킬 수 있는 경우. 보호자산의 복구는 가능하나 그 피해규모가 비교적 큰 경우
|
보통(M)
|
취약점이 상급관리자의 검토 및 승인을 필요로 하는 정도의 위험을 발생시킬 수 있는 경우
|
거의 취약하지 않음(L)
|
취약점이 보호자산에 별다른 영향을 끼치지 않거나 취약점이 자산에 약간의 영향은 끼치지만 그 영향이 미미해서 해당 보호자산이 하위관리자의 조치만으로 문제해결이 가능한 경우
|
나. 점검팀이 자체 평가기준을 보유하고 있을 경우 해당 기준을 활용할 수 있다.
5. 위험 분석 단계에서의 위험 평가 기준
가. 보호자산에 발생 가능한 위험을 평가하는 등급 부여 기준은 아래와 같다.
평가등급
|
내용설명
|
H
|
|
M
|
|
L
|
|
나. 보호자산의 중요도, 위협등급, 취약점 등급 등을 고려한 위험 등급은 아래와 같다.
보호자산 중요도
|
위협등급
|
취약점등급
|
위험등급
|
H
|
H
|
VH
|
H
|
H
|
H
|
H
|
H
|
H
|
H
|
M
|
H
|
H
|
H
|
L
|
M
|
H
|
M
|
VH
|
H
|
H
|
M
|
H
|
H
|
H
|
M
|
M
|
H
|
H
|
M
|
L
|
M
|
H
|
L
|
VH
|
H
|
H
|
L
|
H
|
M
|
H
|
L
|
M
|
M
|
H
|
L
|
L
|
L
|
M
|
H
|
VH
|
H
|
M
|
H
|
H
|
H
|
M
|
H
|
M
|
H
|
M
|
H
|
L
|
M
|
M
|
M
|
VH
|
H
|
M
|
M
|
H
|
H
|
M
|
M
|
M
|
M
|
M
|
M
|
L
|
L
|
M
|
L
|
VH
|
M
|
M
|
L
|
H
|
M
|
M
|
L
|
M
|
L
|
M
|
L
|
L
|
L
|
L
|
H
|
VH
|
M
|
L
|
H
|
H
|
M
|
L
|
H
|
M
|
L
|
L
|
H
|
L
|
L
|
L
|
M
|
VH
|
M
|
L
|
M
|
H
|
M
|
L
|
M
|
M
|
L
|
L
|
M
|
L
|
L
|
L
|
L
|
VH
|
L
|
L
|
L
|
H
|
L
|
L
|
L
|
M
|
L
|
L
|
L
|
L
|
L
|
개인정보보호 컨설팅, 정보보호 분석/설계 - 케이핌(www.kpim.co.kr)
'정보보호' 카테고리의 다른 글
| 보안솔루션 제품별 도입규격1 (0) | 2014.05.06 |
|---|---|
| 집적정보 통신시설 관련 법령 및 보호지침 (0) | 2014.05.06 |
| 정보보호 사전점검 법령 및 고시 (0) | 2014.05.05 |
| 정보보호 최고책임자의 역할 (0) | 2014.05.04 |
| 정보보호조치에 관한 지침 (0) | 2014.05.03 |