[ISO27001] 6. 계획

목차



6. 계획(Planning)

6.1 위험과 기회에 따른 조치(Actions to address risks and opportunities)

6.1.1 General

조직은 정보보호 경영시스템을 계획할 때, 조직의 내, 외부 이슈와 이해관계자의 요구사항을 고려해야하며, 다음 사항을 다루기 위해 필요한 위험과 기회를 파악해야 한다.

조직은 위험 및 기회를 다루기 위한 조치를 계획해야 하며, 정보보호 경영시스템의 프로세스와 조치를 통합하여 구현하고 조치의 효과성에 대한 평과를 통해 이를 수행할 수 있다.


6.1.2 정보보호 위험평가(Information security risk assessment)

조직은 다음과 같은 정보보호 위험평가 프로세스를 정의하고 적용해야 한다.

  1. 다음을 포함한 정보보호 위험기준의 수립 및 유지
    1. 위험 수용기준(DoA : Degree of Assurance)
    2. 정보보호 위험평가를 위한 기준
  2. 반복적인 정보보호 위험평가의 결과가 일관성 있고 유효하며 비교 가능하도록 보장해야한다.
  3. 정보보호 위험의 식별
    1. 정보보호 경영시스템의 범위 내에서 기밀성, 가용성, 무결성의 손실과 연관된 위험을 식별하기 위한 정보보호 위험평가 프로세스의 적용
    2. 위험 소유자의 식별
  4. 정보보호 위험의 분석
    1. 3.1에서 식별한 위험이 현실화된 결과의 잠재적 영향 평가
    2. 3.1에서 식별한 위험의 실제적인 발생 가능성 평가
  5. 정보보호 위험 산정
    1. 수립한 위험기준에 따른 위험분석 결과의 비교
    2. 위험 취급을 위해 분석된 위험의 우선순위 결정

조직은 정보보호 위험평가 프로세스에 관한 문서 정보를 유지해야한다.


6.1.3 정보보호 위험처리(Information security risk treatment)

조직은 정보보호 위험처리 프로세스를 정의하고 적용해야 한다.

  1. 위험평가 결과를 감안한 적절한 정보보호 위험처리 방안의 선택
  2. 선택한 정보보호 위험처리 방안의 구현에 필요한 모든 통제의 결정
  3. 2번에서 결정한 통제를 부속서 A의 통제와 비교하여 필요한 통제 중 누락된 것이 없는지 검증
    • 부속서 A는 통제 목적과 통제에 대한 포괄적 목록을 포함하고 있다. 본 국제표준의 사용자는 필요한 통제 중 간과한 것이 없음을 보장하기 위하여 부속서 A를 따른다.
    • 통제 목적은 선택한 통제에 묵시적으로 포함된다. 부속서 A에서 열거한 통제 목적과 통제는 전부가 아니며 추가적인 통제 목적과 통제가 필요할 수 있다.
  4. 필요한 통제와 선택 사유, 구현 여부, 부속서 A의 통제 중 제외 사유를 포함한 적용명세서의 작성
  5. 정보보호 위험처리 계획의 수립
  6. 정보보호 위험처리 계획과 잔여 정보보호 위험의 수용에 대한 위험 소유자의 승인 획득

조직은 정보보호 위험처리 프로세스에 관한 문서 정보를 유지하여야 한다.


6.2 정보보호 목적 및 달성 계획(Information security objectives and planning to achieve them)

조직은 적절한 기능과 수준으로 정보보호 목적을 수립해야 한다.

정보보호 목적은 다음과 같은 사항을 만족하여야 한다.

조직은 정보보호 목적에 대한 문서 정보를 유지하여야 한다.

정보보호 목적을 달성하는 방법을 계획할 때 조직은 다음과 같은 사항을 결정하여야 한다.