다시 뛰는 공정도시 서울!

문서번호 정보시스템담당관-18981 결재일자 2020. 12. 2. 공개여부 대시민공개 방침번호 시 민 주무관 개인정보보호팀장 정보시스템담당관 방은주 여인선 전결 12/02 한정우 협조 정보통신보안담당관 공병엽 - 정보보호 및 개인정보보호(ISMS-P) - 인증 대상시스템 위험관리 계획 정보시스템담당관 (개인정보보호팀) - 정보보호 및 개인정보보호(ISMS-P) - 인증 대상시스템 위험관리 계획 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 추진과 관련 인증기준 충족을 위한 대상시스템 정보자산 위험관리를 실시함 ？？ 추진개요 ○ 대 상 : 3개 시스템(응답소, 보육교사교육원관리, 서울일자리포털) ○ 내 용 : 조직 및 정보자산 현황분석, 취약점 분석, 위험식별 및 평가, 보호대책 수립 등 ？？ 위험관리 수행절차 및 범위 ○ 수행절차 구 분 주요 내용 고려 사항 위험분석 범위 선정 - 업무, 조직, 위치, 자산 및 기술적 특성에 따른 ISMS-P 범위에 근거 - 각 특성에 따른 세부 범위 정의 필요 위험분석 방법 정의 - 정성적 or 정량적 방법 선정 - Baseline, Detailed, Combined 방법 선정 - 정성적 방법 위주 - Combined 방법 위주 자산 식별 및 가치 평가 - 정보시스템을 이루고 있는 자산 식별 - 자산의 CIA 상실의 결과가 조직에 미치는 영향으로 가치를 평가 - 자산 분류 및 가치등급 기준 선정 - 자산 가치 확인 위협 분석 - 자산에 대한 위협의 식별 및 위협의 정도를 인터뷰 또는 실사를 통하여 측정 - 기술적 취약성 결과에 대한 위협요소 추가 고려 취약성 분석 - 식별된 위협에 대하여 자산의 취약정도를 인터뷰 또는 실사를 통하여 분석 - 자산별로 기술적 취약성 결과 반영 위험도 측정 - 식별된 자산, 위협 및 취약성을 기준으로 위험도를 산출하고 기존 대응책을 파악하여 식별된 자산별 위협, 취약성, 위험도 정리 - 자산별 위험도 산정 대응책 선정 - 위험도를 평가하고 해당 위험도를 낮추기 위한 대응책을 제시하고 제시된 대응책은 우선순위, 적용기간을 표시 - ISMS-P 인증기준 세부항목과 연관된 세부 대응책 제시 ○ 수행범위 구 분 위험관리 대상 내 용 서비스 관점 인증대상 시스템 (응답소, 보육교사교육원관리, 서울일자리포털) - 서비스 사이트 - 관리자 사이트(시스템) 조직 관점 ISMS-P 인증범위 내 조직 - 정보자산 관리 조직 - 정보자산 및 서비스 운영·관리 조직 (서버, DBMS, 어플리케이션, 네트워크, 보안장비 등) - 정보보호 및 개인정보보호 조직 자산 관점 ISMS-P 인증범위 내 식별된 정보시스템 자산 - 정보자산 분류기준에 따른 ISMS-P 유관자산 ○ 위험 분석 및 관리 방법 : 붙임 참조 ？？ 추진일정 ○ 수행조직 현황 분석 : 2020.09월 ○ 관리적？기술적 현황 분석 : 2020.09 ∼ 10월 ○ 자산？위협？취약성 분석 : 2020.10 ∼ 11월 ○ 위험 식별 및 평가 : 2020.11 ∼ 12월 ○ 위험관리 수준 선정 : 2020.11 ∼ 12월 ○ 보호대책 선정 및 이행계획 수립 : 2020.12월 ？？ 향후계획 ○ ’20. 12월 : 위험평가 보고서 및 정보보호 계획 수립 ○ ’21. 1월 ∼ 2월 : ISMS-P 인증심사 붙임 : 위험 분석 및 관리 방법 1부. 끝.

21737323

20210928062714

본청

정보시스템담당관-18981

D0000041374642