주요사항
위험 처리전략(회전감수) 선정, 이행계획 수립,경영진 승인
인증기준
위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정·담당자·예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다.
확인사항
- 식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정하고 있는가?
- 보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에 보고하고 있는가?
가상자산 사업자 확인사항
- 가상자산별 블록체인에서 멀티시그를 제공하지 않는 경우, MFA(Multi Factor Authentication), 키분할, 자체 구축한 멀티시그 방식 등 이를 대체하기 위한 안전장치가 보호대책에 포함되어 있는가?
결함사례
- 정보보호 및 개인정보보호 대책에 대한 이행계획은 수립하였으나 정보보호 최고책임자 및 개인정보 보호책임자에게 보고가 이루어지지 않은 경우
- 위험감소가 요구되는 일부 위험의 조치 이행계획이 누락되어 있는 경우
- 이행계획 시행에 대한 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하였으나 일부 미이행된 건에 대한 사유 보고 및 후속 조치가 이루어지지 않은 경우
- 법에 따라 의무적으로 이행하여야 할 사항, 보안 취약성이 높은 위험 등을 별도의 보호조치 계획 없이 위험수용으로 결정하여 조치하지 않은 경우
스와이프(Swipe)로 이전/다음 항목으로 이동