위험평가 및 관리세칙

제정 2008. 12. 1

제 1 조(목적) 이 세칙은 포항공과대학교(이하 ‘대학’이라 한다)의 정보보호규정에 의거하여 대학 내 정보자산에 대한 위험을 평가하고 평가 결과에 대한 관리활동 및 이행에 필요한 사항을 규정함을 목적으로 한다.

제 2 조(적용범위 및 대상) 정보자산 분류 및 관리세칙에서 정의 된 정보자산을 대상으로 한다.

제 3 조(용어의 정의) 이 세칙에서 사용하는 용어의 정의는 다음 각호와 같다.

1. “취약점”이란 웜/바이러스 패치 미 적용, 패스워드 및 네트워크 접근 설정의 미흡 등과 같이 정보자산에 직접적인 해는 없으나 정보자산의 손실을 입힐 수 있는 상태를 말한다

2. “위험평가”란 정보자산의 중요도와 정보자산의 기밀성, 무결성, 가용성 측면에서의 취약점 수준에 따라 위험 크기를 측정하고, 위험도를 산출하는 행위를 말한다.

3. “위험평가결과보고서”란 취약점 분석 결과를 바탕으로 위험 등급에 따라 평가한 결과를 말한다.

4. “적용성보고서(Statement of Applicability )”란 위험평가와 위험처리 프로세스 및 결론에 근거하여 대학의 정보보호관리체계에 적용 가능한 통제목표 및 통제항목을 기술한 문서를 말한다.

5. “위험관리계획서”란 적용성보고서에 의하여 구체적인 위험관리 방안을 나타낸 보고서를 말한다.

제 4 조(역할과 책임) 정보보호전담부서는 단위조직의 정보자산관리책임자로부터 작성 제출 된 정보자산관리대장의 중요도 평가 기준 및 등급 분류의 적절성 점검 결과에 따라 취약점 진단과 위험평가를 실시하고, 그 결과를 소관 단위조직의 장에게 통보한다.

제 5 조(취약점 진단) ① 정보보호전담부서는 대학의 정보자산관리대장의 정보자산 보안등급 중 취약점 진단 대상을 선정하여 실시한다.

② 관리체계 진단, 서버 진단, 네트워크 진단, 모의해킹, 물리적취약점 진단 및 응용프로그램 진단 등 6개 분야에 대한 취약점 진단을 실시한다.

③ 정보자산에 대한 취약점 진단은 정기적으로 실시하는 것을 원칙으로 하며 대학 환경에 중대한 변화가 발생되었을 경우에 별도 실시할 수 있다.

제 6 조(취약점 결과보고서) 정보보호전담부서는 정보자산 별로 파악된 취약점 점검 결과를 근거로 다음 각호와 같은 사항이 포함된 취약점 진단 결과보고서를 작성하고 정보보호총괄책임자에게 보고하여야 한다.

1. 정보자산관리 목록

2. 정보자산 중요도 평가표

3. 취약점 진단 결과

제 7 조(위험평가) ① 정보보호전담부서는 취약점 평가 결과를 바탕으로 위험평가를 실시한다.

② 정보보호전담부서는 취약점 진단 결과보고서를 바탕으로 다음 각호의 사항이 포함된 위험평가결과보고서를 작성하고 정보보호총괄책임자에게 보고하여야 한다.

1. 위험평가 점검리스트 내용

2. 각 영역 별 잠재위험 평가기준

3. 각 영역 별 노출위험 평가기준

4. 각 영역 별 위험평가 결과

제 8 조(위험관리 절차) 정보보호전담부서는 위험평가결과보고서에 의하여 다음 각 호의 위험관리 절차를 수행하여야 한다.

1. 위험평가결과보고서를 바탕으로 수용가능 위험 수준을 정하여 관리대상 위험을 식별하여 적용성보고서를 작성한다.

2. 적용성보고서에 의하여 위험관리계획서를 작성하여 정보보호총괄책임자에게 보고하여야 한다.

3. 위험관리계획서에 의하여 취약점 진단 결과 및 위험평가 결과를 해당 단위조직으로 통보한다.

제 9 조(사후 관리) 정보보호전담부서는 위험관리계획서에 따라 단위조직에서 위험관리가 적절히 이루어지고 있는지를 점검하고 그 결과를 정보보호총괄책임자에게 보고하여야 한다.

부 칙
1. 이 세칙은 2008년 12월 1일부터 제정, 시행한다
2. 이 세칙 시행 이전에 처리된 업무는 이 세칙에 의하여 처리된 것으로 본다.