정책과 위험 기준
경영진 승인, 적용 범위, 자산등급, 위험수용 기준을 먼저 정합니다.
관리체계: 정책을 증적으로 남기는 반복 운영
정보보호 관리는 문서 보유가 아니라, 책임을 정하고 실행한 뒤 감사와 개선 기록으로 다음 주기에 반영하는 체계입니다.
조직과 통제 운영
CISO, 부서 담당자, 시스템 관리자가 접근통제, 교육, 운영보안을 실행합니다.
감사와 증적 점검
권한 신청서, 교육 이수, 점검 보고서, 로그 분석 기록으로 운영 여부를 확인합니다.
개선과 재승인
미흡사항을 조치하고 정책, 지침, 절차를 개정해 다음 평가에 반영합니다.
시험에서 묶어 읽을 항목
정책·지침·절차
정책은 방향, 지침은 기준, 절차는 수행 순서, 기록은
증적입니다.
자산·위험·보호대책
무엇을 지킬지 식별하고, 위험 수준에 맞춰 통제를 선택합니다.
인적·물리·외부자 보안
사람, 장소, 협력업체까지 관리 범위에 넣어야 운영 체계가
됩니다.
문서만 있으면 감점
승인 이력, 교육 기록, 권한 회수, 점검 조치 같은 운영 증적이
필요합니다.