정책과 위험 기준 수립
정보보호 정책, 조직 책임, 자산 식별, 위험평가 방법을 정한다.
정책을 세웠다는 말만으로는 부족하다. 누가 수행했고 어떤 문서와 기록이 남았는지까지 연결한다.
정보보호 정책, 조직 책임, 자산 식별, 위험평가 방법을 정한다.
접근통제, 물리보안, 인적보안, 보안교육을 운영 절차로 수행한다.
로그 점검, 취약점 점검, 내부감사로 통제 효과성을 확인한다.
시정조치, 정책 개정, 재발 방지 활동을 기록으로 남긴다.
정책·조직 정보보호 정책서, 역할과 책임표, 승인 이력
자산·위험 자산목록, 중요도 산정표, 위험평가 결과
운영·교육 접근권한 신청서, 교육 참석 기록, 외부자 보안서약
점검·개선 감사 결과, 취약점 조치 내역, 재발 방지 계획
정책, 조직, 자산, 위험, 보호대책을 말한다.
교육, 점검, 감사, 사고 대응을 실행한다.
기록과 승인 이력으로 수행 사실을 입증한다.