자산과 주체 표시
정보주체, 처리자, 위탁사, 내부 담당자 중 누가 무엇을 다루는지 확인한다.
주체가 틀리면 법적 조치도 틀린다위험 요소 분리
위협, 취약점, 가능성, 영향도, 현재 통제를 따로 표시한다.
위협과 취약점은 다르다관리체계 연결
정책, 조직, 자산분류, 접근통제, 사고대응 같은 관리체계 항목으로 연결한다.
기술 조치만 답이 아닐 수 있다개인정보 흐름 확인
수집 동의, 목적 외 이용, 제3자 제공, 보유 기간, 파기 시점을 본다.
동의와 고지는 문제에서 자주 갈린다연속성 기준 적용
장애 상황에서는 RTO, RPO, 대체 사이트, 복구 우선순위를 기준으로 답을 좁힌다.
백업만으로 BCP가 완성되지는 않는다위험관리
위험 수준 산정
자산 가치, 위협 가능성, 취약점, 영향도를 함께 본다.
위험 수용 여부도 결정이다
ISMS-P
관리체계 인증
정책 수립, 보호대책 구현, 개인정보 처리 단계가 함께
평가된다.
증적 관리가 중요하다
개인정보
처리 단계 통제
수집 최소화, 이용 목적, 제공 제한, 파기 의무를 확인한다.
위탁과 제3자 제공을 구분한다
BCP
업무 연속성
중단 시 핵심 업무를 언제까지 얼마나 복구할지 정한다.
RTO와 RPO를 혼동하지 않는다