우리가 주로 하는 위험 분석은 자산 기반 분석법이다.
자산을 식별해서 위험을 도출하고 대책을 마련하는 방식인데 전통적인 위험분석 방법이다.
이러한 방식에서는 자산 식별이 되지 않거나 망분리와 같은 위험은 도출되기 힘들다.
그래서 ISO27001:2018..인가 컨텍스트 기반 위험 분석을 도입한다.(연도는 맞나 모르겠다,)
개인정보흐름도도 이러한 이유에도 도입된 것으로 알고 있다...아님 말고..
개인정보흐름도도 현황 분석을 위한 필수 산출물이다.
그런데 개인정보흐름표가 없다고 결함인가?
이게 결함인 이유는 어설픈 PIA 전문인력 때문이다.
PIA에서는 개인정보흐름표를 근간으로 개인정보흐름도를 작성한다.
그런데 그건 PIA에서의 방법론이고 ISMS-P 에서는 강제하고 있지 않다. 따라서 필수 산출물도 아니다.
그리고 개인정보흐름도를 만드는 방법이 PIA 방식만 있는 것도 아니다.
그런데도 식자우환이라고 꼭 흐름표가 있어야 한다고 한다. 제대로 모르면 아예 모르는 것이 낫다.
더구나 개인정흐름표를 이용해서 흐름도를 만드는데 이미 흐름도가 있는데 굳이 중간 산출물인 흐름표가 왜 있어야 하는지 모르겠다. 그리고 실제 흐름표를 만들지 않고도 흐름도는 만들 수 있다. 초기에 흐름도 만들때는 도움이 될지 몰라도 업데이트에는 흐름도만 가지고도 충분하다.
결함을 쓰려거든 흐름도가 없어서 어떤 보안 문제점이 생기는 지를 밝힐 수 있어야 한다.
문제 있어 보이는 것이 결함이 아니라 실제로 문제가 있어야 한다.
또한 보안 활동은 자원관리이다.
어느 조직도 풍족한 보안 자원을 가지고 있지 않다.
가치 없는 일에 불필요한 리소스를 낭비하게 하는 것도 범죄다.
'정보보호관리체계(ISMS-P) > 실무 Q&A' 카테고리의 다른 글
| 배신은 누가 할까? (0) | 2023.01.19 |
|---|---|
| DevOps는 ISMS-P와 상극이네요 (0) | 2022.12.23 |
| CPO가 여러 명이면 안되나요? (0) | 2022.12.21 |
| 정보보호 정책, 지침서, 문서 (0) | 2022.06.14 |
| 결함 보고서 양식 (0) | 2022.06.14 |