ISMS 이바구 09 - 위험 분석

Q. 우리회사는 매월 보안의 날을 지정하고, 해당 일자에 "내 PC지킴이"를 통해 정기적으로 점검을 수행하고 있습니다. 그런 경우 매년 수행하는 위험분석에서 PC는 제외될 수 있는가?

A. 정기적으로 내 PC 지킴이를 통해 점검을 수행하고 이력을 관리하고 있다면 별도로 위험 분석에서 다시 수행할 필요는 없다고 판단됩니다.

그러나 개인정보 파일의 암호화 여부 등 기존 프로그램으로 점검이 어려운 경우 수행하셔야 합니다.
DLP, NAC, DRM 등 다양한 보안 솔류션과 원격 PC 점검이 가능한 경우 취약점 점검에서 제외할 수 있을 것이라 판단됩니다.

보안 솔루션에도 취약점이 존재하듯 중요 PC의 경우 보안 감사 등을 통해 일부라도 점검하는 것이 좋을 것같습니다.