1.2.3 위험 평가

 

결함사례

사례 1 : 수립된 위험관리계획서에 위험평가 기간 및 위험관리 대상과 방법이 정의 되어 있으나, 위험관리 수행 인력과 소요 예산 등 구체적인 실행계획이 누락되어 있는 경우 사례 2 : 전년도에는 위험평가를 수행하였으나, 금년도에는 자산의 변경이 없었다는 사유로 위험 평가를 수행하지 않은 경우   사례 3 : 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 있으나, 범위 내 중요 정보자산에 대한 위험 식별 및 평가를 수행하지 않았거나 정보보호 관련 법적 요구 사항 준수여부에 따른 위험을 식별 및 평가하지 않은 경우   사례 4 : 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 수용 가능한 목표 위험수준을 설정하였으나 관련 사항을 경영진(정보보호 최고책임자 등)에 보고하여 승인받지 않은 경우