| 통제 영역 |
항목개수 |
설명 |
정보 보호 정책
(Security Policy) |
2 |
정보 보안에 대한 경영 정책과 지원 사항에 대한통제 구조 확인 |
정보 보호 조직
(Organization of Information Security) |
11 |
조직 내에서 보안을 효과적으로 관리하기 위한 보안 조직 구성 및 책임과 역할에 대한 규명 |
자산 관리
(Assets Management) |
5 |
조직의 자산에 대한 분류 및 이에 따른 적절한 보호 프로세스 검토 |
인적 자원보안
(Human Resources Security) |
9 |
사람에 의한 실수, 절도, 부정 수단이나 설비의 잘못 사용으로 인한 위험을 감소 하기 위한 대응 방안 확인 |
물리 및 환경보안
(Physical and Environment Security) |
13 |
비 인가된 접근이나 정보 손상에 대한 영향을 방지하기 위한 대응책 여부 |
의사소통 및 운영관리
(Communication and Operations Management) |
32 |
정보처리 설비의 정확하고 안전한 운영을 보장하기 위한 대응방안 존재 여부 |
| 접근통제 (Access Control) |
25 |
정보에 대한 접근 통제를 하기 위한 대응책 여부 |
| 정보시스템 인수, 개발 및 유지보수 (Information System Acquisition Development & Maintenance) |
16 |
정보 시스템 내에 보안이 수립 되었음을 보장하기 위한 대응 방안 존재 여부 |
정보 보호 사고관리
(Information Security Incident Management) |
5 |
정보 시스템과 관련된 정보 보안 사고와 취약점이 허용된 시기 이내에 적절한 교정 행동과 의사가 전달 되는지 여부 |
비즈니스 연속성 관리
(Business Continuity Management) |
5 |
사업 활동에 방해 요소를 완화시키며 주요 실패 및 재해의 영향으로부터 주요 사업 활동을 보호하기 위한 프로세스 존재 여부 검토 |
| 준거성 (Compliance) |
10 |
범죄 및 민사상의 법률, 법규, 규정 또는 계약 의무사항 및 보안 요구 사항의 불일치를 회피하기 위한 대응책 여부 |