1.2.1 정보자산 식별


조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별ㆍ분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다.



● 주요 점검 사항


  • 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는가?
  • 식별된 정보자산에 대해 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가?
  • 정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가?

● 세부 설명


  • 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하여야 한다.
    ▶ 조직의 특성에 맞게 정보자산의 분류기준을 수립하고 분류 기준에 따라 정보자산을 빠짐없이 식별

        ※ 정보자산 분류 (예시)

    • 자산 유형별 분류 : 서버, 데이터(DBMS), 정보처리시스템(응용프로그램), 소프트웨어, 네트워크장비, 보안시스템, PC, 정보, 설비, 시설 등
    • 자산 유형별 항목(예)
        - 서버:Host명칭,일련번호,모델명,용도,IP주소,관리부서명,관리실무자,관리책임자,보안등급 등
        - 데이터:DB명,Table명,(개인)정보 항목명(예:이름,성별,생년월일,휴대폰번호,이메일 등), 관리부서명,관리실문자,관리책임자,저장 시스템(Host명칭),저장위치(IP주소),보안등급 등급
        - 정보시스템:서버,PC등 단말기, 보조저장매체,네트워크 장비,응용프로그램 등 정보의 수집,가공,저장,검색,송수신에 필요한 하드웨어 및 소프트웨어
        - 보안시스템:정보의 훼손,변조,유출 등을 방지하기 위하여 구축된 시스템으로 침입차단시스템, 침입탐지시스템,개인정보유출방지시스템 등을 포함
        - 정보:문서적 정보와 전자적 정보 모두를 포함(중요정보, 개인정보 등)
    ▶ 자산명, 용도, 위치, 책임자 및 관리자, 관리부서 등의 자산정보를 확인하여 목록 작성
    ▶ 정보자산의 효율적 관리를 위해 자산관리시스템 활용 또는 문서(엑셀) 등 다양한 형태로 관리
  • 식별된 정보자산에 대해 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하여야 한다.
    ▶ 법적 요구사항이나 업무에 미치는 영향 등 각 자산 특성에 맞는 보안등급 평가기준 결정

        ※ 보안등급 산정기준 (예시)

    • 기밀성, 무결성, 가용성, 법적 준거성 등에 따른 중요도 평가
    • 서비스 영향, 이익손실, 고객 상실, 대외 이미지 손상 등도 고려
    ▶ 신규 도입, 변경, 폐기되는 자산 현황을 확인할 수 있도록 절차 마련
    ▶ 정기적으로 정보자산 현황 조사를 수행하고 정보자산 목록을 최신으로 유지

● 결함 사례


  • 정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보취급자 PC를 통제하는데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락되어 있는 경우
  • 정보보호 및 개인정보보호 관리체계 범위 내에서 제3자로부터 제공받은 개인정보가 있으나 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우
  • 내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류 기준이 일치하지 않는 경우


● taeho's notes


  • "정보보호 및 개인정보보호 관리체계 범위 내"라 함은 "ISMS-P 인증범위 내 서비스를 운영하는데 필요한 모든 자산"과 현실적으로 동일하다고 판단해야 함.
  • ISMS-P 인증 범위 내 자산에서 누락되기 쉬운 자산
    • 보안관제 서비스를 받으며 임대한 방화벽, IPS, 웹방화벽 및 CCTV, 출입관리시스템 등 물리적 보안을 위한 출입통제용 장비
    • 인증범위 내 서비스의 개인정보취급자,IT운영인력,정보보호팀 등에서 사용하는 네트워크 스토리지(파일서버, NAS 등)
    • 서비스 개발, 운영 등 인력이 모바일 환경의 테스트 목적으로 사용하는 스마트폰 및 태블릿
    • 클라우드에서 서비스가 구동되는 경우 원격DB서비스 및 원격스토리지 서비스(아마존의 RDS 및 S3, LAMDA 등 서비스에 해당)
  • 호스트 및 PC, DB 등은 개인정보처리 및 저장여부, 외부 노출 여부 등에 따라 중요도가 다르게 부여되어야 함(일괄적으로 동일하게 부여되면 안됨)


#ISMS-P인증기준  #정책수립 #정보보호관리체계 #정보자산식별

  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기

댓글을 달아 주세요

">