Home » ISMS 인증기준 – 정보보호대책 (정보자산분류)

ISMS 인증기준 – 정보보호대책 (정보자산분류)

4.1 정보자산 식별 및 책임

4.1.1 정보자산 식별

조직의 업무특성에 따라 정보자산 분류기준을 수립하고 정보보호 관리체계 범위 내 모든 정보자산을 식별하여야 한다. 또한 식별된 정보자산을 목록으로 관리하여야 한다.

  • 정보자산(정보시스템, 정보보호시스템, 정보)의 분류기준을 수립하고 정보보호 관리체계 범위 내 모든 정보자산을 식별하고 있는가?
ㅇ 다음의 정보자산에 대해 조직의 업무 특성에 적합한 분류기준을 정의하여야 한다.

※ 정보자산 ※
– 정보시스템 : 서버, PC 등 단말기, 보조저장매체, 네트워크 장비, 응용 프로그램 등 정보의 수집, 가공, 저장, 검색, 송수신에 필요한 하드웨어 및 소프트웨어
– 정보보호시스템 : 정보의 훼손, 변조, 유출 등을 방지하기 위하여 구축된 시스템으로 침입차단시스템, 침입탐지시스템, 칩입방지시스템, 개인정보유출방지시스템 등을 포함
– 정보 : 문서적 정보와 전자적 정보 모두를 포함

ㅇ 수립된 분류기준에 따라 정보보호 관리체계 범위 내 모든 정보자산을 식별하여야 한다.

  • 식별된 정보자산을 다음 항목이 포함된 별도 목록으로 관리하고 있는가?
    • 정보자산명, 자산번호, 모델명, 용도
    • 정보자산별 책임자, 관리자, 관리부서
    • 정보자산에 대한 보안등급 등
ㅇ 식별된 정보자산에 대한 정보자산명, 용도, 책임자 및 관리자, 관리부서, 보안등급 등의 정보자산 정보를 확인할 수 있도록 목록으로 관리하여야 한다.

ㅇ 다만 목록은 자산관리시스템, 문서 등 다양한 형태로 관리할 수 있다.

  • 정기적으로 정보자산 현황을 조사하고 정보자산목록을 최신으로 유지하고 있는가?
ㅇ 신규 도입, 변경, 폐기되는 정보자산 현황을 확인 할 수 있도록 정기적으로 정보자산 조사를 수행하고 정보자산목록을 최신으로 유지하여야 한다.

4.1.2 정보자산별 책임할당

식별된 정보자산에 대한 책임자 및 관리자를 지정하여 책임소재를 명확히 하여야 한다.

  • 식별된 정보자산에 대한 책임자 및 관리자(또는 담당자)를 지정하고 있는가?
ㅇ 정보자산 도입, 변경, 폐기, 반출입 등의 책임을 질 수 있는 책임자 및 정보자산을 실제 관리 ∙ 운영하는 관리자(또는 담당자)를 지정하여 책임소재를 명확하게 하여야 한다.

정보자산의 분류 및 취급

4.2.1 보안등급과 취급

기밀성, 무결성, 가용성, 법적요구사항 등을 고려하여 정보자산이 조직에 미치는 중요도를 평가하고 그 중요도에 따라 보안등급을 부여하여야 한다. 또한 보안등급을 표시하고 등급 부여에 따른 취급절차를 정의하여 이행하여야 한다.

  • 기밀성, 무결성, 가용성, 법적요구사항 등을 고려하여 정보자산의 중요도를 평가하기 위한 기준을 수립하고 있는가?
ㅇ 정보자산의 유출, 장애 및 침해 발생 시 조직의 업무에 미치는 영향을 고려하여 식별된 정보자산의 중요도를 평가할 수 있도록 기준을 수립하여야 한다. 일반적으로 기밀성, 무결성, 가용성, 법적요구사항 등을 고려하여 평가기준을 마련할 수 있다. 그 외에 서비스 영향, 이익손실, 고객상실, 대외 이미지 등도 추가적으로 고려할 수 있다.

ㅇ 이는 정보자산에 미치는 위험을 분석(관리과정 3.2 위험분석 참고)하기 위한 첫번째 단계로 정보자산의 중요도가 높을수록 발견된 위험의 위험도가 높아지며 이 과정을 통해 비용효과적으로 우선 적용하여야 하는 정보보호대책을 선정할 수 있다.

  • 정보자산별로 중요도를 평가하고 각 자산별 특성에 적합한 보안등급 부여하고 보안등급을 쉽게 확인할 수 있도록 하고 있는가?
ㅇ 정보자산 중요도 평가기준에 따라 정보자산별로 중요도를 평가하여야 한다. 또한 정보자산별 특성에 따라 보안등급을 부여하고 다음과 같이 임직원이 보안등급을 쉽게 식별할 수 있도록 하여야 한다.

– (전자)문서 : 기밀, 대외비, 일반 표시
– 서버 등 하드웨어 자산 : 자산번호 또는 바코드 표시를 통한 보안등급 확인

  • 정보자산의 보안등급에 따른 취급절차(생성, 저장, 이용, 파기 등)를 정의하고 이행하고 있는가?
ㅇ 정보자산의 등급에 따라 취급절차(생성, 저장, 이용, 파기 등)를 정의하고 이에 따라 접근통제 등 적절한 보안통제를 이행하여야 한다.
(예 : 문서자산의 경우 각 보안등급별(기밀, 대외비, 일반)로 생성, 저장, 이용, 파기 등에 대한 보안통제를 마련하여 이행)