[ISMS-P인증기준] 1.2.1 정보자산 식별

항목

---

1. 관리체계 수립 및 운영

  - 1.2. 위험 관리

  - 1.2.1 정보자산 식별

 

인증기준

---

조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다.

 

1.2.1 정보자산 식별

 

세부설명

---

■ 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하여야 한다.

 

- 조직의 특성에 맞게 정보자산의 분류기준을 수립하고, 분류 기준에 따라 정보자산을 빠짐없이 식별

- 자산명, 용도, 위치, 책임자 및 관리자, 관리 부서 등의 자산정보를 확인하여 목록 작성

- 정보자산의 효율적 관리를 위하여 자산관리시스템 활용 또는 문서(엑셀) 등 다양한 형태로 관리

- 클라우드 서비스를 이용하는 경우, 클라우드 서비스의 특성을 반영한 분류기준(예를 들어, 가상서버, 오브젝트 스토리지 등)을 마련하고 이에 따라 클라우드 자산을 식별·관리

 

 

■ 식별된 정보자산에 대한 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하여야 한다.

 

- 법적 요구사항이나 업무에 미치는 영향 등 각 자산 특성에 맞는 보안등급 평가기준 결정

- 보안등급 평가기준에 따라 정보자산별 보안등급 산정 및 목록으로 관리

 

■ 정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하여야 한다.

 

- 신규 도입, 변경, 폐기되는 자산 현황을 확인할 수 있도록 절차 마련

- 정기적으로 정보자산 현황 조사를 수행하고 정보자산목록을 최신으로 유지

 

결함사례

---

‧ 사례 1 : 정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보 취급자 PC를 통제하는 데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락된 경우

 

‧ 사례 2 : 정보보호 및 개인정보보호 관리체계 범위 내에서 제3자로부터 제공받은 개인정보가 있으나, 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우

 

‧ 사례 3 : 내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류 기준이 일치하지 않은 경우

 

‧ 사례 4 : 온프레미스 자산에 대해서는 식별이 이루어졌으나, 외부에 위탁한 IT 서비스(웹호스팅, 서버호스팅, 클라우드 등)에 대한 자산 식별이 누락된 경우(단, 인증범위 내)

 

‧ 사례 5 : 고유식별정보 등 개인정보를 저장하고 있는 백업서버의 기밀성 등급을 (하)로 산정하는 등 정보자산 중요도 평가의 합리성 및 신뢰성이 미흡한 경우

 

"본 저작물은 '한국인터넷진흥원'에서 '2023년' 작성하여 공공누리 제4유형으로 개방한 '정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증기준 안내서'를 이용하였으며, 해당 저작물은 '한국인터넷진흥원(https://isms.kisa.or.kr/)'에서 무료로 다운받으실 수 있습니다."