[ISMS/ISMS-P 인증기준] (관리체계) 1.2.1 정보자산 식별

ISMS/ISMS-P 공통 > 1.2 위험 관리 > 1.2.2 현황 및 흐름분석

·

[인증기준]

• 조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다.

[주요 확인사항]

• 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는가?
• 식별된 정보자산에 대하여 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가?
• 정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가?

[세부 설명]

• 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하여야 한다.
  • 조직의 특성에 맞게 정보자산의 분류기준을 수립하고, 분류 기준에 따라 정보자산을 빠짐없이 식별
    ex) 자산 유형별 기준 : 서버, DBMS, 네트워크, 정보시스템 등..
  • 자산명, 용도, 위치, 책임자 및 관리자, 관리 부서 등의 자산정보를 확인하여 목록 작성
  • 정보자산의 효율적 관리를 위하여 자산관리시스템 활용 또는 문서(엑셀) 등 다양한 형태로 관리
  • 클라우드 서비스를 이용하는 경우, 클라우드 서비스의 특성을 반영한 분류기준(예를 들어, 가상서버, 오브젝트 스토리지 등)을 마련하고 이에 따라 클라우드 자산을 식별·관리
• 식별된 정보자산에 대한 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하여야 한다.
  • 법적 요구사항이나 업무에 미치는 영향 등 각 자산 특성에 맞는 보안등급 평가기준 결정
    ex) 기밀성, 무결성, 가용성 등에 따른 중요도 평가
  • 보안등급 평가기준에 따라 정보자산별 보안등급 산정 및 목록으로 관리
• 정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하여야 한다.
  • 신규 도입, 변경, 폐기되는 자산 현황을 확인할 수 있도록 절차 마련
  • 정기적으로 정보자산 현황 조사를 수행하고 정보자산목록을 최신으로 유지

[증거자료]

• 정보자산 및 개인정보 자산분류 기준
• 정보자산 및 개인정보 자산목록(자산관리시스템 화면)
• 정보자산 및 개인정보 보안등급
• 자산실사 내역
• 위험분석 보고서(자산식별 내역)

[결함사례]

• 정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보 취급자 PC를 통제하는 데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락된 경우
• 정보보호 및 개인정보보호 관리체계 범위 내에서 제3자로부터 제공받은 개인정보가 있으나, 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우
• 내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류 기준이 일치하지 않은 경우
• 온프레미스 자산에 대해서는 식별이 이루어졌으나, 외부에 위탁한 IT 서비스(웹호스팅, 서버호스팅, 클라우드 등)에 대한 자산 식별이 누락된 경우(단, 인증범위 내)
• 고유식별정보 등 개인정보를 저장하고 있는 백업서버의 기밀성 등급을 (하)로 산정하는 등 정보자산 중요도 평가의 합리성 및 신뢰성이 미흡한 경우