ISMS-P 인증 기준 1.2.1.정보자산 식별 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
17번째 줄: | 17번째 줄: | ||
**'''(가상자산 사업자)''' 가상자산과 관련한 자산을 식별하여 목록으로 관리하고, 최소한 필요한 인원에게만 제공하고 있는가? | **'''(가상자산 사업자)''' 가상자산과 관련한 자산을 식별하여 목록으로 관리하고, 최소한 필요한 인원에게만 제공하고 있는가? | ||
***'''주요자산 예시''' : 개인키, 패스프레이즈, 월렛(핫, 콜드), 월렛금고, 중요 통제구역(월렛 작업공간) CCTV, 출입통제시스템, 월렛서버 및 관련 어플리케이션, 가상자산 노드서버, 가상 인프라(스토리지 포함), 콜드/핫 월렛용 단말기(노트북, PC), 자금세탁방지(AML) 관련 시스템 등 | ***'''주요자산 예시''' : 개인키, 패스프레이즈, 월렛(핫, 콜드), 월렛금고, 중요 통제구역(월렛 작업공간) CCTV, 출입통제시스템, 월렛서버 및 관련 어플리케이션, 가상자산 노드서버, 가상 인프라(스토리지 포함), 콜드/핫 월렛용 단말기(노트북, PC), 자금세탁방지(AML) 관련 시스템 등 | ||
*식별된 정보자산에 | *식별된 정보자산에 대해 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가? | ||
*정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가? | *정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가? | ||
|} | |} | ||
26번째 줄: | 26번째 줄: | ||
*정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하여야 한다. | *정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하여야 한다. | ||
**조직의 특성에 맞게 정보자산의 분류기준을 수립하고, 분류 기준에 따라 정보자산을 빠짐없이 식별 | **조직의 특성에 맞게 정보자산의 분류기준을 수립하고, 분류 기준에 따라 정보자산을 빠짐없이 식별 | ||
**자산명, 용도, 위치, 책임자 및 관리자, | **자산명, 용도, 위치, 책임자 및 관리자, 관리부서 등의 자산정보를 확인하여 목록 작성 | ||
**정보자산의 효율적 관리를 위하여 자산관리시스템 활용 또는 문서(엑셀) 등 다양한 형태로 관리 | **정보자산의 효율적 관리를 위하여 자산관리시스템 활용 또는 문서(엑셀) 등 다양한 형태로 관리 | ||
<div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px"> | <div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px"> | ||
'''※ 정보자산 분류(예시)''' | '''※ 정보자산 분류(예시)''' | ||
*'''자산 유형별 분류''': 서버, 데이터( | *'''자산 유형별 분류''' : 서버, 데이터(DMMS), 정보시스템(응용프로그램), 소프트웨어, 네트워크장비, 보안시스템, PC, 정보, 설비, 시설 등 | ||
*'''자산 유형별 항목'''(예) | *'''자산 유형별 항목'''(예) | ||
**'''서버''': 호스트 명칭, 자산 일련번호, 모델명, 용도, IP주소, 관리 부서명, 관리 실무자, 관리 책임자, 보안등급 등 | **'''서버''' : 호스트 명칭, 자산 일련번호, 모델명, 용도, IP주소, 관리 부서명, 관리 실무자, 관리 책임자, 보안등급 등 | ||
**'''데이터''': 데이터베이스명, | **'''데이터''' : 데이터베이스명, Table명,(개인)정보 항목명(예: 이름, 성별, 생년월일, 휴대폰번호, 이메일 등), 관리 부서명, 관리 실무자, 관리 책임자, 저장 시스템(호스트 명칭), 저장 위치(IP주소), 보안등급 등 | ||
**'''정보시스템''' : 서버, PC 등 단말기, 보조저장매체, 네트워크 장비, | **'''정보시스템''' : 서버, PC 등 단말기, 보조저장매체, 네트워크 장비, 응용 프로그램 등 정보의 수집, 가공, 저장, 검색, 송수신에 필요한 하드웨어 및 소프트웨어 | ||
**'''보안시스템''' : 정보의 훼손, 변조, 유출 등을 방지하기 위하여 구축된 시스템으로 | **'''보안시스템''' : 정보의 훼손, 변조, 유출 등을 방지하기 위하여 구축된 시스템으로 침입차단 시스템, 침입탐지시스템, 침입방지시스템, 개인정보유출방지시스템 등을 포함 | ||
**'''정보''' : 문서적 정보와 전자적 정보 모두를 포함(중요정보, 개인정보 등) | **'''정보''' : 문서적 정보와 전자적 정보 모두를 포함(중요정보, 개인정보 등) | ||
</div> | </div> | ||
68번째 줄: | 67번째 줄: | ||
==결함 사례== | ==결함 사례== | ||
*정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보 취급자 PC를 통제하는 데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 | *정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보 취급자 PC를 통제하는 데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락되어 있는 경우 | ||
*정보보호 및 개인정보보호 관리체계 범위 내에서 | *정보보호 및 개인정보보호 관리체계 범위 내에서 제3자로부터 제공받은 개인정보가 있으나, 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우 | ||
*내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류 기준이 일치하지 않은 경우 | *내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류 기준이 일치하지 않은 경우 | ||
==같이 보기== | ==같이 보기== | ||
82번째 줄: | 79번째 줄: | ||
==참고 문헌== | ==참고 문헌== | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | *정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |