ISMS-P 인증 기준 1.2.1.정보자산 식별: 두 판 사이의 차이

IT위키
(Imported from text file)
 
편집 요약 없음
 
(사용자 3명의 중간 판 3개는 보이지 않습니다)
1번째 줄: 1번째 줄:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
 
* '''분류''': [[ISMS-P 인증기준 1.2.위험 관리|1.2.위험 관리]]
*'''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 1.2.위험 관리|1.2.위험 관리]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!1.2.1.정보자산 식별
!1.2.1.정보자산 식별
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다.
|조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는가?
*정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는가?
* 식별된 정보자산에 대해 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가?  
**'''(가상자산 사업자)''' 가상자산과 관련한 자산을 식별하여 목록으로 관리하고, 최소한 필요한 인원에게만 제공하고 있는가?
* 정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가?
***'''주요자산 예시''' : 개인키, 패스프레이즈, 월렛(핫, 콜드), 월렛금고, 중요 통제구역(월렛 작업공간) CCTV, 출입통제시스템, 월렛서버 및 관련 어플리케이션, 가상자산 노드서버, 가상 인프라(스토리지 포함), 콜드/핫 월렛용 단말기(노트북, PC), 자금세탁방지(AML) 관련 시스템 등
*식별된 정보자산에 대하여 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가?
*정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가?
|}
|}
== 세부 설명 ==
==세부 설명==
 
==== 분류기준 수립 및 자산 식별 ====
 
*정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하여야 한다.
**조직의 특성에 맞게 정보자산의 분류기준을 수립하고, 분류 기준에 따라 정보자산을 빠짐없이 식별
**자산명, 용도, 위치, 책임자 및 관리자, 관리 부서 등의 자산정보를 확인하여 목록 작성
**정보자산의 효율적 관리를 위하여 자산관리시스템 활용 또는 문서(엑셀) 등 다양한 형태로 관리
**클라우드 서비스를 이용하는 경우, 클라우드 서비스의 특성을 반영한 분류기준(예를 들어, 가상서버, 오브젝트 스토리지 등)을 마련하고 이에 따라 클라우드 자산을 식별·관리
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
'''※ 정보자산 분류(예시)'''
 
*'''자산 유형별 분류''': 서버, 데이터(DBMS), 정보시스템(응용프로그램), 소프트웨어, 네트워크장비, 보안 시스템, PC, 정보, 설비, 시설 등
*'''자산 유형별 항목'''(예)
**'''서버''': 호스트 명칭, 자산 일련번호, 모델명, 용도, IP주소, 관리 부서명, 관리 실무자, 관리 책임자, 보안등급 등
**'''데이터''': 데이터베이스명, 테이블명, (개인)정보 항목명(예: 이름, 성별, 생년월일, 휴대폰번호, 이메일 등), 관리 부서명, 관리 실무자, 관리 책임자, 저장 시스템(호스트 명칭), 저장 위치(IP주소), 보안등급 등
**'''정보시스템''' : 서버, PC 등 단말기, 보조저장매체, 네트워크 장비, 응용프로그램 등 정보의 수집, 가공, 저장, 검색, 송수신에 필요한 하드웨어 및 소프트웨어
**'''보안시스템''' : 정보의 훼손, 변조, 유출 등을 방지하기 위하여 구축된 시스템으로 침입차단시스템, 침입탐지시스템, 침입방지시스템, 개인정보유출방지시스템 등을 포함
**'''정보''' : 문서적 정보와 전자적 정보 모두를 포함(중요정보, 개인정보 등)
</div>
 
==== 정보자산 평가 ====
 
*식별된 정보자산에 대한 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하여야 한다.
**법적 요구사항이나 업무에 미치는 영향 등 각 자산 특성에 맞는 보안등급 평가기준 결정
**보안등급 평가기준에 따라 정보자산별 보안등급 산정 및 목록으로 관리
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
'''※ 보안등급 산정기준(예시)'''
 
*기밀성, 무결성, 가용성, 법적 준거성 등에 따른 중요도 평가
*서비스 영향, 이익손실, 고객 상실, 대외 이미지 손상 등도 고려</div>
 
==== 정보자산 현황 최신화 ====
 
*정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하여야 한다.
**신규 도입, 변경, 폐기되는 자산 현황을 확인할 수 있도록 절차 마련
**정기적으로 정보자산 현황 조사를 수행하고 정보자산목록을 최신으로 유지
 
==증거 자료==
 
*정보자산 및 개인정보 자산분류 기준
*정보자산 및 개인정보 자산목록(자산관리시스템 화면)
*정보자산 및 개인정보 보안등급
*자산실사 내역
*위험분석 보고서(자산식별 내역)
 
==결함 사례==
 
*정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보 취급자 PC를 통제하는 데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락된 경우
*정보보호 및 개인정보보호 관리체계 범위 내에서 '''제3자로부터 제공받은 개인정보'''가 있으나, 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우
*내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류 기준이 일치하지 않은 경우
*온프레미스 자산에 대해서는 식별이 이루어졌으나, '''외부에 위탁한 IT 서비스('''웹호스팅, 서버호스팅, 클라우드 등)에 대한 자산 식별이 '''누락된 경우'''(단, 인증범위 내)
*고유식별정보 등 개인정보를 저장하고 있는 백업서버의 기밀성 등급을 (하)로 산정하는 등 '''정보자산 중요도 평가의 합리성 및 신뢰성이 미흡'''한 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
** 조직의 특성에 맞게 정보자산의 분류기준을 수립하고, 분류 기준에 따라 정보자산을 빠짐없이 식별
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* ※ 정보자산 분류(예시)
* 자산 유형별 분류 : 서버, 데이터(DMMS), 정보시스템(응용프로그램), 소프트웨어, 네트워크장비, 보안시스템, PC, 정보, 설비, 시설 등
* 자산 유형별 항목(예)- 서버 : 호스트 명칭, 자산 일련번호, 모델명, 용도, IP주소, 관리 부서명, 관리 실무자, 관리 책임자, 보안등급 등- 데이터 : 데이터베이스명, Table명,(개인)정보 항목명(예: 이름, 성별, 생년월일, 휴대폰번호, 이메일 등), 관리 부서명, 관리 실무자, 관리 책임자, 저장 시스템(호스트 명칭), 저장 위치(IP주소), 보안등급 등- 정보시스템 : 서버, PC 등 단말기, 보조저장매체, 네트워크 장비, 응용 프로그램 등 정보의 수집, 가공, 저장, 검색, 송수신에 필요한 하드웨어 및 소프트웨어- 보안시스템 : 정보의 훼손, 변조, 유출 등을 방지하기 위하여 구축된 시스템으로 침입차단 시스템, 침입탐지시스템, 침입방지시스템, 개인정보유출방지시스템 등을 포함- 정보 : 문서적 정보와 전자적 정보 모두를 포함(중요정보, 개인정보 등)</div>
** 자산명, 용도, 위치, 책임자 및 관리자, 관리부서 등의 자산정보를 확인하여 목록 작성
** 정보자산의 효율적 관리를 위하여 자산관리시스템 활용 또는 문서(엑셀) 등 다양한 형태로 관리
* 식별된 정보자산에 대한 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하여야 한다.
** 법적 요구사항이나 업무에 미치는 영향 등 각 자산 특성에 맞는 보안등급 평가기준 결정
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* ※ 보안등급 산정기준(예시)
* 기밀성, 무결성, 가용성, 법적 준거성 등에 따른 중요도 평가
* 서비스 영향, 이익손실, 고객 상실, 대외 이미지 손상 등도 고려</div>
** 보안등급 평가기준에 따라 정보자산별 보안등급 산정 및 목록으로 관리
* 정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하여야 한다.
** 신규 도입, 변경, 폐기되는 자산 현황을 확인할 수 있도록 절차 마련
** 정기적으로 정보자산 현황 조사를 수행하고 정보자산목록을 최신으로 유지
== 증거 자료 ==
* 정보자산 및 개인정보 자산분류 기준
* 정보자산 및 개인정보 자산목록(자산관리시스템 화면)
* 정보자산 및 개인정보 보안등급
* 자산실사 내역
* 위험분석 보고서(자산식별 내역)
== 결함 사례 ==
* 정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보 취급자 PC를 통제하는 데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락되어 있는 경우
* 정보보호 및 개인정보보호 관리체계 범위 내에서 제3자로부터 제공받은 개인정보가 있으나, 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우
* 내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류 기준이 일치하지 않은 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

2024년 2월 13일 (화) 22:33 기준 최신판


개요[편집 | 원본 편집]

항목 1.2.1.정보자산 식별
인증기준 조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다.
주요 확인사항
  • 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는가?
    • (가상자산 사업자) 가상자산과 관련한 자산을 식별하여 목록으로 관리하고, 최소한 필요한 인원에게만 제공하고 있는가?
      • 주요자산 예시 : 개인키, 패스프레이즈, 월렛(핫, 콜드), 월렛금고, 중요 통제구역(월렛 작업공간) CCTV, 출입통제시스템, 월렛서버 및 관련 어플리케이션, 가상자산 노드서버, 가상 인프라(스토리지 포함), 콜드/핫 월렛용 단말기(노트북, PC), 자금세탁방지(AML) 관련 시스템 등
  • 식별된 정보자산에 대하여 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가?
  • 정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가?

세부 설명[편집 | 원본 편집]

분류기준 수립 및 자산 식별[편집 | 원본 편집]

  • 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하여야 한다.
    • 조직의 특성에 맞게 정보자산의 분류기준을 수립하고, 분류 기준에 따라 정보자산을 빠짐없이 식별
    • 자산명, 용도, 위치, 책임자 및 관리자, 관리 부서 등의 자산정보를 확인하여 목록 작성
    • 정보자산의 효율적 관리를 위하여 자산관리시스템 활용 또는 문서(엑셀) 등 다양한 형태로 관리
    • 클라우드 서비스를 이용하는 경우, 클라우드 서비스의 특성을 반영한 분류기준(예를 들어, 가상서버, 오브젝트 스토리지 등)을 마련하고 이에 따라 클라우드 자산을 식별·관리

※ 정보자산 분류(예시)

  • 자산 유형별 분류: 서버, 데이터(DBMS), 정보시스템(응용프로그램), 소프트웨어, 네트워크장비, 보안 시스템, PC, 정보, 설비, 시설 등
  • 자산 유형별 항목(예)
    • 서버: 호스트 명칭, 자산 일련번호, 모델명, 용도, IP주소, 관리 부서명, 관리 실무자, 관리 책임자, 보안등급 등
    • 데이터: 데이터베이스명, 테이블명, (개인)정보 항목명(예: 이름, 성별, 생년월일, 휴대폰번호, 이메일 등), 관리 부서명, 관리 실무자, 관리 책임자, 저장 시스템(호스트 명칭), 저장 위치(IP주소), 보안등급 등
    • 정보시스템 : 서버, PC 등 단말기, 보조저장매체, 네트워크 장비, 응용프로그램 등 정보의 수집, 가공, 저장, 검색, 송수신에 필요한 하드웨어 및 소프트웨어
    • 보안시스템 : 정보의 훼손, 변조, 유출 등을 방지하기 위하여 구축된 시스템으로 침입차단시스템, 침입탐지시스템, 침입방지시스템, 개인정보유출방지시스템 등을 포함
    • 정보 : 문서적 정보와 전자적 정보 모두를 포함(중요정보, 개인정보 등)

정보자산 평가[편집 | 원본 편집]

  • 식별된 정보자산에 대한 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하여야 한다.
    • 법적 요구사항이나 업무에 미치는 영향 등 각 자산 특성에 맞는 보안등급 평가기준 결정
    • 보안등급 평가기준에 따라 정보자산별 보안등급 산정 및 목록으로 관리

※ 보안등급 산정기준(예시)

  • 기밀성, 무결성, 가용성, 법적 준거성 등에 따른 중요도 평가
  • 서비스 영향, 이익손실, 고객 상실, 대외 이미지 손상 등도 고려

정보자산 현황 최신화[편집 | 원본 편집]

  • 정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하여야 한다.
    • 신규 도입, 변경, 폐기되는 자산 현황을 확인할 수 있도록 절차 마련
    • 정기적으로 정보자산 현황 조사를 수행하고 정보자산목록을 최신으로 유지

증거 자료[편집 | 원본 편집]

  • 정보자산 및 개인정보 자산분류 기준
  • 정보자산 및 개인정보 자산목록(자산관리시스템 화면)
  • 정보자산 및 개인정보 보안등급
  • 자산실사 내역
  • 위험분석 보고서(자산식별 내역)

결함 사례[편집 | 원본 편집]

  • 정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보 취급자 PC를 통제하는 데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락된 경우
  • 정보보호 및 개인정보보호 관리체계 범위 내에서 제3자로부터 제공받은 개인정보가 있으나, 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우
  • 내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류 기준이 일치하지 않은 경우
  • 온프레미스 자산에 대해서는 식별이 이루어졌으나, 외부에 위탁한 IT 서비스(웹호스팅, 서버호스팅, 클라우드 등)에 대한 자산 식별이 누락된 경우(단, 인증범위 내)
  • 고유식별정보 등 개인정보를 저장하고 있는 백업서버의 기밀성 등급을 (하)로 산정하는 등 정보자산 중요도 평가의 합리성 및 신뢰성이 미흡한 경우

같이 보기[편집 | 원본 편집]

참고 문헌[편집 | 원본 편집]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
원본 주소 "https://itwiki.kr/index.php?title=ISMS-P_인증_기준_1.2.1.정보자산_식별&oldid=39156"