ISMS-P 인증 기준 1.2.1.정보자산 식별 편집하기

IT위키

경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.

편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.

최신판 당신의 편집
17번째 줄: 17번째 줄:
**'''(가상자산 사업자)''' 가상자산과 관련한 자산을 식별하여 목록으로 관리하고, 최소한 필요한 인원에게만 제공하고 있는가?
**'''(가상자산 사업자)''' 가상자산과 관련한 자산을 식별하여 목록으로 관리하고, 최소한 필요한 인원에게만 제공하고 있는가?
***'''주요자산 예시''' : 개인키, 패스프레이즈, 월렛(핫, 콜드), 월렛금고, 중요 통제구역(월렛 작업공간) CCTV, 출입통제시스템, 월렛서버 및 관련 어플리케이션, 가상자산 노드서버, 가상 인프라(스토리지 포함), 콜드/핫 월렛용 단말기(노트북, PC), 자금세탁방지(AML) 관련 시스템 등
***'''주요자산 예시''' : 개인키, 패스프레이즈, 월렛(핫, 콜드), 월렛금고, 중요 통제구역(월렛 작업공간) CCTV, 출입통제시스템, 월렛서버 및 관련 어플리케이션, 가상자산 노드서버, 가상 인프라(스토리지 포함), 콜드/핫 월렛용 단말기(노트북, PC), 자금세탁방지(AML) 관련 시스템 등
*식별된 정보자산에 대하여 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가?
*식별된 정보자산에 대해 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가?
*정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가?
*정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가?
|}
|}
26번째 줄: 26번째 줄:
*정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하여야 한다.
*정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하여야 한다.
**조직의 특성에 맞게 정보자산의 분류기준을 수립하고, 분류 기준에 따라 정보자산을 빠짐없이 식별
**조직의 특성에 맞게 정보자산의 분류기준을 수립하고, 분류 기준에 따라 정보자산을 빠짐없이 식별
**자산명, 용도, 위치, 책임자 및 관리자, 관리 부서 등의 자산정보를 확인하여 목록 작성
**자산명, 용도, 위치, 책임자 및 관리자, 관리부서 등의 자산정보를 확인하여 목록 작성
**정보자산의 효율적 관리를 위하여 자산관리시스템 활용 또는 문서(엑셀) 등 다양한 형태로 관리
**정보자산의 효율적 관리를 위하여 자산관리시스템 활용 또는 문서(엑셀) 등 다양한 형태로 관리
**클라우드 서비스를 이용하는 경우, 클라우드 서비스의 특성을 반영한 분류기준(예를 들어, 가상서버, 오브젝트 스토리지 등)을 마련하고 이에 따라 클라우드 자산을 식별·관리
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
'''※ 정보자산 분류(예시)'''
'''※ 정보자산 분류(예시)'''


*'''자산 유형별 분류''': 서버, 데이터(DBMS), 정보시스템(응용프로그램), 소프트웨어, 네트워크장비, 보안 시스템, PC, 정보, 설비, 시설 등
*'''자산 유형별 분류''': 서버, 데이터(DMMS), 정보시스템(응용프로그램), 소프트웨어, 네트워크장비, 보안시스템, PC, 정보, 설비, 시설 등
*'''자산 유형별 항목'''(예)
*'''자산 유형별 항목'''(예)
**'''서버''': 호스트 명칭, 자산 일련번호, 모델명, 용도, IP주소, 관리 부서명, 관리 실무자, 관리 책임자, 보안등급 등
**'''서버''': 호스트 명칭, 자산 일련번호, 모델명, 용도, IP주소, 관리 부서명, 관리 실무자, 관리 책임자, 보안등급 등
**'''데이터''': 데이터베이스명, 테이블명, (개인)정보 항목명(예: 이름, 성별, 생년월일, 휴대폰번호, 이메일 등), 관리 부서명, 관리 실무자, 관리 책임자, 저장 시스템(호스트 명칭), 저장 위치(IP주소), 보안등급 등
**'''데이터''': 데이터베이스명, Table명,(개인)정보 항목명(예: 이름, 성별, 생년월일, 휴대폰번호, 이메일 등), 관리 부서명, 관리 실무자, 관리 책임자, 저장 시스템(호스트 명칭), 저장 위치(IP주소), 보안등급 등
**'''정보시스템''' : 서버, PC 등 단말기, 보조저장매체, 네트워크 장비, 응용프로그램 등 정보의 수집, 가공, 저장, 검색, 송수신에 필요한 하드웨어 및 소프트웨어
**'''정보시스템''' : 서버, PC 등 단말기, 보조저장매체, 네트워크 장비, 응용 프로그램 등 정보의 수집, 가공, 저장, 검색, 송수신에 필요한 하드웨어 및 소프트웨어
**'''보안시스템''' : 정보의 훼손, 변조, 유출 등을 방지하기 위하여 구축된 시스템으로 침입차단시스템, 침입탐지시스템, 침입방지시스템, 개인정보유출방지시스템 등을 포함
**'''보안시스템''' : 정보의 훼손, 변조, 유출 등을 방지하기 위하여 구축된 시스템으로 침입차단 시스템, 침입탐지시스템, 침입방지시스템, 개인정보유출방지시스템 등을 포함
**'''정보''' : 문서적 정보와 전자적 정보 모두를 포함(중요정보, 개인정보 등)
**'''정보''' : 문서적 정보와 전자적 정보 모두를 포함(중요정보, 개인정보 등)
</div>
</div>
68번째 줄: 67번째 줄:
==결함 사례==
==결함 사례==


*정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보 취급자 PC를 통제하는 데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락된 경우
*정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보 취급자 PC를 통제하는 데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락되어 있는 경우
*정보보호 및 개인정보보호 관리체계 범위 내에서 '''제3자로부터 제공받은 개인정보'''가 있으나, 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우
*정보보호 및 개인정보보호 관리체계 범위 내에서 제3자로부터 제공받은 개인정보가 있으나, 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우
*내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류 기준이 일치하지 않은 경우
*내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류 기준이 일치하지 않은 경우
*온프레미스 자산에 대해서는 식별이 이루어졌으나, '''외부에 위탁한 IT 서비스('''웹호스팅, 서버호스팅, 클라우드 등)에 대한 자산 식별이 '''누락된 경우'''(단, 인증범위 내)
*고유식별정보 등 개인정보를 저장하고 있는 백업서버의 기밀성 등급을 (하)로 산정하는 등 '''정보자산 중요도 평가의 합리성 및 신뢰성이 미흡'''한 경우


==같이 보기==
==같이 보기==
82번째 줄: 79번째 줄:
==참고 문헌==
==참고 문헌==


*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 IT위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소 편집 도움말 (새 창에서 열림)
원본 주소 "https://itwiki.kr/w/ISMS-P_인증_기준_1.2.1.정보자산_식별"