ISMS-P 인증 기준 2.1.3.정보자산 관리 편집하기

IT위키

경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.

편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.

최신판 당신의 편집
1번째 줄: 1번째 줄:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
 
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
* '''분류''': [[ISMS-P 인증 기준 2.1.정책, 조직, 자산 관리|2.1.정책, 조직, 자산 관리]]
*'''분류''': [[ISMS-P 인증 기준 2.1.정책, 조직, 자산 관리|2.1.정책, 조직, 자산 관리]]
== 개요 ==
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.1.3.정보자산 관리
!2.1.3.정보자산 관리
|-
|-
| style="text-align:center" |'''인증기준'''
| style="text-align:center"|'''인증기준'''
|정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립·이행하고, 자산별 책임소재를 명확히 정의하여 관리하여야 한다.
|정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립·이행하고, 자산별 책임소재를 명확히 정의하여 관리하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
*정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기) 및 보호대책을 정의하고 이행하고 있는가?
* 정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기) 및 보호대책을 정의하고 이행하고 있는가?
*식별된 정보자산에 대하여 책임자 및 관리자를 지정하고 있는가?
* 식별된 정보자산에 대하여 책임자 및 관리자를 지정하고 있는가?
|}
|}
==세부 설명==
== 세부 설명 ==
 
==== 자산관리 절차 수립·이행 ====
 
*정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기 등)를 정의하고, 이에 따라 암호화,접근통제 등 적절한 보호대책을 정의하고 이행하여야 한다.
**임직원이 정보자산별 보안등급(기밀, 대외비, 일반 등)을 식별할 수 있도록 표시
***(전자)문서 : 문서 표지 또는 워터마킹을 통하여 표시
**서버 등 하드웨어 자산 : 자산번호 또는 바코드 표시를 통한 보안등급 확인
**정보자산 보안등급별로 취급절차(생성·도입, 저장, 이용, 파기 등) 및 보안통제 기준 수립·이행
 
==== 자산 관리 책임자 지정·관리 ====
 
*식별된 정보자산에 대하여 자산 도입, 변경, 폐기, 반출입, 보안관리 등의 책임을 질 수 있는 책임자와 자산을 실제 관리·운영하는 책임자, 관리자(또는 담당자)를 지정하여 책임소재를 명확하게 하여야 한다.
**정보자산별로 책임자 및 관리자 지정하고 자산목록에 기록
**퇴직, 전보 등 인사이동이 발생하거나 정보자산의 도입·변경·폐기 등으로 정보자산 현황이 변경될경우 정보자산별 책임자 및 담당자를 파악하여 자산목록에 반영
 
==증거 자료==
 
*정보자산 목록(책임자, 담당자 지정)
*정보자산 취급 절차(문서, 정보시스템 등)
*정보자산 관리 시스템 화면
*정보자산 보안등급 표시 내역
 
==결함 사례==
 
*내부 지침에 따라 문서에 보안등급을 표기하도록 되어 있으나, 이를 표시하지 않은 경우
*정보자산별 담당자 및 책임자를 식별하지 않았거나, 자산목록 현행화가 미흡하여 퇴직, 전보 등 인사이동이 발생하여 주요 정보자산의 담당자 및 책임자가 변경되었음에도 이를 식별하지 않은 경우
*식별된 정보자산에 대한 중요도 평가를 실시하여 보안등급을 부여하고 정보 자산목록에 기록하고 있으나, 보안등급에 따른 취급절차를 정의하지 않은 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
* 정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기 등)를 정의하고, 이에 따라 암호화,접근통제 등 적절한 보호대책을 정의하고 이행하여야 한다.
** 임직원이 정보자산별 보안등급(기밀, 대외비, 일반 등)을 식별할 수 있도록 표시
*** (전자)문서 : 문서 표지 또는 워터마킹을 통하여 표시
** 서버 등 하드웨어 자산 : 자산번호 또는 바코드 표시를 통한 보안등급 확인
** 정보자산 보안등급별로 취급절차(생성·도입, 저장, 이용, 파기 등) 및 보안통제 기준 수립·이행
* 식별된 정보자산에 대하여 자산 도입, 변경, 폐기, 반출입, 보안관리 등의 책임을 질 수 있는 책임자와자산을 실제 관리·운영하는 책임자, 관리자(또는 담당자)를 지정하여 책임소재를 명확하게 하여야 한다.
** 정보자산별로 책임자 및 관리자 지정하고 자산목록에 기록
** 퇴직, 전보 등 인사이동이 발생하거나 정보자산의 도입·변경·폐기 등으로 정보자산 현황이 변경될경우 정보자산별 책임자 및 담당자를 파악하여 자산목록에 반영
== 증거 자료 ==
* 정보자산 목록(책임자, 담당자 지정)
* 정보자산 취급 절차(문서, 정보시스템 등)
* 정보자산 관리 시스템 화면
* 정보자산 보안등급 표시 내역
== 결함 사례 ==
* 내부 지침에 따라 문서에 보안등급을 표기하도록 되어 있으나, 이를 표시하지 않은 경우
* 정보자산별 담당자 및 책임자를 식별하지 않았거나, 자산목록 현행화가 미흡하여 퇴직, 전보 등 인사이동이 발생하여 주요 정보자산의 담당자 및 책임자가 변경되었음에도 이를 식별하지 않은 경우
* 식별된 정보자산에 대한 중요도 평가를 실시하여 보안등급을 부여하고 정보 자산목록에 기록하고 있으나, 보안등급에 따른 취급절차를 정의하지 않은 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 IT위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소 편집 도움말 (새 창에서 열림)
원본 주소 "https://itwiki.kr/w/ISMS-P_인증_기준_2.1.3.정보자산_관리"