ISMS-P (관리체계) 1.2.1 정보자산 식별

 

※ 분야 : 1.2 위험관리

항목		인증기준	주요 확인사항
1.2.1	정보자산 식별	조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별∙분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다.	정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는가?
			식별된 정보자산에 대해 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가?
			정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가?

 

 

ISMS/ISMS-P 심사 주안점 차이

ISMS 심사 주안점	ISMS-P 심사 주안점
정보자산 식별·분류의 기준 및 현황에 대해 확인	정보자산 식별·분류의 기준 및 현황에 대해 확인하며, 정보자산 중 개인정보 현황 및 분류기준을 필수로 확인

 

 

 

※ 정보자산 분류(예시)

• 자산 유형별 분류
  : 서버, 데이터(DBMS), 정보시스템(응용프로그램), 소프트웨어, 네트워크장비, 보안 시스템, PC, 정보, 설비, 시설 등

자산유형	자산유형 별 항목 예시
서버	호스트 명칭, 자산 일련번호, 모델명, 용도, IP주소, 관리 부서명, 관리 실무자, 관리 책임자, 보안등급 등
데이터	데이터베이스명, 테이블명, (개인)정보 항목명(예: 이름, 성별, 생년월일, 휴대폰번호, 이메일 등), 관리 부서명, 관리 실무자, 관리 책임자, 저장 시스템(호스트 명칭), 저장 위치(IP주소), 보안등급 등
정보시스템	서버, PC 등 단말기, 보조저장매체, 네트워크 장비, 응용프로그램 등 정보의 수집, 가공, 저장, 검색, 송수신에 필요한 하드웨어 및 소프트웨어
보안시스템	정보의 훼손, 변조, 유출 등을 방지하기 위하여 구축된 시스템으로 침입차단시스템, 침입탐지시스템, 침입방지시스템, 개인정보유출방지시스템 등을 포함
정보	문서적 정보와 전자적 정보 모두를 포함(중요정보, 개인정보 등)

• 자산명, 용도, 위치, 책임자 및 관리자, 관리 부서 등의 자산정보를 확인하여 목록화하며, 정보자산의 효율적 관리를 위하여 자산관리시스템 활용 또는 문서(엑셀) 등 다양한 형태로 관리할 수 있습니다.
• 클라우드 서비스를 이용하는 경우, 클라우드 서비스의 특성을 반영한 분류기준(ex, EC2, S3, LB 등)을 마련하고 이에 따라 클라우드 자산을 식별·관리하여야 합니다.
• 식별된 정보자산에 대한 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급 평가기준에 따라 정보자산별 보안등급  산정 및 목록으로 관리하여야 합니다.
  • 보안등급 평가기준 예시
    • 기밀성, 무결성, 가용성, 법적 준거성 등에 따른 중요도 평가
    • 서비스 영향, 이익손실, 고객 상실, 대외 이미지 손상 등도 고려

 

증적 필요 사항 예시

• 정보자산 및 개인정보 자산분류 기준
• 정보자산 및 개인정보 자산목록(자산관리시스템 화면)
• 정보자산 및 개인정보 보안등급
• 자산실사 내역
• 위험분석 보고서(자산식별 내역)

 

 

※ 인증항목 유사 내용 구분 비교

결함 사항	인증항목
보안등급 부여,  내부 지침에 명시된 보안등급 분류 기준과 자산관리 대장의 분류 기준이 일치하지 않은 경우	1.2.1 정보자산 식별
보안등급 표시, 취급절차 등에 책임자가 명시되지 않은 경우	2.1.3 정보자산 관리