ISMS-P 인증 기준 2.1.3 정보자산관리 (정보자산별 보안등급, 자산목록)

항목		상세내용	주요 확인사항
2.1.3	정보자산 관리	정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립∙이행하고, 자산별 책임소재를 명확히 정의하여 관리하여야 한다.	정보자산의 보안등급에 따른 취급절차(생성∙도입, 저장, 이용, 파기) 및 보호대책을 정의하고 이행하고 있는가?
			식별된 정보자산에 대하여 책임자 및 관리자를 지정하고 있는가?

 

 

정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기 등)를 정의하고, 이에 따라 암호화, 접근통제 등 적절한 보호대책을 정의하고 이행하여야 합니다.

• 임직원이 정보자산별 보안등급(기밀, 대외비, 일반 등)을 식별할 수 있도록 표시 
  • (전자) 문서 : 문서 표지 또는 워터마킹 등을 통하여 표시
  • 서버 등 하드웨어 자산 : 자산번호 또는 바코드 표시 등을 통한 보안등급 확인
• 정보자산 보안등급별로 취급절차(생성·도입, 저장, 이용, 파기 등) 및 보안통제 기준 수립·이행

※ 정보자산별 보안등급 구분

보안 등급은 조직 내에서 문서 접근을 관리하고 중요한 정보를 적절히 보호하기 위해 사용되며, 보안 등급은 문서의 우측 상단 또는 좌측하단 등 조직에서 정하는 방식에 따라 해당 문서의 최초 작성자가 판단하여 표시해야 합니다. 

일반 (General)	외부에 공개가 가능한 자료로써, 회사 홍보 소책자 등이 포함
대외비 (Restricted)	외부로 유출되면 안 되는 중요한 정보
기밀 (Confidential)	조직 내에서 특정 정보를 제한적으로 공개하거나 접근을 제어하는 등급

 

 

식별된 정보자산에 대하여 자산 도입, 변경, 폐기, 반출입, 보안관리 등의 책임을 질 수 있는 책임자와 자산을 실제 관리·운영하는 책임자, 관리자(또는 담당자)를 지정하여 책임소재를 명확하게 하여야 합니다.

• 정보자산별로 책임자 및 관리자 지정하고 자산목록에 기록
• 퇴직, 전보 등 인사이동이 발생하거나 정보자산의 도입·변경·폐기 등으로 정보자산 현황이 변경될 경우 정보자산별 담당자와 책임자를 파악하여 자산목록에 반영

※ 자산목록 작성 예시 

자산 번호	서비스	자산명 (Hostname)	OS	OS상세	IP	위치	위치상세	중요도등급	담당자	책임자
SVR00 1	XX서비스	XXPRDSVR01	Windows	2022 Standard	10.XX.XX.X	00IDC	00-OA-001	3등급	김서버	박팀장
SEC004	AA접근제어	AAPMGMT02	Amazon Linux	2023	172.XX.X.X	AWS	ap-northeast-2a	1등급	최보안	이책임

 

※ 2.1.3 정보자산관리 인증기준 관련 증적 예시

• 정보자산 목록(책임자, 담당자 지정)
• 정보자산 취급 절차(문서, 정보시스템 등)
• 정보자산 관리 시스템 화면
• 정보자산 보안등급 표시 내역

※ 2.1.3 정보자산관리 인증기준 결함사례

• 사례 1
  : 내부 지침에 따라 문서에 보안등급을 표기하도록 되어 있으나, 이를 표시하지 않은 경우
• 사례 2
  : 정보자산별 담당자 및 책임자를 식별하지 않았거나, 자산목록 현행화가 미흡하여 퇴직, 전보 등 인사이동이 발생하여 주요 정보자산의 담당자 및 책임자가 변경되었음에도 이를 식별하지 않은 경우
• 사례 3
  : 식별된 정보자산에 대한 중요도 평가를 실시하여 보안등급을 부여하고 정보 자산목록에 기록하고 있으나, 보안등급에 따른 취급절차를 정의하지 않은 경우