ISMS(정보보호관리체계) 인증 기준 2.1.3 정보자산 관리

2. 보호대책 요구사항 > 2.1 정책, 조직, 자산 관리 > 2.1.3 정보자산 관리

항목		상세내용
2.1.3	정보자산 관리	정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립ㆍ이행하고 자산별 책임소재를 명확히 정의하여 관리하여야 한다.
주요 확인사항		ㆍ정보자산의 보안등급에 따른 취급절차(생성ㆍ도입,저장,이용,파기) 및 보호대책을 정의하고 이행하고 있는가? ㆍ식별된 정보자산에 대하여 책임자 및 관리자를 지정하고 있는가?
관련 법규

 

● 중요사안

- 조직의 정보자산에 대해 분류기준을 수립하여 식별ㆍ관리하여야 한다.

- 정보자산의 분류 및 식별기준은 조직의 환경 및 업무특성에 맞게 수립하기 때문에 각 기관마다 다르게 식별될 수 있다.

- 자산의 관리를 위해 자산의 책임자는 자산 관리자의 책임과 역할을 정의하여야 하며, 자산 관리자와 담당자를 지정하여 자산에 대한 관리 권한을 위임할 수 있다.

- 자산의 등록, 변경, 폐기 등 생명주기에 따라 자산이 관리 될 수 있도록 절차와 방법을 수립하여야 한다.

- 정보자산의 관리자는 자산의 운영, 유지보수 및 관리하는 실무자로서 책임자의 권한을 위임받아 자산을 보호해야하는 책임이 있다.

- 조직이 보유하고 있는 정보자산을 대상으로 다음과 같은 중요도 평가 기준을 수립하여 평가하여야 한다.

   > 기밀성 : 정보자산의 접근은 인가된 사람만이 접근 가능함을 보장해야 함

   > 무결성 : 정보자산 내의 정보 및 처리방법의 정확성, 완전성을 보호해야 함

   > 가용성 : 인가된 사용자가 필요시 정보자산 및 관련 정보에 접근하는 것을 보장해야 함

- 정보자산 목록표의 각 항목은 조직의 규모와 환경에 따라 차이가 있을 수 있다. 정보자산 목록표는 위험분석의 첫 단계이므로 누락된 자산이 없도록 한다.

 

 

● 운영현황

- 정보자산관리자는 자산 소유부서의 장이 되며, 자산 운영관리에 대한 총괄책임을 지고 정기적인 자산 실태조사 및 자산리스트 업데이트, 자산의 도입, 보관 및 폐기 관리 등을 수행하도록 정하고 있음.

- 기밀성, 무결성, 가용성 측면에서 자산가치를 산정하는 정보자산의 중요도 평가기준을 수립하고 있으며, 그 중요도에 따라 보안등급을 부여하고 있음.

- 자산의 보안등급별로 공개 및 접근범위를 정하고 있으며, 자산의 생성부터 파기까지의 자산관리체계를 수립하고 있음.

 

 

● 기록(증적자료)

- 정보자산목록표(자산리스트)

- 자산별 중요도 평가기준

- 정보자산 보안등급별 취급 절차서