ISMS(정보보호관리체계) 인증 기준 1.2.1 정보자산 식별

1. 관리체계 수립 및 운영 > 1.2 위험 관리 > 1.2.1 정보자산 식별

항목		상세내용
1.2.1	정보자산 식별	조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별ㆍ분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다.
주요 확인사항		ㆍ정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는가? ㆍ식별된 정보자산에 대하여 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가? ㆍ정기적으로 정보자산 현황을 조사하여 정보자산 목록을 최신으로 유지하고 있는가?
관련 법규

● 중요사안

- 조직의 정보자산에 대해 분류기준을 수립하여 식별ㆍ관리하여야 함.

- 정보자산의 분류 식별기준은 조직의 환경 및 업무특성에 맞게 수립하기 때문에 다르게 식별될 수 있음.

- 조직이 보유하고 있는 정보자산을 대상으로 다음과 같은 중요도 평가 기준을 수립하여 평가하여야 함.

   > 기밀성 : 정보자산의 접근은 인가된 사람만이 접근 가능함을 보장해야 하는 특성을 말한다.

   > 무결성 : 정보자산 내의 정보 및 처리 방법의 정확성, 완전성을 보호해야 하는 특성(정도)을 말한다.

   > 가용성 : 인가된 사용자가 필요시 정보자산 및 관련 정보에 접근하는 것을 보장해야 하는 특성(정도)을 말한다.

 - 정보자산의 중요도 평가시 자산이 순수 갖고 있는 가치와 더불어 타자산과의 연관성을 함께 고려애햐 한다. 예를 들어 고유식별정보가 포함된 서버는 일반정보를 포함하는 서버보다 중요도가 높게 평가되어야 한다.

- 자산의 관리를 위해 자산의 책임자는 자산 관리자의 책임과 역할을 정의하여야 하며, 자산 관리자와 담당자를 지정하여 자산에 대한 관리 권한을 위임할 수 있다. 자산의 등록, 변경, 폐기 등 생명주기에 따라 자산이 관리 될 수 있도록 절차와 방법을 수립하여야 한다.

 

 

● 운영현황 확인

- 정보자산의 분류기준을 수립한 정책 문서 확인

- 정보보호 관리체계 범위 내 모든 정보자산을 식별ㆍ관리하는 자산관리대장 확인

- 정보자산목록을 주기적으로 검토하고 최신화하고 있는지 여부 확인

 

 

● 기록(증적자료)

- 정보자산 분류기준 수립 정책

- 정보자산 리스트

- 자산별 중요도 평가기준