[K-ISMS 인증기준] 정보보호대책 4. 정보자산분류

K-ISMS 인증기준 - 4. 정보자산분류

---

4.1 정보자산 식별 및 책임

4.1.1 정보자산 식별

조직의 업무특성에 따라 정보자산 분류기준을 수립하고 정보보호 관리체계 범위 내 모든 정보자산을 식별하여야 한다. 또한 식별된 정보자산을 목록으로 관리하여야 한다.

4.1.1.1 정보자산(정보시스템, 정보보호시스템, 정보)의 분류기준을 수립하고 정보보호 관리체계 범위 내 모든 정보자산을 식별하고 있는가?

ㅇ 다음의 정보자산에 대해 조직의 업무 특성에 적합한 분류기준을 정의하여야 한다. ※ 정보자산 ※ - 정보시스템 : 서버, PC 등 단말기, 보조저장매체, 네트워크 장비, 응용 프로그램 등 정보의 수집, 가공, 저장, 검색, 송수신에 필요한 하드웨어 및 소프트웨어 - 정보보호시스템 : 정보의 훼손, 변조, 유출 등을 방지하기 위하여 구축된 시스템으로 침입차단시스템, 침입탐지시스템, 칩입방지시스템, 개인정보유출방지시스템 등을 포함 - 정보 : 문서적 정보와 전자적 정보 모두를 포함 ㅇ 수립된 분류기준에 따라 정보보호 관리체계 범위 내 모든 정보자산을 식별하여야 한다.

4.1.1.2 식별된 정보자산을 다음 항목이 포함된 별도 목록으로 관리하고 있는가?

- 정보자산명, 자산번호, 모델명, 용도

- 정보자산별 책임자, 관리자, 관리부서

- 정보자산에 대한 보안등급 등

ㅇ 식별된 정보자산에 대한 정보자산명, 용도, 책임자 및 관리자, 관리부서, 보안등급 등의 정보자산 정보를 확인할 수 있도록 목록으로 관리하여야 한다. ㅇ 다만 목록은 자산관리시스템, 문서 등 다양한 형태로 관리할 수 있다.

4.1.1.3 정기적으로 정보자산 현황을 조사하고 정보자산목록을 최신으로 유지하고 있는가?

ㅇ 신규 도입, 변경, 폐기되는 정보자산 현황을 확인 할 수 있도록 정기적으로 정보자산 조사를 수행하고 정보자산목록을 최신으로 유지하여야 한다.

4.1.2 정보자산별 책임할당

식별된 정보자산에 대한 책임자 및 관리자를 지정하여 책임소재를 명확히 하여야 한다.

4.1.2.1 식별된 정보자산에 대한 책임자 및 관리자(또는 담당자)를 지정하고 있는가?

ㅇ 정보자산 도입, 변경, 폐기, 반출입 등의 책임을 질 수 있는 책임자 및 정보자산을 실제 관리 ∙ 운영하는 관리자(또는 담당자)를 지정하여 책임소재를 명확하게 하여야 한다.

---

4.2 정보자산의 분류 및 취급

4.2.1 보안등급과 취급

기밀성, 무결성, 가용성, 법적요구사항 등을 고려하여 정보자산이 조직에 미치는 중요도를 평가하고 그 중요도에 따라 보안등급을 부여하여야 한다. 또한 보안등급을 표시하고 등급 부여에 따른 취급절차를 정의하여 이행하여야 한다.

4.2.1.1 기밀성, 무결성, 가용성, 법적요구사항 등을 고려하여 정보자산의 중요도를 평가하기 위한 기준을 수립하고 있는가?

ㅇ 정보자산의 유출, 장애 및 침해 발생 시 조직의 업무에 미치는 영향을 고려하여 식별된 정보자산의 중요도를 평가할 수 있도록 기준을 수립하여야 한다. 일반적으로 기밀성, 무결성, 가용성, 법적요구사항 등을 고려하여 평가기준을 마련할 수 있다. 그 외에 서비스 영향, 이익손실, 고객상실, 대외 이미지 등도 추가적으로 고려할 수 있다. ㅇ 이는 정보자산에 미치는 위험을 분석(관리과정 3.2 위험분석 참고)하기 위한 첫번째 단계로 정보자산의 중요도가 높을수록 발견된 위험의 위험도가 높아지며 이 과정을 통해 비용효과적으로 우선 적용하여야 하는 정보보호대책을 선정할 수 있다.

4.2.1.2 정보자산별로 중요도를 평가하고 각 자산별 특성에 적합한 보안등급 부여하고 보안등급을 쉽게 확인할 수 있도록 하고 있는가?

ㅇ 정보자산 중요도 평가기준에 따라 정보자산별로 중요도를 평가하여야 한다. 또한 정보자산별 특성에 따라 보안등급을 부여하고 다음과 같이 임직원이 보안등급을 쉽게 식별할 수 있도록 하여야 한다. - (전자)문서 : 기밀, 대외비, 일반 표시 - 서버 등 하드웨어 자산 : 자산번호 또는 바코드 표시를 통한 보안등급 확인

4.2.1.3 정보자산의 보안등급에 따른 취급절차(생성, 저장, 이용, 파기 등)를 정의하고 이행하고 있는가?

ㅇ 정보자산의 등급에 따라 취급절차(생성, 저장, 이용, 파기 등)를 정의하고 이에 따라 접근통제 등 적절한 보안통제를 이행하여야 한다. (예 : 문서자산의 경우 각 보안등급별(기밀, 대외비, 일반)로 생성, 저장, 이용, 파기 등에 대한 보안통제를 마련하여 이행)