securityse lab

ㅇ 다음의 정보자산에 대해 조직의 업무 특성에 적합한 분류기준을 정의하여야 한다.

※ 정보자산 ※

- 정보시스템 : 서버, PC 등 단말기, 보조저장매체, 네트워크 장비, 응용 프로그램 등 정보의 수집, 가공, 저장, 검색, 송수신에 필요한 하드웨어 및 소프트웨어

- 정보보호시스템 : 정보의 훼손, 변조, 유출 등을 방지하기 위하여 구축된 시스템으로 침입차단시스템, 침입탐지시스템, 칩입방지시스템, 개인정보유출방지시스템 등을 포함

- 정보 : 문서적 정보와 전자적 정보 모두를 포함

ㅇ 수립된 분류기준에 따라 정보보호 관리체계 범위 내 모든 정보자산을 식별하여야 한다.

ㅇ 식별된 정보자산에 대한 정보자산명, 용도, 책임자 및 관리자, 관리부서, 보안등급 등의 정보자산 정보를 확인할 수 있도록 목록으로 관리하여야 한다.

ㅇ 다만 목록은 자산관리시스템, 문서 등 다양한 형태로 관리할 수 있다. 

ㅇ 신규 도입, 변경, 폐기되는 정보자산 현황을 확인 할 수 있도록 정기적으로 정보자산 조사를 수행하고 정보자산목록을 최신으로 유지하여야 한다.

ㅇ 정보자산 도입, 변경, 폐기, 반출입 등의 책임을 질 수 있는 책임자 및 정보자산을 실제 관리 ∙ 운영하는 관리자(또는 담당자)를 지정하여 책임소재를 명확하게 하여야 한다.

ㅇ 정보자산의 유출, 장애 및 침해 발생 시 조직의 업무에 미치는 영향을 고려하여 식별된 정보자산의 중요도를 평가할 수 있도록 기준을 수립하여야 한다. 일반적으로 기밀성, 무결성, 가용성, 법적요구사항 등을 고려하여 평가기준을 마련할 수 있다. 그 외에 서비스 영향, 이익손실, 고객상실, 대외 이미지 등도 추가적으로 고려할 수 있다.

ㅇ 이는 정보자산에 미치는 위험을 분석(관리과정 3.2 위험분석 참고)하기 위한 첫번째 단계로 정보자산의 중요도가 높을수록 발견된 위험의 위험도가 높아지며 이 과정을 통해 비용효과적으로 우선 적용하여야 하는 정보보호대책을 선정할 수 있다.

 ㅇ 정보자산 중요도 평가기준에 따라 정보자산별로 중요도를 평가하여야 한다. 또한 정보자산별 특성에 따라 보안등급을 부여하고 다음과 같이 임직원이 보안등급을 쉽게 식별할 수 있도록 하여야 한다.

- (전자)문서 : 기밀, 대외비, 일반 표시

- 서버 등 하드웨어 자산 : 자산번호 또는 바코드 표시를 통한 보안등급 확인 

 ㅇ 정보자산의 등급에 따라 취급절차(생성, 저장, 이용, 파기 등)를 정의하고 이에 따라 접근통제 등 적절한 보안통제를 이행하여야 한다.

(예 : 문서자산의 경우 각 보안등급별(기밀, 대외비, 일반)로 생성, 저장, 이용, 파기 등에 대한 보안통제를 마련하여 이행)

ㅇ조직의 업무 중 서비스 제공을 위한 시스템 통합(SI : System Integration), 운영(SM : System Maintenance), 유지보수, 고객상담 등 외부자에게 업무를 위탁하거나 클라우드 서비스를 이용하는 경우 외부자 업무형태(자사 건물 상주, 독립된 공간 근무 등)에 따라 준수하여야 할 보안요구사항을 정의하고 계약과정에서 명확하게 반영하여야 한다. 

- 이는 위탁업무 수행과정에서 외부자가 접근하는 중요정보(시스템 및 네트워크 구성도, 개인정보, 산출물, 산업기밀 등)의 유출, 침해사고를 예방하기 위한 것이다.

- 다만 외부자 업무형태에 따라 세부점검항목에서 제시하고 있는 보안요구사항을 계약서에 반영하지 못하는 경우 타당한 사유가 있어야 한다.

ㅇ 조직의 외부자 관리 직무를 맡은 담당자는 외부자와 계약 시 정의한 보안요구사항을 준수하고 있는 지 주기적으로 점검 또는 감사를 수행하여야 한다. 또한 외부자가 자체적으로 정보보호책임자를 지정하여 보안점검을 수행한 경우 그 결과를 주기적으로 보고하고 문제점 발생 시 유사한 문제가 재발하지 않도록 추가적인 보호대책을 수립하고 이행하여야 한다.

ㅇ 위탁 업무 수행과정에서 외부자의 관련 업무 담당자가 변경될 수 있으며 변경이력에 대한 보고 및 적절한 보호조치가 지체 없이 이루어질 수 있도록 관리하여야 한다.

ㅇ 외부자와의 계약 만료, 업무 종료에 따른 공식적인 정책 및 절차가 수립되어야 하며 이 정책 및 절차를 통해 정보시스템 자산 반납 및 업무 중 사용하였던 모든 접근계정 삭제 확인보장되어야 한다

ㅇ 최고경영자는 조직 내에서 정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄 관리할 수 있는 임원급의 정보보호 최고책임자(CISO)를 지정하여야 하며 인사발령 등의 공식적인 지정절차를 거쳐야 한다.

ㅇ 정보보호 최고책임자 지정 시 다음과 같은 법률을 참고할 수 있다.

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제45조의3(정보보호 최고책임자의 지정 등)

- 전자금융거래법 제21조의2(정보보호 최고책임자의 지정)

ㅇ 최고경영자는 조직의 규모 및 정보보호 관리체계 범위 내 서비스의 중요도에 따라 필요인력, 예산 등을 분석하여 정보보호 실무조직을 구성하여야 한다.

ㅇ 실무조직은 전담 또는 겸임조직으로 구성할 수 있으며 겸임조직으로 구성하더라도 정보보호 조직에 대한 공식적인 선언 또는 지정이 필요하다.

ㅇ 조직의 정보보호활동을 원활하게 수행하기 위하여 다음과 같은 항목을 고려하여 실무조직 구성원을 임명하여야 한다. 

- 전문적 지식 보유 여부 (예 : 정보보호 관련 학위 또는 자격증 보유)

- 정보보호 관련 실무 경력

- 정보보호 관련 직무교육 이수 등

ㅇ 정보보호위원회의 주기적인 운영이 가능하도록 위원회의 구성, 역할, 책임, 주기 등을 정의한 규정을 마련하여야 한다. 

ㅇ 정보보호위원회의 역할과 책임은 다음과 같다.

- 조직 전반에 걸친 중요한 정보보호 관련 사항 검토 및 의사결정

- 정보보호 실무조직 구성 및 정보보호 활동을 위한 위한 자원할당 등 

ㅇ 정보보호위원회는 정보보호 관련하여 조직 내 이해관계를 대변할 수 있는 경영진, 부서장, 정보보호 최고책임자 등 주요 임직원으로 구성하여야 한다. 즉, 조직 내 정보보호위원회의 위상은 조직의 정보보호 의지를 나타내는 것이므로 정보보호 관련 중요한 사안에 대해 검토, 의사결정, 집행 권한이 부여된 인원으로 구성하여야 한다.

ㅇ 정보보호 최고책임자가 총괄 관리하여야 할 정보보호 관련 업무는 다음과 같다.

- 정보보호정책 및 정책시행 문서 수립

- 정보보호 조직 구성

- 정보보호 관리체계 수립 및 운영

- CERT 구성 등 침해사고 예방, 대응, 복구 

- 정보보호 취약점 분석, 평가 및 개선 등을 포함한 위험관리 활동

- 임직원 대상 정보보호 교육

- 정보보호위원회 운영

- 그 밖에 법에서 정한 정보보호 조치 이행 등

ㅇ 정보보호관리자, 정보보호담당자 등 정보보호실무자는 정보보호 최고책임자의 관리 업무를 실무적으로 이행할 수 있도록 직무기술서 등을 통해 책임과 역할을 구체적으로 정의하여야 한다. 

ㅇ 조직 내 KPI, MBO, 인사평가와 같은 평가체계 내 정보보호 활동의 책임과 역할을 평가할 수 있는 항목을 포함하여 주기적으로 정보보호 최고책임자와 정보보호 관련 담당자의 활동을 평가하여야 한다. 

※ KPI (Key Performance Indicator) : 핵심성과지표

※ MBO (Management By Objectives) : 목표관리