1.2.1 정보자산 식별

1. 관리체계 수립 및 운영 (16개)

[두음] 기위운점

1.2 위험 관리	1.2.1 정보자산 식별
	1.2.2 현황 및 흐름 분석
	1.2.3 위험 평가
	1.2.4 보호대책 선정

---

---

식중기무가, 기무가법

정보자산 분류기준 수립, 정보자산 식별 · 분류,

중요도, 기밀성, 무결성, 가용성, 보안등급, 정보자산목록 최신 유지

자산관리대장 현행화

클라우드 자산에 대한 자산식별 중요

핵심 키워드 & 내용

 

정보자산 분류기준, 식별 · 분류, 중요도, 보안등급, 목록 최신 관리
정보자산 분류기준을 수립하고, ISMS-P 범위 내 자산 식별 및 목록화
정보자산 중요도 평가 및 보안등급 부여
정기적 정보자산목록 최신 유지

 

연관 두음

 

▶ 정보자산 식별 핵심 키워드

[두음] 식중기무가
정보자산 식별, 중요도, 기밀성, 무결성, 가용성

---

▶ 보안등급 산정 기준의 중요도 평가 요소

[두음] 기무가법
기밀성, 무결성, 가용성, 법적 준거성

---

인증기준

 

조직의 업무특성에 따라 정보자산 분류기준을 수립하여
관리체계 범위 내 모든 정보자산을 식별 · 분류하고,
중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다.

 

주요 확인사항

 

* 정보자산의 분류기준을 수립하고
  정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는가?

* 식별된 정보자산에 대하여 법적 요구사항 및 업무에 미치는 영향 등을 고려하여
  중요도를 결정하고 보안등급을 부여하고 있는가?

* 정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가?

 

세부 내용

 

□ 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하여야 한다.

 

□ 식별된 정보자산에 대한 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안 등급을 부여하여야 한다.

 

▶ 법적 요구사항이나 업무에 미치는 영향 등 각 자산 특성에 맞는 보안등급 평가기준 결정

 

▶ 보안등급 산정 기준의 중요도 평가 요소

 

[두음] 기무가법

기밀성, 무결성, 가용성, 법적 준거성

 

 

□ 정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하여야 한다.

 

결함사례

 

사례 1 :
정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서
중요정보 취급자 및 개인정보 취급자 PC를 통제하는 데 사용되는
출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락되어 있는 경우

사례 2 :
정보보호 및 개인정보보호 관리체계 범위 내에서 제3자로부터 제공받은 개인정보가 있으나,
해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우

사례 3 : ★
내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과
자산관리 대장의 분류 기준이 일치하지 않은 경우

---

가상자산 사업자 대상 주요 확인사항

 

가상자산과 관련한 자산을 식별하여 목록으로 관리하고, 최소한 필요한 인원에게만 제공하고 있는가?

 - 주요자산 예시 :
개인키, 패스프레이즈, 월렛(핫, 콜드), 월렛금고, 중요 통제구역(월렛 작업공간) CCTV, 출입통제시스템, 
월렛서버 및 관련 어플리케이션, 가상자산 노드서버, 가상 인프라(스토리지 포함), 
콜드/핫 월렛용 단말기(노트북, PC), 자금세탁방지(AML) 관련 시스템 등

---

참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)