2.1.3 정보자산 관리

2. 보호대책 요구사항 (64개)

[두음] 정인외물재 인접 암개 운보사

2.1 정책, 조직, 자산 관리	2.1.1 정책의 유지관리
	2.1.2 조직의 유지관리
	2.1.3 정보자산 관리

---

---

정보자산 취급 절차 및 보호대책, 보안등급(기밀, 대외비, 일반 등)

정보자산 책임자 · 관리자 지정

핵심 키워드 & 내용

 

- 정보자산, 보안등급, 취급절차 및 보호대책, 정보자산 책임자 및 관리자 지정
- 정보자산의 보안등급에 따른 취급절차 및 보호대책 정의 · 이행
- 정보자산 책임자, 관리자 지정

 

연관 두음

 

 

---

 

인증기준

 

정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립 · 이행하고,
자산별 책임소재를 명확히 정의하여 관리하여야 한다.

 

주요 확인사항

 

* 정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기) 및
  보호대책을 정의하고 이행하고 있는가?

* 식별된 정보자산에 대하여 책임자 및 관리자를 지정하고 있는가?

 

세부 설명

 

□ 정보자산의 보안등급에 따른 취급절차(생성 · 도입, 저장, 이용, 파기 등)를 정의하고,

   이에 따라 암호화, 접근통제 등 적절한 보호대책을 정의하고 이행하여야 한다.

 

▶ 임직원이 정보자산별 보안등급(기밀, 대외비, 일반 등)을 식별할 수 있도록 표시

• (전자)문서 : 문서 표지 또는 워터마킹을 통하여 표시
• 서버 등 하드웨어 자산 : 자산번호 또는 바코드 표시를 통한 보안등급 확인

▶ 정보자산 보안등급별로 취급절차(생성 · 도입, 저장, 이용, 파기 등) 및 보안통제 기준 수립·이행

 

□ 식별된 정보자산에 대하여 자산 도입, 변경, 폐기, 반출입, 보안관리 등의 책임을 질 수 있는

   책임자와 자산을 실제 관리 · 운영하는 책임자, 관리자(또는 담당자)를 지정하여

   책임소재를 명확하게 하여야 한다.

 

결함사례

 

사례 1 :
내부 지침에 따라 문서에 보안등급을 표기하도록 되어 있으나, 이를 표시하지 않은 경우

사례 2 :
정보자산별 담당자 및 책임자를 식별하지 않았거나,
자산목록 현행화가 미흡하여 퇴직, 전보 등 인사이동이 발생하여
주요 정보자산의 담당자 및 책임자가 변경되었음에도 이를 식별하지 않은 경우

사례 3 :
식별된 정보자산에 대한 중요도 평가를 실시하여 보안등급을 부여하고
정보 자산목록에 기록하고 있으나,
보안등급에 따른 취급절차를 정의하지 않은 경우

 

참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)