ISMS-P 인증 기준 2.1.3.정보자산 관리: Difference between revisions

From CS Wiki
(Imported from text file)
No edit summary
 
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
 
* '''분류''': [[ISMS-P 인증 기준 2.1.정책, 조직, 자산 관리|2.1.정책, 조직, 자산 관리]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 2.1.정책, 조직, 자산 관리|2.1.정책, 조직, 자산 관리]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.1.3.정보자산 관리
!2.1.3.정보자산 관리
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립·이행하고, 자산별 책임소재를 명확히 정의하여 관리하여야 한다.
|정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립·이행하고, 자산별 책임소재를 명확히 정의하여 관리하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기) 및 보호대책을 정의하고 이행하고 있는가?
*정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기) 및 보호대책을 정의하고 이행하고 있는가?
* 식별된 정보자산에 대하여 책임자 및 관리자를 지정하고 있는가?
*식별된 정보자산에 대하여 책임자 및 관리자를 지정하고 있는가?
|}
|}
== 세부 설명 ==
==세부 설명==
 
==== 자산관리 절차 수립·이행 ====
 
*정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기 등)를 정의하고, 이에 따라 암호화,접근통제 등 적절한 보호대책을 정의하고 이행하여야 한다.
**임직원이 정보자산별 보안등급(기밀, 대외비, 일반 등)을 식별할 수 있도록 표시
***(전자)문서 : 문서 표지 또는 워터마킹을 통하여 표시
**서버 등 하드웨어 자산 : 자산번호 또는 바코드 표시를 통한 보안등급 확인
**정보자산 보안등급별로 취급절차(생성·도입, 저장, 이용, 파기 등) 및 보안통제 기준 수립·이행
 
==== 자산 관리 책임자 지정·관리 ====
 
*식별된 정보자산에 대하여 자산 도입, 변경, 폐기, 반출입, 보안관리 등의 책임을 질 수 있는 책임자와 자산을 실제 관리·운영하는 책임자, 관리자(또는 담당자)를 지정하여 책임소재를 명확하게 하여야 한다.
**정보자산별로 책임자 및 관리자 지정하고 자산목록에 기록
**퇴직, 전보 등 인사이동이 발생하거나 정보자산의 도입·변경·폐기 등으로 정보자산 현황이 변경될경우 정보자산별 책임자 및 담당자를 파악하여 자산목록에 반영
 
==증거 자료==
 
*정보자산 목록(책임자, 담당자 지정)
*정보자산 취급 절차(문서, 정보시스템 등)
*정보자산 관리 시스템 화면
*정보자산 보안등급 표시 내역
 
==결함 사례==
 
*내부 지침에 따라 문서에 보안등급을 표기하도록 되어 있으나, 이를 표시하지 않은 경우
*정보자산별 담당자 및 책임자를 식별하지 않았거나, 자산목록 현행화가 미흡하여 퇴직, 전보 등 인사이동이 발생하여 주요 정보자산의 담당자 및 책임자가 변경되었음에도 이를 식별하지 않은 경우
*식별된 정보자산에 대한 중요도 평가를 실시하여 보안등급을 부여하고 정보 자산목록에 기록하고 있으나, 보안등급에 따른 취급절차를 정의하지 않은 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기 등)를 정의하고, 이에 따라 암호화,접근통제 등 적절한 보호대책을 정의하고 이행하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
** 임직원이 정보자산별 보안등급(기밀, 대외비, 일반 등)을 식별할 수 있도록 표시
*** (전자)문서 : 문서 표지 또는 워터마킹을 통하여 표시
** 서버 등 하드웨어 자산 : 자산번호 또는 바코드 표시를 통한 보안등급 확인
** 정보자산 보안등급별로 취급절차(생성·도입, 저장, 이용, 파기 등) 및 보안통제 기준 수립·이행
* 식별된 정보자산에 대하여 자산 도입, 변경, 폐기, 반출입, 보안관리 등의 책임을 질 수 있는 책임자와자산을 실제 관리·운영하는 책임자, 관리자(또는 담당자)를 지정하여 책임소재를 명확하게 하여야 한다.
** 정보자산별로 책임자 및 관리자 지정하고 자산목록에 기록
** 퇴직, 전보 등 인사이동이 발생하거나 정보자산의 도입·변경·폐기 등으로 정보자산 현황이 변경될경우 정보자산별 책임자 및 담당자를 파악하여 자산목록에 반영
== 증거 자료 ==
* 정보자산 목록(책임자, 담당자 지정)
* 정보자산 취급 절차(문서, 정보시스템 등)
* 정보자산 관리 시스템 화면
* 정보자산 보안등급 표시 내역
== 결함 사례 ==
* 내부 지침에 따라 문서에 보안등급을 표기하도록 되어 있으나, 이를 표시하지 않은 경우
* 정보자산별 담당자 및 책임자를 식별하지 않았거나, 자산목록 현행화가 미흡하여 퇴직, 전보 등 인사이동이 발생하여 주요 정보자산의 담당자 및 책임자가 변경되었음에도 이를 식별하지 않은 경우
* 식별된 정보자산에 대한 중요도 평가를 실시하여 보안등급을 부여하고 정보 자산목록에 기록하고 있으나, 보안등급에 따른 취급절차를 정의하지 않은 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Latest revision as of 06:46, 17 June 2022


개요[edit | edit source]

항목 2.1.3.정보자산 관리
인증기준 정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립·이행하고, 자산별 책임소재를 명확히 정의하여 관리하여야 한다.
주요 확인사항
  • 정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기) 및 보호대책을 정의하고 이행하고 있는가?
  • 식별된 정보자산에 대하여 책임자 및 관리자를 지정하고 있는가?

세부 설명[edit | edit source]

자산관리 절차 수립·이행[edit | edit source]

  • 정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기 등)를 정의하고, 이에 따라 암호화,접근통제 등 적절한 보호대책을 정의하고 이행하여야 한다.
    • 임직원이 정보자산별 보안등급(기밀, 대외비, 일반 등)을 식별할 수 있도록 표시
      • (전자)문서 : 문서 표지 또는 워터마킹을 통하여 표시
    • 서버 등 하드웨어 자산 : 자산번호 또는 바코드 표시를 통한 보안등급 확인
    • 정보자산 보안등급별로 취급절차(생성·도입, 저장, 이용, 파기 등) 및 보안통제 기준 수립·이행

자산 관리 책임자 지정·관리[edit | edit source]

  • 식별된 정보자산에 대하여 자산 도입, 변경, 폐기, 반출입, 보안관리 등의 책임을 질 수 있는 책임자와 자산을 실제 관리·운영하는 책임자, 관리자(또는 담당자)를 지정하여 책임소재를 명확하게 하여야 한다.
    • 정보자산별로 책임자 및 관리자 지정하고 자산목록에 기록
    • 퇴직, 전보 등 인사이동이 발생하거나 정보자산의 도입·변경·폐기 등으로 정보자산 현황이 변경될경우 정보자산별 책임자 및 담당자를 파악하여 자산목록에 반영

증거 자료[edit | edit source]

  • 정보자산 목록(책임자, 담당자 지정)
  • 정보자산 취급 절차(문서, 정보시스템 등)
  • 정보자산 관리 시스템 화면
  • 정보자산 보안등급 표시 내역

결함 사례[edit | edit source]

  • 내부 지침에 따라 문서에 보안등급을 표기하도록 되어 있으나, 이를 표시하지 않은 경우
  • 정보자산별 담당자 및 책임자를 식별하지 않았거나, 자산목록 현행화가 미흡하여 퇴직, 전보 등 인사이동이 발생하여 주요 정보자산의 담당자 및 책임자가 변경되었음에도 이를 식별하지 않은 경우
  • 식별된 정보자산에 대한 중요도 평가를 실시하여 보안등급을 부여하고 정보 자산목록에 기록하고 있으나, 보안등급에 따른 취급절차를 정의하지 않은 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)