항목 : 1.2.1 정보자산 식별
■ 인증기준 : 조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다.
■ 주요 확인사항
- 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는가?
금융분야 추가확인사항
전자금융감독규정 제13조(전산자료 보호대책) 제1항제3호, 제14조(정보처리시스템보호대책) 제6호, 제15조(해킹 등 방지대책) 제3항
- 식별된 정보자산에 대하여 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가?
- 정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가?
■ 세부 설명
① 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하여야 한다
- 조직의 특성에 맞게 정보자산의 분류기준을 수립하고, 분류 기준에 따라 정보자산을 빠짐없이 식별
금융분야 추가확인사항
- 자산명, 용도, 위치, 책임자 및 관리자, 관리부서 등의 자산정보를 확인하여 목록 작성
- 정보자산의 효율적 관리를 위하여 자산관리시스템 활용 또는 문서(엑셀) 등 다양한 형태로 관리
② 식별된 정보자산에 대한 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안 등급을 부여하여야 한다.
- 법적 요구사항이나 업무에 미치는 영향 등 각 자산 특성에 맞는 보안등급 평가기준 결정
- 보안등급 평가기준에 따라 정보자산별 보안등급 산정 및 목록으로 관리
③ 정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하여야 한다.
- 신규 도입, 변경, 폐기되는 자산 현황을 확인할 수 있도록 절차 마련
- 정기적으로 정보자산 현황 조사를 수행하고 정보자산목록을 최신으로 유지
■ 증적예시
- 정보자산 및 개인정보 자산분류 기준
- 정보자산 및 개인정보 자산목록(자산관리시스템 화면)
- 정보자산 및 개인정보 보안등급
- 자산실사 내역
- 위험분석 보고서(자산식별 내역)
■ 결함사례
- 정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보 취급자 PC를 통제하는 데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락되어 있는 경우
- 정보보호 및 개인정보보호 관리체계 범위 내에서 제3자로부터 제공받은 개인정보가 있으나, 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우
- 내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류 기준이 일치하지 않은 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.2 위험 관리(1.2.3 위험 평가) (0) | 2023.02.08 |
|---|---|
| ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.2 위험 관리(1.2.2 현황 및 흐름분석) (0) | 2023.02.08 |
| ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.1 관리체계 기반 마련(1.1.6 자원 할당) (0) | 2023.02.06 |
| ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.1 관리체계 기반 마련(1.1.5 정책 수립) (0) | 2023.02.03 |
| ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.1 관리체계 기반 마련(1.1.4 범위 설정) (2) | 2023.01.27 |