항목 : 2.1.3 정보자산 관리
■ 인증기준 : 정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립·이행하고, 자산별 책임소재를 명확히 정의하여 관리하여야 한다.
■ 주요 확인사항
- 정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기) 및 보호대책을 정의하고 이행하고 있는가?
- 식별된 정보자산에 대하여 책임자 및 관리자를 지정하고 있는가?
■ 관련 법규(금융분야 추가확인사항)
- 전자금융감독규정 제13조(전산자료 보호대책) 제1항제3호, 제14조(정보처리시스템 보호대책) 제6호, 제15조(해킹 등 방지대책) 제3항
■ 세부 설명
① 정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기 등)를 정의하고, 이에 따라 암호화, 접근통제 등 적절한 보호대책을 정의하고 이행하여야 한다.
- 임직원이 정보자산별 보안등급(기밀, 대외비, 일반 등)을 식별할 수 있도록 표시
- (전사)문서 : 문서 표지 또는 워터마킹을 통하여 표시
- 서버 등 하트웨어 자산 : 자산번호 또는 바코드 표시를 통한 보안등급 확인
- 정보자산 보안등급별로 취급절차(생성·도입, 저장, 이용, 파기 등) 및 보안통제 기준 수립·이행
② 식별된 정보자산에 대하여 자산 도입, 변경, 폐기, 반출입, 보안관리 등의 책임을 질 수 있는 책임자와 자산을 실제 관리·운영하는 책임자, 관리자(또는 담당자)를 지정하여 책임소재를 명확하게 하여야 한다.
- 정보자산별로 책임자 및 관리자 지정하고 자산목록에 기록
- 퇴직, 전보 등 인사이동이 발생하거나 정보자산의 도입·변경·폐기 등으로 정보자산 현황이 변경될 경우 정보자산별 책임자 및 담당자를 파악하여 자산목록에 반영
■ 증적예시
- 정보자산 목록(책임자, 담당자 지정)
- 정보자산 취급 절차(문서, 정보시스템 등)
- 정보자산 관리 시스템 화면
- 정보자산 보안등급 표시 내역
■ 결함사례
- 내부 지침에 따라 문서에 보안등급을 표기하도록 되어 있으나, 이를 표시하지 않은 경우
- 정보자산별 담당자 및 책임자를 식별하지 않았거나, 자산목록 현행화가 미흡하여 퇴직, 전보 등 인사이동이 발생하여 주요 정보자산의 담당자 및 책임자가 변경되었음에도 이를 식별하지 않은 경우
- 식별된 정보자산에 대한 중요도 평가를 실시하여 보안등급을 부여하고 정보 자산목록에 기록하고 있으나, 보안등급에 따른 취급절차를 정의하지 않은 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 인적 보안(2.2.2 직무 분리) (0) | 2023.02.10 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 인적 보안(2.2.1 주요 직무자 지정 및 관리) (0) | 2023.02.10 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.1 정책, 조직, 자산 관리(2.1.2 조직의 유지관리) (0) | 2023.02.10 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.1 정책, 조직, 자산 관리(2.1.1 정책의 유지관리) (0) | 2023.02.10 |
| ISMS-P 인증기준 [1. 관리체계 수립 및 운영] 1.4 관리체계 점검 및 개선(1.4.3 관리체계 개선) (0) | 2023.02.09 |