개요
카테고리 : 자산 분류
통제항목번호 : A-10
위험도 : 상
통제항목 : 조직의 중요한 자산(인력, 시설, 장비 등)에 대한 자산분류기준 문서화
판단(평가기준)
만족
• 자산분류기준을 지침 등 절차서에 명시하지 않는 기관이 존재하나,
주요정보통신기반시설 취약점 분석·평가 시 “202.자산목록.xlsx”
파일 내 분류기준을 명시하고 있음
• 자산 분류 관련 기준 존재
• 자산등급 및 중요도 관련 기준 존재(기밀성(C), 무결성(I), 가용성(A))
부분만족 :
• 기준이 존재하지 않으나 자산 분류가 됨
• 기준은 수립되어 있으나 분류되어 있지 않음
N/A :
• 해당 사항 없음
관련 법령 및 규칙
관련 법령 및 규칙 :
○ 국가 정보보안 기본지침
- 제50조(정보시스템 보안책임)
- 제51조(정보시스템 유지보수)
- [서식 제4호] 정보시스템 관리대장
○ 행정안전부 소관 주요정보통신기반시설 보호지침
- 제6조(세부시설의 지정)
- 제6조의2(자산 관리)
- [별표 9] 주요정보통신기반시설 세부시설 지정기준(제6조의2 관련)
증빙문서 및 참고사항
증빙 문서
• 자산분류 관련 규정
• 자산관리대장
참고 사항
○ 기관 정보자산에 대한 분류 기준이 되는 지침이나 매뉴얼이 있는지 확인
○ 정보자산에 대해 기관의 업무 특성에 대해 분류하고 있는지 확인
- 정보시스템 : 서버, PC 등의 단말기, 보조저장매체, 네트워크 장비, 응용 프로그램 등의 정보의 수집, 가공, 저장, 검색, 송·수신에 필요한 하드웨어 및 소프트웨어
- 정보보호시스템 : 정보의 훼손, 변조, 유출 등을 방지하기 위하여 구축된 시스템으로 침입차단시스템, 침입탐지시스템(IDS), 침입방지시스템(IPS), 개인정보유출방지시스템 등을 포함
- 정보 : 문서적 정보와 전자적 정보를 모두 포함(일반적으로 주요정보통신기반시설 자산분류에 포함하고 있지 않음)
Comment
조직의 중요한 자산(인력, 시설, 장비 등)에 대한 자산분류기준을 문서화하는 것은 다음과 같은 이유로 중요합니다:
체계적인 자산 관리: 일관된 자산분류 기준을 마련함으로써 자산을 유형별로 구분하고 체계적으로 관리할 수 있습니다. 이는 자산의 신규 도입, 변경, 폐기 등 생명주기에 따른 관리를 용이하게 합니다.
자산 중요도 평가: 문서화된 분류기준을 통해 자산의 중요도를 평가하고 등급을 선정할 수 있습니다. 이는 기밀성, 무결성, 가용성, 위험 발생 가능성, 침해 사고 발생 시 피해 규모 등을 고려하여 자산의 가치를 판단하는 데 도움이 됩니다.
위험 관리 개선: 자산분류기준을 문서화함으로써 각 자산에 대한 위험을 명확하게 분류하고 평가할 수 있습니다. 이를 통해 조직은 자산의 중요성에 따라 적절한 보안 대책을 수립하고 위험 관리를 효과적으로 수행할 수 있습니다.
'주요정보통신기반시설 > 관리적 분야' 카테고리의 다른 글
| A-12 정보자산별로 책임자가 지정되어 있으며 소유자, 관리자, 사용자들을 명시 (0) | 2025.02.21 |
|---|---|
| A-11 정보자산을 보안등급과 중요도 등에 따라 분류하여 관리 (0) | 2025.02.21 |
| A-9 위탁 기관(업체) 또는 용역사업 참여 업체의 보안관련사항 위반이나 침해사고 발생 시 조치 수행 (0) | 2025.02.21 |
| A-8 제3자(외부유지보수직원, 외부 용역 등)에 의한 정보자산 접근과 관련한 보안요구사항을 계약에 반영 (0) | 2025.02.20 |
| A-7 계약직 및 임시직원은 물론 정식직원 채용 시 신원, 업무능력, 교육정도, 경력 등에 대한 적격심사 수행 (0) | 2025.02.20 |