인증기준
- 정보자산 분류기준을 수립하여 범위 내 모든 정보자산을 식별·분류하고, 중요도 산정 후 목록을 최신으로 관리하여야 합니다.
주요 확인사항
- 자산 분류기준에 따라 모든 자산을 식별하여 목록으로 관리하는지 확인합니다.
- 법적 요구사항 및 업무 영향을 고려해 보안등급을 부여하고 있는지 점검합니다.
- 정기적으로 현황을 조사하여 목록을 최신화하는지 확인합니다.
세부 설명
- 자산은 서버, 데이터, 소프트웨어, 네트워크 장비, 보안시스템, PC 등으로 분류하며 클라우드 자산도 포함해야 합니다.
- 기밀성, 무결성, 가용성 등을 기준으로 보안등급을 평가해야 합니다.
- 신규 도입, 변경, 폐기되는 자산이 즉시 반영될 수 있도록 절차를 마련해야 합니다.
결함 사례
- 사례 1 : 개인정보취급자 PC를 통제하는 유출통제 시스템 등이 자산목록에서 누락된 경우
- 사례 2 : 제3자로부터 제공받은 개인정보에 대한 자산 식별이 이루어지지 않은 경우
- 사례 3 : 중요 정보가 저장된 서버의 보안등급을 낮게 산정하는 등 평가의 합리성이 미흡한 경우