ISMS 인증 준비, 첫단추는 현황분석입니다. 이전글에서 정보보호(보안)정책은 수립되어있는지 점검했다면 두번째로는 보안정책/지침등에서 정의하고 있는 정보자산이 어떻게 관리되고 있는지 점검합니다.
질문 2) 정보자산은 어떻게 관리되고 있는가?
회사 내 보안정책조차 없었기 때문에 정보자산 역시 없었어요. 정책에 맞게 정보자산 관리대장을 작성하는 게 순서였습니다. 우리 회사가 보유하고 있는 모든 정보 자산을 목록화하였고 여기에는 데이터베이스, 서버, 네트워크 장비, 클라우드 서비스, 문서, 소프트웨어 등이 포함됩니다. 각 자산의 중요성과 가치를 평가하는 것도 중요합니다.
KISA에서 제공하는 ICT 중소기업 대상으로 한 컨설팅의 한 부분으로 자산관리대장 작성 가이드를 찾을 수 있었습니다.
아래 내용은 위에 언급한 자산관리대장 작성 가이드를 발췌한 내용입니다.
정보자산 관리절차
1. 정보자산이란?
회사에서 보호해야할 가치 있는 정보 및 정보를 포함하는 유/무형의 자산을 의미합니다.
2. 정보자산 관리절차
정보자산의 관리를 위해서는 아래와 같은 과정을 거칩니다.
1) 정보자산 목록 작성
- 사내 부서별 정보자산 파악(식별) 및 목록 작성
- 서버, 정보보호시스템, 네트워크 (또는 공유기), DBMS, PC, 홈페이지, 개인정보 ( 회사의 정보자산을 7개로 분류함 )
2) 정보자산 중요도 평가
- 기밀성(Confidentiality) : 정보자산 유출 시 영향도 평가
- 무결성(Integrity) : 정보자산 변조/부정화 시 영향도 평가
- 가용성(Availability) : 정보자산 고장/사용불가 시 영향도 평가
3) 정보자산 관리/운영
- 정보자산 변경 시 업데이트 실시
- 주기적인 정보자산 중요도 평가 실시
- 효율적인 정보보호관리체계 유지를 위해 연 2회 이상 수행은 것을 권고함
정보자산 현황 - 자산관리대장 작성 가이드
1. 서버
서버시스템이란? 사용자에게 특정 온라인 서비스를 제공하기 위한 기능의 운영체제 또는 프로그램 설치되어 있는 시스템입니다. (Linux 서버, Window 서버 등)
위에 소개된 문서를 기준으로 만들어본 정보자산 관리대장 - 서버 목록표입니다. 현재는 워드로 관리되고 있고요. 웹개발자 출신이다 보니 워드보다는 관리자화며을 통한 관리가 더 편할 때가 있어서요. 추후에는 웹에서 관리할 수 있도록 준비하고 있습니다. 다음에는 웹으로 자산정보관리대장 화면을 만들어 소개해보도록 하겠습니다. ^^
(1) 자산정보 항목별 작성내용
- No - 일련번호
- 구분 - 사내에서 부여한 자산 분류 코드명
- 자산번호 : 사내에서 지정한 자산코드
- 용도 : 해당 자산의 사용 목적 및 기능 설명
- 모델명 : 자산의 상품명 또는 모델명(제조사 포함)
- 운영체제버전 : 자산에 설치된 OS 종류 및 버전 ( Windows, Linux, IOS 등)
- hostname : 서버의 hostname
- IP : 자산에 부여된 IP 주소
- 위치 : 자산이 존재하는 물리적 위치
(2) 관리자 정보 항목별 작성내용
- 담당자 : 자산에 대한 운영 및 관리를 담당하는 자
- 책임자 : 자산에 대해 전반적인 책임을 지는 자
(3) 자산가치평가 항목별 작성내용
- 기밀성(Confidentiality) : 정보자산 유출 시 영향도 평가 ( 1-3 )
- 무결성(Integrity) : 정보자산 변조/부정화 시 영향도 평가 ( 1-3 )
- 가용성(Availability) : 정보자산 고장/사용불가 시 영향도 평가 ( 1-3 )
(4) 자산 등급
자산의 평가 기준에 따라 정보통신설비에 대해 평가를 수행하고 그 결과에 따라 자산을 분류합니다.
| 중요도 | 평가결과 | 비고 |
| 1등급 | 중요도가 8 – 9 점 | |
| 2등급 | 중요도가 5 – 7 점 | |
| 3등급 | 중요도가 3 – 4 점 |
2. 정보보호시스템
정보보호시스템 이란 ? 정보보호를 위해 별도로 구축, 보유하고 있는 시스템입니다. (방화벽, VPN, 네트워크 접근제어(NAC) 등)
정보보호시스템은 서버와 자산정보와 관리자, 자산가치평가, 자산등급 항목이 동일합니다.
3. 네트워크
네트워크 장비란? 온라인 서비스 운영 및 제반 업무를 위해 설치된 네트워크 장비입니다. (라우터, 스위치, 무선 AP, 공유기 등)
저희는 내부적으로 사용하고 있는 네트워크 장비중에는 무선 AP 가 들어가서 SSID 를 추가하여 관리하고 있습니다.
4. DBMS
DBMS 란? 사내에서 생성되는 데이터를 체계적으로 관리 운용할 수 있도록 하는 DB 관리 시스템입니다.
(MySQL, MS-SQL, Oracle 등)
DB Engine : DB가 설치되어 운영되는 환경 ( MySQL, PostgreSQL, Oracle 등 )
버전 : 해당 DB Engine의 버전
Database Name : DB명
5. PC
PC란?업무 수행을 목적으로 정보를 처리하는 단말기를 의미합니다.(해당 부서 내 모든 컴퓨터 및 노트북, 태블릿 등의 자산이 PC에 해당됩니다. )
NAC 로 PC가 관리되고 있는 경우에는 저희와 같이 Mac Address 를 추가하여 관리하는 것을 추천합니다.
6. 홈페이지
홈페이지 란? 외부에서 접속 가능하며, 회원가입 기능이 있는 웹 사이트 입니다. (회사 홍보용 홈페이지, 대 고객 서비스로 운영되는 홈페이지(쇼핑몰, 컨텐츠 제공 등)를 의미합니다.
저희와 같은경우 외주개발이 없어서 구체적으로 웹서버 버전과 개발버전, 호스트네임등을 추가하였습니다.
7. 개인정보
개인정보 란? 온라인 및 오프라인을 통해 회원(고객 등)을 모집 시 수집되는 정보입니다. (온라인 회원가입 정보, 오프라인 회원가입 정보, 홈페이지 이용자 정보, 상담신청 정보 등)
(1) 자산정보
구분 : 자산의 사용 목적 및 기능 (제품 판매, 정보 공유, 서비스 신청 등)
자산번호 : 사내에서 부여한 자산 분류 코드명
저장형태 : DB서버 내 저장 또는 담당자 PC 등에 엑셀로 저장 등
암호화 : 암호화 유무, 방법 등
파기시기 : 개인정보 처리방침에서 예시한 파기시기
보유수량 : 전체 개인정보 보유수량
저처럼 처음 시작하시는 분들께 도움이 될까 싶어서 직접 만들어 보았습니다. 아래는 제가 직접 만들어본 정보자산 관리대장 양식입니다.
결론
1. 정보자산 관리대장 목록 작성
2. 정보자산별 자산평가(기밀성, 무결성, 가용성) 및 등급 산정
3. 정기적인 업데이트
'ISMS-P 인증' 카테고리의 다른 글
| ISMS-P 인증 준비, 정보보호 조직도 구성 (1) | 2024.10.28 |
|---|---|
| ISMS-P 인증 준비, CISO 인사발령 (7) | 2024.10.25 |
| ISMS-P 인증 준비, 보안 컨설팅을 받을 것인가? (3) | 2024.10.20 |
| ISMS-P 인증 준비, KISA에서 제공하는 온라인/오프라인 학습을 활용하자 (10) | 2024.10.19 |
| ISMS-P 인증 준비, 정부기관에서 제공하는 "안내서"부터 챙겨보자 (12) | 2024.10.19 |
