[ISMS] 정보자산 분류 (개인공부)

요약

• ISMS 심사를 받아야 하는 대상은 무엇일까?
  • 사용자에게 제공되는 서비스와 관련된 자산(장비,사람 등)

내용

• 필요한 ISMS 정보보호대책 목록은 아래와 같다. (많다...)
  • 정보자산 분류 → 인증 범위 산정, 자산 데이터 정리
  • 정보보호 정책
  • 정보보호 조직
  • 외부자 보안
  • 인적 보안
  • 물리적 보안
  • 운영 보안
  • 시스템 개발 보안
  • 암호 통제
  • 접근 통제
  • 침해사고 관리
  • IT 재해복구

메뉴얼 기반으로 내가 이해한 내용 기반으로 정리한 것은 아래와 같다.

• 인증 범위 산정
  • 모든 설비에 대해 조직, 자산 식별 필요 → 이 데이터 기준으로 인증범위 설정
  • 서비스와 직접적인 관련성이 낮은 분석용 데이터, ERP 같은 경우는 인증 범위에서 제외
    • 기준은 이용자와의 접점이 없는 서비스들
  • 베어메탈, 프라이빗 클라우드 → 어플리케이션, DB, 서버, 네트워크, 보안 장비
  • 퍼블릭 클라우드 → 사용자가 컨트롤 할 수 있는 영역에 대해서
• 자산 데이터 정리
  • ID, 소유자, 위치, 설명 등의 카테고리로 자산을 식별할 수 있게 정리
    • 어떤 기준으로 분류를 하는 지 (결국 논리 싸움 같음)
    • 결국 문제가 생겼을 때, 책임질 대상을 만드는 것이기 때문에, 육하원칙으로 생각하면 좋을 것 같다. (언제 검사했고, 누가, 무엇을, 어떻게 관리하는 지)
    • 자산 및 보안을 관제 할 수 있는 시스템(관리 대장?)이 필요
• 자산 분류 - 그룹핑
  • 전자정보 (고객관련 데이터, 영업정보)
  • 문서 (사규, 절차, 방법, 계약서, 출입대장 ..)
  • 시스템 (OSS 시스템, 백업시스템 ..)
  • 보안 시스템 (방화벽, IDS, 인증시스템, ESM ..)
  • 물리적 자산 (전화, 팩스, 전원, 전산실, UPS ...)
  • 인적 자산 (경영자, 관리자, 시스템 담당자, 네트워크 담당자, 보안 담당자 ...)
• 관리 대장 내, 취약점 분석 내용 및 어떻게 관리되고 있는 지 내용 등 추가 (이건 커스텀 영역인 듯?)

배울 점 및 생각

• 서비스를 이용하는 사용자에게 직접적으로 영향을 미치는 자원들이 심사 범위
  • 사내 ERP 같은 순수 회사 운용과 관련된 정보들은 심사 대상에서 제외
• 결국 사용자에게 영향을 미치는 자원을 정확하게 식별하고 있는 지를 확인하는 것이 주된 내용이고 키 포인트 같다.
• 자산 별 책임자가 있어서, 자산의 변동 사항을 제대로 트랙킹하고 정보 자산으로 제대로 분류하고 있는 지를 보여주는 것이 자산 분류의 핵심인 것 같다.

추후 해야할 것

• 정보 자산을 이제 누가[조직] 어떻게[정책] 관리할 것인지, 정리가 필요할 것 같다.

참고 자료

https://isms.kisa.or.kr

KISA 정보보호 및 개인정보보호관리체계 인증