1.통제 목적
조직의 업무 특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별,분류하고, 중요도를 산정 후 그 목록을 최신으로 관리하여야 한다.
2.주요 확인 사항
- 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는가?
- 식별된 정보자산에 대해 법적 요구사항 및 업무에 미치는 영향등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가?
- 정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가?
3.결함 사례
1)정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보취급자 PC를 통제하는 데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락되어 있는 경우
2)정보보호 및 개인정보보호 관리체계 범위 내에서 제3자로부터 제공받은 개인정보가 있으나 해당 개인정보에 대한 자산식별이 이루어지지 않은 경우
3)내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류 기준이 일치하지 않는 경우
'정보보호 및 개인정보보호 관리체계 > 항목별 참조 자료 모음' 카테고리의 다른 글
| 1.2.3 위험 평가 (0) | 2020.12.01 |
|---|---|
| 1.2.2 현황 및 흐름분석 (0) | 2020.12.01 |
| 1.1.6 자원할당 (0) | 2020.11.30 |
| 1.1.5 정책 수립 (0) | 2020.11.25 |
| 1.1.4 범위 설정 (0) | 2020.11.25 |