03. 정보자산관리지침
제1장 총칙[편집]
제1조(목적)[편집]
이 지침은 ㈜인스웨이브의 「정보보호정책서」에 의거 정보자산에 대한 관리에 필요한 사항을 규정함을 목적으로 한다.
제2조(적용범위)[편집]
이 지침은 ㈜인스웨이브의 클라우드컴퓨팅서비스 업무에 종사하는 임직원 및 회사와 계약을 맺어 해당 업무를 수행하는 외부업체 직원에게 적용한다.
제3조(용어정의)[편집]
- “서버”라 함은 서버용 운영체제(윈도우, 리눅스 등)가 탑재되어 운영되는 하드웨어 및 소프트웨어를 총칭한다.
- “서버관리자”라 함은 정보시스템에서 서비스되고 있는 서버 장비의 보안 및 운영 업무를 담당하는 자를 말한다.
- “정보자산”이라 함은 클라우드 서비스를 제공하는데 포함되는 정보시스템, 정보보호시스템, 정보 또는 서비스를 말한다.
제4조(서버관리자)[편집]
① 서버관리자는 서버의 운용·유지보수 및 보안운용 업무를 담당하며, 다음 각 호의 업무를 수행한다.
- 서버 운영 관리(계정, 서비스, 도입/변경/폐기, 백업/복구, 관리)
- 서버의 로깅 설정 및 로그 점검
- 보안문제에 대한 신속한 해결 및 패치 적용
- 보안사고 대응 및 지원
- 서버 보안패치 적용 및 취약점 제거
- 보안문제 발견 시 정보보호최고책임자에게 즉시 통보
제5조(사용자)[편집]
① 사용자는 서버에 접속하거나 서버 응용프로그램을 이용하여 업무를 수행하는 자로서 다음 각 호의 의무를 가진다.
- 접근 불가 또는 이상 발견 시 즉시 서버관리자에게 통보
- 인가된 경로를 통해 허용된 용도로만 시스템 접근 및 사용
제2장 정보자산의 식별 및 분류[편집]
제6조(정보자산 식별)[편집]
① 클라우드컴퓨팅서비스에 포함된 모든 정보자산을 식별하고 관리하여야 한다. ② 식별된 정보자산은 별첨 「정보자산목록」으로 목록화하여 최신 상태를 유지하여야 한다. ③ 반기 1회 이상 정보자산 현황을 조사하여 최신 정보를 반영하여야 한다.
제7조(정보자산 분류)[편집]
① 서비스 특성에 맞게 별지 제2호 서식 「정보자산 분류표」를 참고하여 분류 기준을 수립한다.
제8조(정보자산 식별자 부착)[편집]
① 식별된 정보자산 중 서버, 단말, 저장매체 등의 경우에는 다음 예시와 같이 자산번호 식별표를 부착하여야 한다.
| 항목 | 예시 |
|---|---|
| 자산번호 | INX-2022-0001-01 |
| 자산명칭 | 노트북 |
| 모델명 | MacBook Pro M2 |
| 구입처 | Apple Store |
| S/N | AB123456XYZ |
| 구입일자 | 2022.11.30 |
| 내용연수 | 4년 |
제3장 정보자산 변경관리[편집]
제9조(변경관리)[편집]
① 자산 변경 발생 시 다음 사항을 고려하여 보안영향평가를 수행하여야 한다.
- 서비스 보안에 미치는 영향
- 서비스 성능에 미치는 영향
- 서비스 업무에 미치는 영향
② 이용자에게 영향을 주는 변경 시 다음 내용을 사전 공지하여야 한다.
- 변경 내용 및 일시
- 영향 범위
- 긴급연락처
③ 변경 전 정보자산의 백업을 수행하여야 하며, ④ 변경계획 수립 후 정보보호최고책임자의 승인을 받아야 한다. ⑤ 변경 후 정상 동작 여부를 확인하고, ⑥ 소프트웨어 변경 시 호환성 및 안정성을 검증하여야 한다.
제4장 위험관리[편집]
제10조(취약점 점검계획)[편집]
① 정보보호최고책임자는 연 1회 이상 클라우드 서비스 전체에 대한 취약점 점검을 수행한다. ② 정보보호담당자는 취약점 점검계획을 수립하고 승인을 받아야 하며, 계획에는 다음이 포함된다.
- 점검대상
- 점검일정
- 담당자 및 책임자
- 절차 및 방법
③ 외부 전문업체에 의뢰 시 계약서에 관련 세부사항을 명시해야 하며, ④ 점검이 서비스 운영에 영향을 주지 않도록 사전 검토한다.
제11조(취약성 점검)[편집]
① 점검 항목에는 다음이 포함된다.
- 서버 OS 및 보안 설정
- 애플리케이션 취약점
- 웹 서비스 취약점
- 모바일 앱 및 가상자원 취약점 등
② 점검 결과는 일시·대상·방법·결과·조치사항 등을 포함하여 문서로 관리한다. ③ 발견된 취약점별로 조치결과서를 작성하여 정보보호최고책임자에게 보고한다.
[별지 제1호 서식] 정보자산 목록(예시)[편집]
(별첨 문서: 「03. 정보자산관리지침 별첨 클라우드 보안인증(SaaS) 정보자산목록.xlsx」 참조)
[별지 제2호 서식] 정보자산 분류표[편집]
| 분류 | 설명 |
|---|---|
| 정보시스템 | 운영체제, 소프트웨어 동작을 위한 WEB/WAS/DBMS 등이 설치된 시스템 (가상서버 포함) |
| 소프트웨어 | SaaS 서비스 개발·운영용 애플리케이션 및 오픈소스 포함 |
| 정보 | 문서적·전자적 정보 일체 (라이선스, SW 이미지 등) |
[별지 제3호 서식] 정보자산 중요도 평가기준[편집]
| 보안요구사항 | 내용 | 평가수준 |
|---|---|---|
| 기밀성 | 자산 유출 시 회사에 중대한 금전적 손실 발생 / 담당부서만 접근 가능 | 상 |
| 내부 일부 부서만 접근 가능 / 일부 손실 발생 가능 | 중 | |
| 외부 공개 가능, 손실 없음 | 하 | |
| 무결성 | 변조 시 서비스 장애·금전 손실 / 복구 어려움 | 상 |
| 변조 시 장애 가능 / 복구 필요 | 중 | |
| 변조 영향 미미 / 검증 용이 | 하 | |
| 가용성 | 장애 시 서비스 중단, 대체자산 없음 / 즉시 복구 필요 | 상 |
| 장애 시 1시간 이내 복구 가능 / 성능 영향 있음 | 중 | |
| 장애 시 대체자산 투입 가능 / 영향 미미 | 하 |
(끝)