[정보보안] 정보자산의 중요도 평가 기준
2024년 1회(25회) 정보보안기사 실기시험에 정보자산의 기밀성 등급에 대해 기술하는 문제가 출제되었습니다.
KISA의 “정보보호관리체계 위험관리 가이드(2004.11.30)“에 기술된 자산의 중요도 평가 기준은 비밀성, 무결성, 가용성 항목의 중요도(높음/중간/낮음)로 구성되어 있습니다. 비밀성과 무결성은 주로 데이터에 의해 결정돠고, 가용성은 서비스에 의해 결정됩니다.
| 보안특성 | 중요도 | 설명 |
|---|---|---|
| 비밀성 (기밀성) |
높음 | 조직 내부에서도 특별히 허가를 받은 사람들만이 볼 수 있어야 하며 조직 외부에 공개되는 경우 개인 프라이버시나 조직의 사업 진행에 치명적인 피해를 줄 수 있는 수준 |
| 중간 | 조직 내부에서는 공개될 수 있으나 조직 외부에 공개되는 경우 개인 프라이버시나 조직의 사업 진행에 상당한 문제를 발생시킬 수 있는 수준 | |
| 낮음 | 조직 외부에 공개되는 경우 개인 프라이버시나 조직의 사업 진행에 미치는 영향이 미미한 수준 | |
| 무결성 | 높음 | 고의적으로나 우연히 변경되는 경우 개인 프라이버시나 조직의 사업 진행에 치명적인 피해를 줄 수 있는 수준 |
| 중간 | 고의적으로나 우연히 변경되는 경우 개인 프라이버시나 조직의 사업 진행에 상당한 문제를 발생시킬 수 있는 수준 | |
| 낮음 | 고의적으로나 우연히 변경되는 경우 개인 프라이버시나 조직의 사업 진행에 미치는 영향이 미미한 수준 | |
| 가용성 | 높음 | 서비스가 중단되는 경우 조직의 운영과 사업 진행에 치명적인 피해를 줄 수 있는 수준 |
| 중간 | 서비스가 중단되는 경우 조직의 운영과 사업 진행에 상당한 문제를 발생시킬 수 있는 수준 | |
| 낮음 | 서비스가 중단되는 경우 조직의 운영과 사업 진행에 미치는 영향이 미미한 수준 |
또한 ISMS-P 인증기준 안내서(2023.11.23)의 “1.2 위험관리 > 1.2.1 정보자산 식별” 항목의 인증기준를 살펴보면, 아래와 같이 중요도와 함께 보안등급을 부여해야 하고 법적 준거성이 평가 항목으로 추가되었습니다.
- 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하여야 한다.
- 식별된 정보자산에 대한 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하여야 한다.
- 보안등급 산정기준(예시)에 따르면, 기밀성(비밀성), 무결성, 가용성, 법적 준거성 등에 따른 중요도를 평가하고 서비스 영향, 이익손실, 고객 상실, 대외 이미지 손상 등도 고려해야 한다.
