단계별 내부통제항목 - 예방(2)

 

 

3) 정보자산 분류
조직 내의 모든 자산을 명확하게 식별하고 중요자산을 분류하며 자산별 관리자를 지정하여 관리하여야 한다. 또한 정보자산을 “민감성(Sensitivity)”과 “중요도(Criticality)”에 따라 보호 등급을 결정하고 보호 등급에 따른 접근통제를 실시하여야 한다. 

① 정보자산 식별
조직의 특성에 맞는 정보자산의 “분류기준을 수립”하고 분류기준에 따른 정보자산을 “식별”하고 “목록”을 관리하여야 한다. 또한 “도입”, “변경”, “폐기”되는 정보자산 현황을 파악할 수 있도록 정기적으로 “조사”를 실시하고 정보자산 목록을 “최신으로 유지”하여야 한다. 

관련표준 및 지침

K-ISMS	4.1.1 정보자산 식별
ISO/IEC 27002:2013	A.8.1.1 Inventory of assets
NIST SP 800-53	PM-5, CM-8, CM-9

 

 

 

② 정보자산별 관리자 지정
식별된 정보자산별로 관리자를 지정하여야 한다. 관리자 지정으로 “도입”, “변경”, “폐기”, “반·출입” 등의 책임소재를 명확하게 하여야 한다. 

관련표준 및 지침

K-ISMS	4.1.2 정보자산 별 책임자 할당
ISO/IEC 27002:2013	A.8.1.2 Ownership of assets A.8.1.3 Acceptable use of assets
NIST SP 800-53	PM-5, CM-8, CM-9 AC-20, PL-4, PS-6

 

 

③ 정보자산별 보안등급 지정과 취급 절차 정의
식별된 정보자산을 “정보의 가치”, “법적 요구사항”, “민감성(Sensitivity)”과 “중요도(Criticality)”에 따라 정보자산의 보호 등급을 평가하고 보안등급을 부여하여야 한다. 또한 보안등급에 따른 취급 절차를 정의하고 접근통제를 실시하여야 한다. 보안등급은 “1급 비밀”, “2급 비밀”, “대외비”, “사내 공유”, “외부 공유” 등으로 분류할 수 있다. 

관련표준 및 지침

K-ISMS	4.2.1 보안등급과 취급
ISO/IEC 27002:2013	A.8.2.1 Classification of information A.8.2.2 Labeling of information A.8.2.3 Handling of assets
NIST SP 800-53	RA-2 AC-3, AC-4, AC-16, MP-2, MP-3, SC-16 AC-3, AC-4, AC-16, MP-2, MP-3, SC-16

 

 

4) 인적 보안
인적 보안은 내부자 위협에 대응하는 가장 중요한 통제항목 중의 하나이다. 내부자 위협에 적절히 대응하기 위해서는 조직 내 내부자를 “분류”하고 내부자 별로 “보안 역할”과 “책임”을 정의하고 통제하여야 한다. 또한 직무에 따른 담당자를 지정하고 “권한 오남용”을 예방하기 위한 “직무 분리”의 기준을 수립하여야 한다. 모든 내부자는 “비밀 유지 서약서”를 작성하여야 하며, 퇴직이나 직무 변경 시 조직의 “자산을 반납”하고 “접근권한”을 “조정·회수”하는 적절한 절차를 수립하고 시행하여야 한다.  

① 신원 파악
내부자를 채용하기 전에 “보안상 자격심사”를 위하여 “신원정보”를 사전에 파악하여야 한다. 신원 파악은 “직책” 및 업무의 “보안상 중요도”에 따라 신원 파악의 정도를 틀리게 하여야 하며, 성실한 업무수행에 “결함 사항”이 없느냐를 파악하는 데 중점을 두어야 한다. 신원 파악 시에 중요한 결함이 있는 경우에는 채용을 보류하여야 한다. 

관련표준 및 지침

K-ISMS	N/A
ISO/IEC 27002:2013	A.7.1.1 Screening
NIST SP 800-53	PS-3, SA-21

 

 

② 주요 직무자 지정 및 감독
조직 내 내부자를 “분류”하고 내부자 별로 “보안 역할”과 “책임”을 정의하고 통제하여야 한다. 내부자 위협의 대상에서 정의된 정보를 취급하는 내부자의 경우 “주요 직무자”로 지정하고 주기적으로 관리하여 직무자별 “업무 성격”에 따라 적정하게 권한이 부여되어있는지를 검토하여야 한다. 

관련표준 및 지침

K-ISMS	6.1.1 주요 직무자 지정 및 감독
ISO/IEC 27002:2013	A.7.2.1 Management responsibilities
NIST SP 800-53	PL-4, PS-6, PS-7, SA-9

 

 

③ 직무 분리
직무의 권한 오남용을 예방하기 위하여 업무별 직무 분리 기준을 수립하고 역할과 책임을 명확하게 기술하여야 한다. 인력 부족으로 직무 분리가 어려운 경우에는 별도의 보완통제 방안을 마련하여야 한다. 
“전자금융 감독규정” “제26조(직무의 분리)” 조항에 다음과 같은 업무를 수행하는 자는 직무를 분리하도록 규정하고 있다. 

 

『제26조(직무의 분리) 금융기관 또는 전자금융업자는 다음 각호의 업무에 대하여 직무를 분리·운영하여야 한다.
  1. 프로그래머와 오퍼레이터
  2. 응용 프로그래머와 시스템프로그래머
  3. 시스템보안관리자와 시스템프로그래머
  4. 전산 자료관리자(librarian)와 그 밖의 업무 담당자
  5. 업무운영자와 내부감사자
  6. 내부 인력과 전자금융 보조업자 및 유지보수업자 등을 포함한 외부 인력
  7. 정보기술 부문 인력과 정보보호 인력
  8. 그 밖에 내부통제와 관련하여 직무의 분리가 요구되는 경우』

관련표준 및 지침

K-ISMS	6.1.2 직무분리
ISO/IEC 27002:2013	A.6.1.2 Segregation of duties
NIST SP 800-53	AC-5