T T A S t a n d a r d (The Asset Management Guideline for Information Security of Organization) ... "Information technology - Security ... "Information technology - Security techniques

정보통신단체표준(국문표준) 제정일 2010년 xx월 xx일

TTAxxx-xxxxxxR1

조직의 정보보호를 위한 자산 관리

지침

(The Asset Management Guideline for Information

Security of Organization)

본 문서에 대한 저작권은 TTA에 있으며 TTA와 사전 협의 없이 이 문서의 전체 또는 일부를

상업적 목적으로 복제 또는 배포해서는 안됩니다

Copyright Telecommunications Technology Association 2010 All Rights Reserved

정보통신단체표준(국문표준)

i

서 문

1 표준의 목적

일반적으로 기업 및 기관은 비즈니스를 영위하기 위해 영업기밀 고객정보 등 정보데이

터를 생산해내는 것뿐만 아니라 다양한 IT시스템 등 물리적 자산을 도입하여 활용하고

있다 조직에서는 업무 수행 및 서비스 제공 관련하여 보유하고 있는 다양하고 방대한

자산을 보호하기 위한 궁극적인 목적을 달성하기 위하여 자산의 가치를 산정하고 산정결

과에 근거하여 적합한 보호대책을 마련하는 작업을 수행한다 본 표준문서는 정보보호

관점에서 보호해야 할 주요 자산을 선별하고 그 주요 자산의 관리를 위해 이행해야 할

세부 절차와 방법을 정의하고 각 절차에서 행해지는 주요 활동사항을 가이드라인으로

제시하고자 한다

본 표준문서에서 사용하는 자산의 개념은 기업에서 일반적으로 사용하는 재무 관점에

서의 자산을 의미하는 것이 아닌 조직에서 수행하는 업무 및 서비스 제공과 관련하여 정

보보호 관점에서 가치가 있는 디지털 정보 및 데이터 서버 및 PC 등 물리적 자산 모두

를 의미한다

2 주요 내용 요약

조직에서는 사업을 추진하고 비즈니스를 영위하기 위해 다양한 자산을 보유하고 활용

하게 된다 그러한 자산은 새롭게 도입되거나 자산의 상태가 변경되거나 혹은 사용이 중

지되거나 혹은 폐기되는 과정을 거친다 즉 자산의 특성 및 목적에 따라 생명주기를 갖

게 되는데 자산의 생명주기 동안 자산이 지닌 가치에 따라 보호되기 위해서는 자산의

상태에 따라 관리 정책이 수립되어야 하며 이러한 관리정책 수립은 조직의 운영환경을

고려하여 원칙과 기준을 마련하여야 한다

본 표준은 조직에서 보호해야 할 혹은 가치를 지닌 자산의 관리 절차를 정의하고 있다

즉 자산의 관리정책 수립 자산의 조사 및 식별 자산의 분류 및 등록 자산의 가치(중요

도) 평가 자산의 변경관리 등 5개 단계로 구분하여 제시하고 있으며 각 단계마다 수행

해야 하는 주요 활동을 정의하고 있다 또한 조직에서 정보보호 측면을 고려하여 자산관

리를 위해 활용될 수 있는 관리양식(템플릿)을 예로 제시하고 있다

3 표준 적용 산업 분야 및 산업에 미치는 영향

본 표준문서는 조직이 보유하고 있는 주요 자산을 관리하기 위한 방안을 제시하는 것

으로 효율적이고 체계적인 자산 관리 체계를 갖춤으로써 비즈니스 수행과정에서의 다양

정보통신단체표준(국문표준)

TTAxxx-xxxxxxR1ii

한 위협과 위험으로부터 자산을 보호하고 조직의 정보보호 목표를 달성하게 한다

4 참조 표준(권고)

41 국외표준(권고)

- ITU-T X1051 Information technology - Security techniques - Information

security management for telecommunications organizations 2008

- ISOIEC 27000 Information technology - Security techniques - Information

security management systems - Overview and vocabulary 2007

- ISOIEC 27001 Information technology - Security techniques - Information

security management systems - Requirements 2005

- ISOIEC 27002 Information technology - Security techniques - Code of

practice for information security management 2007

42 국내표준

- TTA TTASKO-120036 정보보호관리체계수립 지침 20005(제정) 200612(개정)

- TTA TTASKO-120093 조직의 정보보호 정책 수립 가이드 200812(제정)

5 참조표준(권고)과의 비교

51 참조표준(권고)과의 관련성

52 참조한 표준(권고)과 본 표준의 비교표

6 지적재산권 관련사항

본 표준의 지적재산권 확약서lsquo 제출 현황은 TTA 웹사이트에서 확인할 수 있다

7 적합인증 관련사항

해당사항 없음

8 표준의 이력

정보통신단체표준(국문표준)

TTAxxx-xxxxxxR1iii

판수 제정일 제개정내역

제1판 20100xxx 제정

정보통신단체표준(국문표준)

TTAxxx-xxxxxxR1iv

Preface

1 The Purpose of Standard

In general enterprises and organizations introduce physical assets such as

various IT systems as well as product information data such as business secrets

customer information etc for business

The Organizations measure asset value and establish an appropriate

countermeasure based on the result of the measurement of the asset value in

order to accomplish an ultimate purpose of protecting the various and vast assets

related to a business conduct and supply of services

This standard document identifies main assets to be protected from the viewpoint

of information security defines detailed procedures and method for managing the

main assets and provides a guideline for main activities which are conducted in

each of the procedures

The concept of asset used in this standard document means all of physical

assets which are valuable from the viewpoint of information security such as digital

information and data servers and personal computers in relation to the business

of the organization and supply of services from the organization instead of assets

commonly used in an enterprise in terms of financial affairs

2 The Summary of Contents

An organization possesses and utilities various assets to promote and manage

business The assets are newly introduced or the states of the assets are

changed Otherwise the assets are stopped being used or are discarded

The asset has a lifecycle based on its characteristics and purpose A

management policy based on the state of the asset is required to protect the

asset in accordance with the value of the asset during the lifecycle of the asset

The management policy should have its principle and standard in consideration of

the operating environment of the organization

This standard document defines procedures for managing assets to be protected

정보통신단체표준(국문표준)

TTAxxx-xxxxxxR1v

by the organization or valuable assets

That is this standard document shows that the asset management procedure

includes five steps consisting of asset management policy establishment

examination and identification of assets classification and registration of assets

estimation of asset values change management and defines main activities for

each step Also this standard document suggests a management register(form) as

an example which can be used for asset management in consideration of

information security requirement

3 The Applicable Fields of Industry and its Effect

This standard document provides how to manage main assets belonging to an

organization Through this standard document it is possible to protect assets from

various threats and risks and accomplish the goal of information security by

preparing an efficient and systematical asset management system

4 The Reference Standards(Recommendations)

41 International Standards(Recommendations)

- ITU-T X1051 Information technology - Security techniques - Information

security management for telecommunications organizations 2008

- ISOIEC 27000 Information technology - Security techniques - Information

security management systems - Overview and vocabulary 2007

- ISOIEC 27001 Information technology - Security techniques - Information

security management systems - Requirements 2005

- ISOIEC 27002 Information technology - Security techniques - Code of

practice for information security management 2007

42 Domestic Standards

- TTA TTASKO-120036 정보보호관리체계수립 지침 20005(제정) 200612(개정)

- TTA TTASKO-120093 조직의 정보보호 정책 수립 가이드 200812(제정)

5 The Relationship to Reference Standards(Recommendations)

51 The relationship of Reference Standards(recommendations)

정보통신단체표준(국문표준)

TTAxxx-xxxxxxR1vi

52 Differences between Reference Standard(recommendation) and this standard

6 The Statement of Intellectual Property Rights

IPRs related to the present document may have been declared to TTA The

information pertaining to these IPRs if any is available on the TTA Website

7 The Statement of Conformance Testing and Certification

None

8 The History of Standard

Edition Issued date Contents

The 1st edition 20100xxx Established

정보통신단체표준(국문표준)

TTAxxx-xxxxxxR1vii

목 차

1 개 요 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot1

2 표준의 구성 및 범위 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot1

3 용어정의 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot1

4 자산관리 개요 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot2

5 자산관리 절차 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot3

부록 I 자산 분류 기준(예) middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot7

부록 Ⅱ 자산의 조사 및 식별(예) middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot8

부록 Ⅲ 자산 유형별 관리 정보(예) middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot10

부록 Ⅳ 자산 목록 관리대장(예) middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot11

정보통신단체표준(국문표준)

TTAxxx-xxxxxxR1viii

Contents

1 Introduction middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot1

2 Constitution and Scope middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot1

3 Terms and Definitions middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot1

4 Overview of Asset Management middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot2

5 Asset Management Process middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot3

Appendix Ⅰ The Example of Asset Classification Criteria middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot7

Appendix Ⅱ The Example of Asset Level Evaluation middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot8

Appendix Ⅲ The Example of Information to be maintained by Asset Type middotmiddotmiddotmiddotmiddotmiddotmiddot 10

Appendix Ⅳ The Example of Asset List Management Register middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot11

정보통신단체표준(국문표준)

TTAxxx-xxxxxxR1- 1 -

조직의 정보보호를 위한 자산 관리 지침

The Asset Management Guideline for Information Security of

Organization

1 개요

조직에서는 영업기밀 고객정보 등 주요 데이터뿐만 아니라 서버 네트워크 장비 등

IT 시스템 및 다양한 물리적 자산을 보유하고 있으며 이러한 자산은 자산이 가진 취약

점뿐만 아니라 다양한 위협 요소에 노출되어 있다

자산을 보호하기 위해서는 발생 가능한 위협요소에 대하여 해당 자산이 가진 취약점을

제거하는 일이 무엇보다 중요하며 이러한 작업의 궁극적인 목적은 자산의 가치에 따라

부여된 보안등급 즉 자산을 어떻게 취급하고 보호할 것인지에 대한 대책을 수립하기 위

해서다 자산이 가진 중요도 또는 업무 기여도 등 자산의 가치에 따라 자산에 대한 보호

수준이 달라질 수 있는데 자산을 체계적으로 보호하고 관리하기 위해서는 일정 기준과

원칙을 정하는 것이 중요하다

본 표준에서는 조직에서 자산을 훼손 변조 도난 유출 등의 다양한 형태의 침해 위협

으로부터 보호하기 위해 자산의 가치를 그 중요도에 따라 분류하여 체계적으로 자산을

관리하기 위한 기준과 절차를 정하는 데 있다 다시 말해 조직에서 보유한 다양하고 방

대한 자산을 체계적이고 효율적으로 관리하기 위한 자산 관리 절차 및 방법을 제시하고

있으며 일반적으로 재무 관점에서의 자산 관리가 아닌 정보보호 관점에서의 자산 관리

를 의미하는 것으로 가치를 가진 모든 데이터 시스템 등을 포함한다

2 표준의 구성 및 범위

본 표준은 조직에서 보호해야 할 자산에 대한 관리 절차를 정의하고 있으며 크게 두

개의 장으로 구성되어 있다

첫 번째 장에서는 조직에서의 자산관리에 대한 개요를 설명하고 있으며 두 번째 장에서는

조직의 자산관리를 위해서는 어떠한 작업을 해야 하는지 주요 활동을 정의하고 있다 다시

말해 자산을 체계적이고 효율적으로 관리하기 위한 관리 정책의 수립 자산의 조사 및

식별 자산의 분류 및 등록 자산의 가치(중요도) 평가 자산의 변경관리 등 5개 단계로

구분하여 제시하고 있다 그리고 각 단계마다 수행해야 하는 주요 활동을 정의하고 있다

또한 조직에서 보유한 자산의 정보보호 측면을 고려하여 자산관리를 위해 활용될 수 있는

관리양식(템플릿)을 예로 제시하고 있다

정보통신단체표준(국문표준)

TTAxxx-xxxxxxR1- 2 -

3 용어정의

가 자산

정보(데이터) 소프트웨어(컴퓨터 소프트웨어 등) 물리적 자산(서버 등) 서비

스 인력 등 조직에서 보유하고 있는 가치가 있는 모든 것을 말함

나 사용자

정보처리 설비 및 시스템을 활용하여 자산을 실질적으로 사용하는 자(사람 혹은

기관)를 말함

다 소유자

자산의 소유권한과 관리에 대한 최종 책임을 지며 자산의 취득 사용허가 처분

또는 폐기 등의 관리권한을 가짐

라 관리자

자산의 소유자로부터 관리위임을 받은 자로 자산의 보관 및 운영 관리 책임을

가짐

4 자산관리 개요

조직이 보유하고 있는 자산은 비즈니스 업무 재무 고객 등 다양한 측면에서 고유한

자산의 가치를 지니고 있다 예를 들어 정보보호관리체계 내의 주요 정보시스템을 포함한

통신설비 및 시설은 타 자산보다 가치가 높다고 할 수 있다 이러한 자산들은 보안사고

발생 시 사용자뿐만 아니라 조직의 비즈니스 혹은 사업 수행에도 지대한 영향을 미치기

때문에 보호에 대한 우선순위가 높다 이렇듯 조직에서의 자산 관리는 자산이 지닌 가치

에 따라 적절한 보호조치를 마련하고 이를 적용하기 위한 것을 목적으로 한다

자산의 가치 즉 자산의 중요도 평가는 해당 조직의 주요 서비스 및 업무 수행 내용을

기반으로 하여야 하며 특히 자산에 손해 혹은 피해를 초래할 수 있는 위협 요소와 취약

점을 충분히 파악한 후 기밀성(Confidentiality) 무결성(Integrity) 가용성(Availability) 등

정보보호 요구사항을 충분히 고려해야 한다

o 서비스 영향 개별 자산이 영향을 미치는 서비스의 범위

o 이익 손실 금전적 손실의 정도

o 고객 상실 고객의 이탈 가능성 정도

o 대외 이미지 조직의 이미지에 악영향을 미치는 정도

조직에서 보유하고 있는 다양하고 방대한 자산을 체계적이고 효율적으로 관리하기 위

해서는 신규 자산이 도입(생성)되거나 변경되거나 폐기되는 과정 즉 자산의 생명주기에

따라 관리되어야 한다 그리고 조직에서는 보호해야 할 자산을 관리하기 위해 방침을 세우고

일련의 절차를 거치는 데 각 절차에서의 주요 활동을 위한 일정 기준과 원칙을 정하는 것이

정보통신단체표준(국문표준)

TTAxxx-xxxxxxR1- 3 -

요구된다

일반적으로 자산관리 프로세스에는 자산의 관리정책 수립 자산의 조사 및 식별 자산의

분류 및 등록 자산의 가치(중요도) 평가 자산의 변경관리 등 5개의 단계가 있는데 각

단계마다 다양한 활동과 업무 수행이 요구된다

(그림 4-1) 자산 관리 프로세스

5 자산관리 프로세스

51 자산관리 정책의 수립

(1) 조직에서 보유하고 있는 자산을 체계적이고 효율적으로 관리하기 위해서는 보호해야

할 대상을 선별하는 것이 중요한데 이를 위해서는 자산을 어떠한 유형으로 어떻게

분류해야 하는 지를 우선적으로 정의하고 각 자산에 대한 취급 및 관리기준을 수

립해야 한다 또한 지침에 의거하여 자산의 관리계획을 수립하고 시행하여야 한다

(2) 자산의 관리를 위해 자산의 책임이 있는 소유자는 자산 관리자의 책임과 역할을

정의하여야 하며 자산 관리자와 담당자를 지정하여 자산에 대한 관리 권한을 위임

할 수 있다 자산의 등록 변경 폐기 등 생명주기에 따라 자산이 관리될 수 있도록

절차와 방법을 수립하여야 한다

(3) 자산을 체계적으로 관리하기 위해서는 자산을 유형별로 구분하기 위한 일관된

자산분류 기준이 마련되어야 하며 자산의 신규 도입 변경 폐기 등 자산의 생명

정보통신단체표준(국문표준)

TTAxxx-xxxxxxR1- 4 -

주기에 따라 자산을 취급하기 위한 절차와 방법을 정의한다

(4) 식별된 자산의 중요도 평가를 위해 평가요소를 도출하고 평가 원칙과 절차를 정의

하여야 하며 자산의 가치에 따라 관리하기 위한 자산의 가치등급 부여 기준을

수립한다

52 자산의 조사 및 식별

(1) 자산 조사를 통해 자산을 식별하는 것은 조직에서 보유하고 있는 자산 중 보호해야

할 대상을 정의하는 것을 말하는 것으로 자산 관리자는 조직에서 보유하고 있는

전체 자산을 조사하고 보호되어야 할 자산을 식별하여야 한다

(2) 자산 소유자는 해당 자산에 대한 총괄책임을 지며 자산 관리자를 선임해서 관리

업무를 위임할 수 있다 자산 관리자와 실무 담당자를 지정함으로써 자산 보호에

대한 책임성을 확보하고 자산에 대한 보호를 지속적으로 유지할 수 있어야 한다

(3) 조직의 자산은 기존의 자산뿐만 아니라 새로 도입되는 자산 혹은 사용중지 및 폐

기되는 자산에 대해서도 식별하여 관리가 이루어져야 한다

(4) 자산 조사 시 자산 관리부서 혹은 자산 관리자는 자산의 설치 및 운영 등 관련부서

(팀)의 협조를 받아 실시하여야 하며 자산의 운영 유휴 등 자산상태를 조사하고 자산의

현황관리에 활용하여야 한다

53 자산의 분류 및 등록

(1) 자산 관리자는 식별된 자산을 사전 정의된 자산의 분류기준에 따라 유형별로 분류

하고 자산명을 부여해서 관리하여야 한다

(2) 자산 관리자는 자산 담당자에 의해 자산의 식별 및 분류가 적절히 이루어지는지

확인하고 자산목록에 등록하여 관리한다 이때 자산의 등록은 자산의 분류기준에

따라 등록하는 것을 원칙으로 한다

(3) 조직에서는 자산의 등록 변경 폐기와 같은 자산관리를 위하여 lsquo자산목록 관리대

장rsquo을 작성하여 관리한다 자산을 등록할 때 자산 유형(형태) 및 특성에 따라 관리

해야 할 속성정보를 lsquo자산별 관리정보rsquo에 따라 기입한다

(4) 조직에서 보유하고 있는 다수 자산의 관리 효율성 제고를 위해 자산 유형 보안특성

중요도가 같은 자산들을 묶어서 하나의 그룹 자산으로 관리할 수 있는 데 이를

위해서는 자산의 그룹핑(Grouping) 정책을 정해야 한다 이때 적용하는 그룹핑 정책은

정보통신단체표준(국문표준)

TTAxxx-xxxxxxR1- 5 -

자산의 용도 가치 유사성(자산 모델 등)을 고려할 수 있다

(5) 자산관리를 위해 자산 유형 및 특성에 따라 관리되어야 할 기본추가 관리정보를

도출하여 정의하고 각 자산 유형별 기본추가 관리정보를 등록한다

(6) 등록된 자산은 자산코드 자산명 관리자 자산 가치등급 등을 라벨로 부착한다 물

리적 레이블링(Labeling) 표시가 불가능한 자산은 별도의 문서목록으로 관리한다

54 자산의 가치 평가

(1) 자산의 가치 평가의 궁극적인 목적은 해당 자산의 중요도 및 업무 기여도를 도출

하여 자산이 지닌 가치를 판단하고 보안등급을 부여하기 위해서이다

(2) 가치 평가는 각 자산이 조직에 미치는 잠재적 손실 규모와 자산의 기여도를 반영하여

측정하게 되는데 일반적으로 정보보호 요구사항인 기밀성(Confidentiality) 무결성

(Integrity) 가용성(Availability) 등을 고려하여 자산의 중요도를 평가한다 자산이 파

괴되거나 기밀성(Confidentiality) 무결성(Integrity) 가용성(Availability) 등 보안요

구사항(보안성)을 충족하지 못했을 경우 조직에 미치는 영향을 근거로 중요도 평가를

할 수 있으며 조직에서 정한 일정 기준에 의거하여 중요도 평가가 가능하다

(3) 자산의 가치 등급은 자산 소유자와 관리자의 의견을 반영하여 중요도 평가가 이루

어지며 일반적으로 자산의 정보보호 요구사항과 자산의 기여도를 반영하여 이루어

진다

o 자산의 가치 등급(중요도) = (기밀성(C) + 무결성(I) + 가용성(A)) times 기여도

(4) 각 자산에 대한 적절한 보호조치를 수립적용하기 위해서는 각 자산의 가치(보안등급)를

부여하여야 하며 자산의 가치 평가는 주기적(년 1회 등)으로 수행되어야 한다 이러한

자산 중요도 평가는 조직의 운영환경 등에 따라 달라질 수 있으며 정량적 또는

정성적인 방법에 의해 수행할 수 있다 자산의 중요도 평가 기준은 객관화하고 계

량화하여 합리적인 방법에 따라 실시한다

(5) 자산의 중요도 평가 실시 후 평가결과에 따라 개별 자산의 가치등급을 부여하고

그 결과를 lsquo자산목록 관리대장rsquo에 반영하여야 하며 자산은 가치등급에 따라 관리

되어야 한다

(6) 자산의 용도 변경 등 자산의 상태가 변경될 수 있는데 자산의 상태가 변경되면 가

치(보안등급)에 대한 재평가가 이루어져야 하며 가치에 대한 재부여가 필요하다

정보통신단체표준(국문표준)

TTAxxx-xxxxxxR1- 6 -

55 자산의 변경관리

(1) 조직에서 수립된 자산의 관리 절차에 따라 자산의 상태를 주기적으로 모니터링하고

변경사항에 대한 점검이 이루어져야 한다 이를 위해 자산 관리자는 lsquo자산 조사계

획rsquo을 토대로 정기적으로 자산의 용도 상태 등 현황을 점검하고 유지하여야 한다

자산의 변경사항이 있을 경우 해당 자산에 대해 재평가를 실시하고 lsquo자산목록

관리대장rsquo에 변경내역을 갱신한다

(2) 자산이 신규로 도입되거나 정보 데이터가 생성되는 경우 자산의 식별 자산의 분류

및 등록 자산의 중요도 평가 가치등급 부여 등의 과정을 시행하고 lsquo자산목록 관

리대장rsquo을 갱신하여 관리한다 자산의 상태에 변화가 발생하게 되면 자산의 가치

평가를 재실시하고 자산의 변경사항을 자산목록 관리대장에 기록 유지하여야 한다

(3) 자산 관리부서는 사용하지 않는 자산에 대해서는 자산 상태를 조사하고 운영부서

또는 관련부서와 협의하여 처분하거나 재사용하도록 하여야 한다

(4) 자산의 변경 혹은 폐기(처분) 사유가 발생하는 시점에서 자산 소유자는 자산 관리

자에게 통보하여 lsquo자산목록 관리대장rsquo에서 변경 혹은 삭제하도록 한다

(5) 자산 관리자는 자산의 폐기나 변경된 내역을 자산 소유자에게 보고하고 승인을 받아야

하며 주기적으로 변경내역을 점검하여야 한다

(6) 조직에서 수립한 자산의 관리 정책의 개선을 위해 새로운 이슈를 지속적으로 확인

하고 보고가 이루어져야 한다

정보통신단체표준(국문표준)

TTAxxx-xxxxxxR1- 7 -

부록 Ⅰ 자산 분류 기준(예)

조직에서 보유한 자산은 유형에 따라 다음과 같이 분류할 수 있다

자산 유형 설명 예

전자정보 전자적 형태로 저장되는 데이터를 말한다데이터베이스 데이터파

일 등 전자파일

문서종이 매체로 된 정보자산으로 업무에 사용되는 혹은

산출되는 문서나 기록물을 말한다

규정 및 지침 각종대장

계약서 및 협약서 등

소프트웨어 자산

상용 또는 자체 개발된 소프트카피(Soft copy)나 하

드카피(Hard copy)로 보관중인 각종 소프트웨어 자

산을 말한다

어플리케이션 소프트웨

어 시스템 소프트웨어

개발도구 및 유틸리티

하드웨어

자산

서버

(Server)

대내외 서비스 및 업무를 위해 사용되는 서버 자산

을 말한다

유닉스 서버 윈도우 서

버 등

개인용컴퓨터

(PC)

임직원이 사용하는 개인컴퓨터로 사무용 PC 노트북

등을 말한다

PC 노트북 이동형 단

말기 등

네트워크 장비네트워크와 관련된 장비로 라우터 스위치 허브 등

을 말한다 라우터 스위치 허브 등

시설시스템을 설치운영하는 장소를 의미하며 물리적 공

간 및 및 각종 부대시설을 말한다

전산실 사무실 방재실

통신장비실 등

지원설비전력공급 환기시설 방재 시설 등 정보시스템 운영

을 지원하기 위한 설비를 말한다

항온항습기 UPS 공조

장비 등

인력소유자 사용자 운영자 개발자 등 시스템 운영 및

업무수행중인 모든 인력을 말한다내부직원 협력업체 등

정보통신단체표준(국문표준)

TTAxxx-xxxxxxR1- 8 -

부록 Ⅱ 자산의 중요도 평가(예)

o 각 자산의 중요도는 조직에서 정한 자산의 중요도 평가기준에 의거하여 수행된다 예

를 들어 자산의 중요도 평가는 정보보호 측면의 각 평가요소(C(Confidentiality)

I(Integrity) A(Availability))별로 점수(1~3)를 부여하며 각 평가요소를 합친 값이 된

다 이때 중요도 평가결과 값의 범위는 3~9점이 된다

o 자산(그룹)의 보호수준을 정하기 위한 가치 등급은 보안요구사항의 각 평가요소를 합

친 중요도 평가결과 값에 따라 결정된다

자산의 가치 등급 보안요구사항 평가 점수(합계)

Very High(5) 9

High(4) 8 ~ 7

Medium(3) 6

Low(2) 4 ~ 5

Very Low(1) 3

자산의 가치 등급 = C(Confidentiality) + I(Integrity) + A(Availability)

정보통신단체표준(국문표준)

TTAxxx-xxxxxxR1- 9 -

보안요구사항 내용 평가수준

기밀성

- 자산이 유출되는 경우 막대한 금전적 손실이 발생할 수 있는 경우

- 자산소유자인 해당부서 또는 담당자만이 접근 및 관리 가능한 자산상(3)

- 자산이 유출되는 경우 상당한 금전적 손실이 발생할 수 있는 경우

- 자산소유부서담당자 이외 관련부서 등 조직 내부에 국한하여 접근 및 열람이

가능한 정보를 가지고 있는 자산

중(2)

- 자산(정보)이 사외로 공개되어도 관계없거나 손실이 경미한 경우

- 조직 외부인이 접근 및 열람이 가능한 정보를 담고 있는 자산

- 해당 자산(장비)에 별도 정보가 기록되어 있지 않거나 공개되어도 무방한 경우

하(1)

무결성

- 자산(정보)이 변조되는 경우 업무수행 또는 서비스에 막대한 장애를 유발하거

나 중대한 금전적 손실을 입히는 경우

- 자산(정보) 변조의 가능성이 높고 변조 시 데이터의 무결성을 검증하기 힘든

경우

- 해당 자산 정보에 대한 실시간 백업이 이루어지지 않아 원래의 정보를 복구하

기 힘든 경우

상(3)

- 자산(정보)이 변조되는 경우 업무수행 또는 서비스에 부분적인 장애를 유발하

거나 상당한 금전적 손실을 입히는 경우

- 데이터 변조의 가능성은 있으나 데이터 변조 시 무결성 검증이 가능한 경우

- 임의의 무결성 검증 방법을 통해 일정시간 내에 정보의 무결성을 복구 가능한

경우

중(2)

- 자산이 변조되어도 업무 수행에 미치는 영향이 미흡한 경우

- 자산에 포함된 정보의 변조 가능성이 희박하고 정보 변조 시 무결성 검증이

용이한 경우

하(1)

가용성

- 자산(정보)의 가용성이 훼손되는 경우 업무수행 또는 서비스에 중대한 장애를

유발하거나 막대한 금전적 손실을 입히는 경우

- 해당 자산이 사용 불가능할 때 대체(백업) 자산이 없어 장기적인 업무 중단이

발생하는 경우

- 연중 24시간 무 중단 운영되는 자산(장비)으로서 장애발생시 3시간

복구되어야 하는 경우

- 해당 자산(장비)에 대한 장애 또는 침해사고 발생시 직접적인 서비스 중단을

야기하는 경우

상(3)

- 해당자산이 사용 불가능할 때 대체 자산을 투입하기까지 단기적인 업무장애가

발생하는 경우

- 연중 24시간 무 중단 운영되는 자산(장비)으로서 장애 발생 시 24시간 이내에

복구되어야 하는 경우

- 장비 장애로 인하여 서비스 중단은 발생하지 않으나 성능에 영향을 미치는 경우

중(2)

- 해당자산이 사용불가능 할 때 대체자산을 즉시 투입하여 업무장애 발생 가능

성이 낮은 경우

- 연중 24시간 무 중단 운영되는 자산(장비)으로서 장애 발생 시 수일 이내에

복구되어야 하는 경우

- 장비 장애 시 서비스 중단 또는 성능 저하에 직접적인 영향을 미치지 않는

경우

하(1)

정보통신단체표준(국문표준)

TTAxxx-xxxxxxR1- 10 -

부록 Ⅲ 자산 유형별 관리정보(예)

자산 유형

관리정보

기본정보 추가정보

전자정보

(Electronic

Information)

자산코드 자산명(전자정보명) 전자정보 유형

자산 용도 소유자 관리자관련 응용프로그램 보관기간 등

문서

(Paper)

자산코드 자산명(문서명) 문서 유형 문서등

급 소유자 관리자 위치 생성일보관기간 생성일 등

소프트웨어

(Software)

자산코드 자산명 소프트웨어 유형 자산용도

소유자 사용자 관리자

모델명 제품명 소프트웨어 버전

제조업체 도입일 유지보수 기간

등

하드웨어

(Hardware)

자산코드 자산명 하드웨어 유형 서버 유형

자산용도 소유자 사용자 관리자 위치

모델명 운영체제 운영체제 버전

주요 데이터 설치된 어플리케이션

호스트명 제조업체 제품명 도입

일 유지보수 기간 등

개인용 컴퓨터

(PC Personal

Computer)

자산코드 자산명 사용자 담당업무 모델명

사용자

운영체제 운영체제 버전 제조업

체 제품명 도입일 유지보수 기간

등

시설

(Facility)

자산코드 자산명 자산용도 모델명 소유형태

(자체임대 소유자) 관리형태(자체외주 관리

자) 소유자 사용자 관리자 위치

제조업체 공급업체 등

지원 설비 및 장비

(Supporting utility

system and

equipment)

자산코드 자산명 자산용도 모델명 소유형태

(자체임대 소유자) 관리형태(자체외주 관리

자) 소유자 사용자 관리자 위치

제조업체 공급업체 제품명 도입

일 등

인력

(People)소속부서 직무 및 역할 담당업무 자격 연락처 스킬 경험 등

정보통신단체표준(국문표준)

TTAxxx-xxxxxxR1- 11 -

부록 Ⅳ 자산 목록 관리대장(예)

자산 관리정보 자산 가치평가

자산코드 자산유형 자산명자산

용도소유자 사용자 관리자

기밀성

(C)

무결성

(I)

가용성

(A)

합계

(Sum)

가치

등급

C Confidentiality I Integrity A Availability

- 12 -

표준작성 공헌자

표준 번호 TTAxxx-xxxxxxR1

이 표준의 제개정 및 발간을 위해 아래와 같이 여러분들이 공헌하였습니다

구분 성명 위원회 및 직위연락처

(E-mail 등)소속사

과제 제안 이진태 선임연구원02-405-5567

cybermaxkisaorkrKISA

표준 초안 제출

이진태 선임연구원02-405-5567

cybermaxkisaorkrKISA

장상수 수석연구원02-405-5567

ssjangkisaorkrKISA

표준 초안 검토

이진태 선임연구원02-405-5567

cybermaxkisaorkrKISA

고규만 책임연구원02-405-5567

kmkokisaorkrKISA

정태인 수석연구원02-405-5216

tijungkisaorkrKISA

장상수 수석연구원02-405-5567

ssjangkisaorkrKISA

나재훈 팀장042-860-6749

jhnahetrirekrETRI

남택용 책임연구원042-860-6781

tynametrirekrETRI

표준안 심의

사무국 담당

오흥룡 -031-724-0083

hrohttaorkrTTA

(뒷 표지)

985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138정보통신단체표준(국문표준)

조직의 정보보호를 위한 자산 관리 지침

(A Asset Management Guideline for Information Security of Organization)

발행인 한국정보통신기술협회 회장

발행처 한국정보통신기술협회

463-824 경기도 성남시 분당구 서현동 267-2

Tel 031-724-0114 Fax 031-724-0019

발행일 200xxx

985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138985138