기업의 보안담당자가 정보보안을 위해 가장 먼저 해야 할 일은 자산과 보호해야 할 대상을 정의하는 것입니다. 그럼 정보자산은 어떻게 식별하고 관리해야 하는지 알아보겠습니다.
정보자산이란?
기업이 보유한 자산은 유형과 종류가 매우 다양합니다. 오늘날 기술의 발달로 경영환경이 정보화되면서 정보는 기업의 존립을 좌우할 수 있는 중요한 자산이 됐습니다. 정보자산은 일반적인 정보와 정보를 생성하거나 보관•처리하는 모든 설비를 포함하는데요. 정보자산은 정보 및 데이터, 하드웨어, 소프트웨어, 물리적 환경, 인적 자산 등으로 분류할 수 있습니다.
정보자산 관리 프로세스
정보자산을 관리하는 목적은 자산이 지닌 가치에 따라 적절한 보호조치를 마련하고, 이를 적용하는 데에 있습니다. 다양하고 방대한 정보자산을 체계적이고 효율적으로 관리하기 위해서는 정보자산의 도입부터 폐기까지, 생명주기에 따라 관리돼야 합니다.
정보자산의 관리 프로세스는 ▲자산의 정책 수립 ▲자산의 조사 및 식별 ▲자산의 분류 및 등록 ▲자산의 가치평가 ▲자산의 변경관리의 다섯 단계가 있습니다. 단계별에 다양한 활동이 요구되는데요. 각각 자세히 알아보겠습니다.
#1. 자산의 관리 정책 수립
먼저 정보자산을 체계적으로 관리하기 위해서는 정책을 수립해야 합니다. 정책은 정보자산의 분류 기준, 관리 방안 등을 포함해 수립하는 것이 중요합니다.
● 정보자산 관리자의 책임과 역할
● 정보자산을 유형별로 구분하기 위한 일관된 정보자산 분류 기준
● 정보자산의 생명주기에 따라 관리될 수 있도록 취급 절차와 방법
● 자산의 중요도 평가를 위한 평가 요소 및 등급 부여 기준
무엇보다도 정책에 의거해 정보자산의 관리 계획을 수립하고 수행•개선하는 순환구조 형태로 관리돼야 합니다.
#2. 자산의 조사 및 식별
자산의 조사 및 식별은 기업의 운영과 경영에 영향을 미치는 정보자산을 파악하는 것입니다. 즉, 기업이 보유하고 있는 전체 자산을 조사하고 보호할 자산을 식별해야 합니다. 일반적으로 조사 대상은 정보자산과 관련된 모든 것을 포함해야 하며, 다음과 같이 분류하고 정보자산 조사를 수행합니다.
특히 정보자산 조사 시, 정보자산의 설치 및 운영 등 관련 부서의 협조를 받아 실시해야 합니다. 그리고 자산 관리자를 지정함으로써 자산 보호에 대한 책임성을 확보하고, 정보자산에 대한 보호가 꾸준히 유지될 수 있도록 해야 합니다.
#3. 자산의 분류 및 등록
식별된 정보자산은 기업의 환경에 맞게 사전 정의된 기준에 따라 유형별로 분류합니다. 그리고 자산명을 부여해 정보자산목록 관리대장을 작성해야 합니다. 정보자산 목록 작성 시에는 필수 기입 항목을 반드시 표기하고, 자산의 유형 및 특성에 따라 관리해야 할 속성 정보를 도출해 작성해야 합니다.
● 필수기입 항목: 자산 유형, 자산코드, 자산명, 자산관리자, 보안 등급(기밀성, 무결성, 가용성)
이렇게 작성된 정보자산 목록표는 기업에서 정보자산을 효과적으로 운영•관리하기 위해 활용되는 가장 기본적인 자료입니다. 가능한 누락된 정보 없이 많은 정보를 포함해야 하며, 주기적으로 갱신해 최신 데이터로 유지해야 합니다.
#4. 자산의 가치평가
자산의 가치 평가의 목적은 정보자산의 중요도 및 업무 영향도를 도출해 정보자산이 지닌 가치를 판단하고 보안등급을 부여하는 것입니다. 즉, 정보보안 활동의 대상을 결정하고, 해당 정보자산에 대한 적절한 보호조치를 수립•적용하는 것입니다.
이러한 자산의 중요도 평가는 기업의 사업환경 등에 따라 달라질 수 있으나, 일반적으로 아래의 표와 같이 정보보호 요구사항인 기밀성, 무결성, 가용성을 고려해 평가합니다.
정보자산의 기밀성, 무결성 가용성 기준으로 평가해서 합산한 점수에 따라 보안등급을 부여하게 됩니다.
● 정보자산의 보안등급 = 기밀성 + 무결성 + 가용성
정보자산의 가치 평가는 주기적으로 수행해야 합니다. 그리고 정보자산의 용도 등의 상태가 변경되면 중요도에 대한 재평가를 수행하고, 이를 곧바로 정보자산목록에 반영해야 합니다. 보통 정보자산은 관리 시스템을 도입해 관리하지만, 다음의 예시와 같이 정보자산 관리대장을 활용해 관리할 수도 있습니다.
#5. 자산의 변경관리
마지막으로 정보자산의 변경관리는 기업에서 수립된 자산관리 절차에 따라 자산의 상태를 주기적으로 모니터링하고 변경사항과 현황을 점검하는 단계입니다. 기업의 자산 조사계획에 따라 ▲자산현황의 정기 점검 ▲정보자산의 신규 도입 ▲자산의 식별, 분류 및 등록 ▲자산의 중요도 평가 ▲보안등급 부여 등의 과정을 시행해야 합니다. 그리고 자산의 상태에 변화가 발생하면 자산의 가치 평가를 재실시해야 합니다. 동시에 변경사항을 정보자산목록 관리대장에 기록해서 최신 정보를 유지해야 합니다. 또한 기업에서 수립한 자산관리 정책의 개선을 위해 이슈 및 문제점을 꾸준히 확인하고 보고해 개선활동을 수행해야 합니다.
앞서 말한 것과 같이 정보보안의 시작은 정보자산의 식별 및 관리입니다. 정보보안 관리체계는 ‘PDCA(Plan, Do, Check, Act)’의 사이클에 따라, 계획을 수립하고 실행하며 주기적인 점검을 통해 문제점을 개선하는 순환구조로 관리해야 합니다. 정보자산 관리도 마찬가지로 관리계획을 수립하고 수행, 점검, 개선하는 순환구조로 관리돼야 할 것입니다.
글 ㅣ LG CNS 보안사업담당 사이버시큐리티팀