정보자산(서버)의 중요도 결정하는 법

  최근 보안감사로 인해 보안관련 규정을 업데이트 시키다가 전산팀에서 사용하는 정보자산(서버)의 중요도(보호등급)를 결정하는 기준을 만들게 되어 그 내용을 공유하려합니다.

 

 알리오 시스템(http://www.alio.go.kr/)에서 정보진흥원의 정보자산 관리 지침을 기본으로 하여 우리 회사에 맞게 수정 작성하였습니다.

 

정보자산의 중요도 등급

 저희 회사의 정보자산의 중요도는 상,중,하 로 나누어집니다. 이 상,중, 하 등급의 내용은 아래와 같습니다.

1. ‘상’급 정보자산 
  주요업무에 사용되는 정보자산으로 높은 기밀성을 요구하며, 정보자산에 의존도가 높아 무결성과 가용성 훼손 시 주요업무에 중대한 장애를 줄 수 있어 관리에 주의를 요구하며, 장애 시 즉각 대응이 필요한 정보자산

2. ‘중’급 정보자산 

  주요업무에 사용되는 정보자산으로 높은 기밀성을 요구하며, 무결성과 가용성 훼손 시 중요업무에 장애를 줄 수 있어 관리에 주의를 요구하는 정보자산이며, 장애 시 정보자산 이외의 자산으로 업무 연속성을 확보할 수 있는 업무에 사용되는 정보자산

 

 3.‘하’급 정보자산

  주요업무가 아닌 기타업무에 사용되는 정보자산, SPARE 장비. 또는 주요업무에 사용되나 기밀성, 무결성, 가용성 중요도가 낮은 정보자산

정보자산의 중요도 등급 산정 기준

 이 상, 중, 하를 구분하는 기준은 다시 기밀성(C), 무결성(I), 가용성(A)의 정도에 따라 정해집니다. 

 각 서버의 기밀성 점수, 무결성 점수, 가용성 점수를 아래의 표에 대입해서 결정합니다.

기밀성, 무결성, 가용성의 의미

이제, 이 중요성 등급을 결정할 때 사용한 기밀성(C), 무결성(I), 가용성(A) 에 대해서 알아봅시다.

  기밀성(Confidentiality)은 자산이 인가(authorization)된 당사자의해서만 접근성을 보장하는 것으로 기밀성이 높다는 것은 그만큼 아무에게나 노출되면 안된다는 것을 의미한고 보시면 됩니다.

  무결성(Integrity)은 자산이 인가된 당사자에 의해서 인가된 방법으로 변경이 가능하는 것을 보장하는 것으로 무결성이 낮다고 하면 그만큼 자산의 DATA가 위변조될 가능성이 높다는 것을 의미한다고 생각하시면 됩니다. 간혹 웹에서 파일을 다운 받을 때 파일의 Hash 값을 명시하는 경우가 있습니다. 이 때 Hash 값을 확인했을 때 Hash 값이 다르면 파일의 무결성이 깨졌다고 생각하시면 이해가 빠를 것 같습니다.

  가용성(Availability)은 자산이 적절한 시간에 인가된 당사자에게 접근 가능성을 보장하는 것입니다. 가용성이 높다는 것은 인가된 당사자라면 언제든지 접근이 가능하다는 것을 의미합니다. 예를 들면 24시간 내내 서비스가 유지되는 자산이라면 가용성이 높다는 뜻이라고 생각하시면 됩니다.

기밀성, 무결성, 가용성 산정 기준

각 정보자산(서버)의 중요도를 결정하기 위해 기밀성, 무결성, 가용성 필요 정도를 아래 표를 기준으로 산정합니다.

보안 요구사항	내          용	평가점수
기밀성	-. 정보자산이 유출되는 경우 당사에 중대한 금전적 손실이 발생할 수 있는 경우  -. 정보자산 소유자인 담당부서 또는 담당자만이 접근 및 관리해야 되는 정보자산      예시) 도면, 영업비밀 자료 등	3
	-. 자산이 유출되는 경우 당사에 약간의 금전적 손실이 발생할 수 있는 경우  -. 자산 소유 담당부서/담당자 이외 관련 담담부서 등 당사 조직 내부에 국한하여 접근 및 열람이      가능한 정보를 가지고 있는 자산      예시) 개인정보, 사내 연락처, 사내 게시판 등	2
	-. 자산이 유출되어 공개되어도 관계없거나 손실을 발생시키지 않는 경우  -. 조직 외부인이 접근 및 열람이 가능한 정보를 담고 있는 자산  -. 해당 자산에 별도 정보가 기록되어 있지 않거나, 공개되어도 무방한 경우	1

보안 요구사항	내          용	평가점수
무결성	-. 정보자산 변조 시 업무수행 또는 서비스에 중대한 장애를 유발하거나, 당사에 중대한 금전적 손실이      발생하는 경우  -. 정보자산에만 의존적이라 정보전산 변조 시 원래 정보를 다른 방법으로 찾기 어려워 백업(backup)을      필히 요구하는 경우      예시) 자산의 변조 시 당사의 서비스 일부 중단, 정보자산에만 의존적이라 다른 방법으로 업무가 불가	3
	-. 정보자산 변조 시 업무수행 또는 서비스에 장애를 중대한 유발하나, 정보자산에만 의존적이지 않아      정보전산 변조 시 원본 정보를 다른 방법으로 찾을 수 있는 경우      예시) 자산의 변조 시 당사의 서비스 일부 중단	2
	-. 자산이 변조되어도 업무수행에 미치는 영향이 미흡한 경우      예시) SPARE 장비, 테스트 용 정보자산	1

보안 요구사항	내          용	평가점수
가용성	-. 정보자산의 가용성 훼손 시, 업무수행 또는 서비스에 중대한 장애를 유발하거나, 당사에 중대한      금전적 손실이 발생하는 경우.  -. 정보자산의 가용성 훼손 시 대체정보자산 확보가 불가능한 경우.  -. 연중 24시간 무 중단 운영되는 정보자산으로, 장애발생 시 3일 이내 복구되어야하는 정보자산.	3
	-. 정보자산의 가용성 훼손 시, 업무수행 또는 서비스에 단기적인 장애를 유발하지만 정보자산이 아닌      다른 방법으로 업무처리가 가능함.  -. 연중 24시간 무 중단 운영되는 자산(장비)으로서, 장애발생 시 7일 이내에 복구되어야 하는 경우.  -. 장비 장애로 인하여 서비스 중단은 발생하지 않으나 성능에 영향을 미치는 경우	2
	-. 연중 24시간 무 중단 운영을 요구하지 않는 정보자산.  -. 연중 24시간 무 중단 운영을 요구하지만 장애발생 시 업무수행 또는 서비스에 중대한 장애를 유발하지      않는 정보자산.      예시 ) 백업(backup) 시스템, SPARE 장비, 테스트 용 정보자산	1

  이렇게 정보자산(서버)의 중요도 등급을 결정하게 됩니다. 

중요도를 결정하신 후 각 중요도에 맞게 정보자산(서버)의 보안 정책, 백업 주기, 암호 정책 등의 규정을 만드시면 전산팀 규정 및 프로세스를 만드시는 데 많은 도움이 될 것으로 예상됩니다.