Asset Management(자산관리) ??

ISO 27001에서 자산 관리(Asset Management)는 정보 보안 관리 시스템(ISMS)의 중요한 구성 요소 중 하나입니다. 자산 관리의 핵심 목표는 조직 내 정보 자산을 보호하고, 이 자산의 가치와 위험을 평가하여 적절한 보안 조치를 취하는 것입니다. ISO 27001에서 자산 관리는 정보 자산의 목록을 만들고, 그 자산에 대한 보호 요구 사항을 정의하며, 자산을 적절히 관리하는 절차를 수립하는 과정입니다.

 

ISO 27001에서의 자산 관리는 조직의 정보 자산을 보호하기 위해 매우 중요한 역할을 합니다. 이를 통해 자산의 기밀성, 무결성, 가용성을 보장하고, 자산에 대한 적절한 보안 조치를 취하는 절차를 마련하는 것이 핵심입니다. 자산 식별, 분류, 보호 요구 사항 정의, 책임자 지정, 보안 평가 및 교육 등의 과정을 통해 자산을 체계적으로 관리하고 보호할 수 있습니다.

 

* ISO 27001에서 자산 관리의 주요 구성 요소
1. 자산 식별 (Asset Identification)
  1) 조직 내의 정보 자산을 모두 식별하고 목록화해야 합니다. 자산은 물리적 자산(예: 컴퓨터, 서버)뿐만 아니라 소프트웨
      어, 데이터, 인프라, 지적 재산 등도 포함됩니다.
  2) 각 자산에 대해 책임자가 지정되어야 하며, 자산에 대한 세부 정보를 기록해야 합니다. (예: 자산의 유형, 위치, 소유
      자, 사용 목적 등)

2. 자산 분류 (Asset Classification)
  1) 자산을 그 중요도에 따라 분류합니다. 예를 들어, 기밀성, 무결성, 가용성의 측면에서 자산을 평가하여 민감한 자산을
      식별합니다.
  2) 자산 분류를 통해 각 자산에 필요한 보안 수준을 설정할 수 있으며, 자산에 대한 접근 권한을 관리하는 데 도움을 줍니
      다.

3. 자산 보호 요구사항 정의 (Asset Protection Requirements)
  1) 자산에 대해 어떤 보안 조치가 필요한지 명확하게 정의합니다. 예를 들어, 중요 데이터는 암호화하여 보호하고, 물리적
      자산은 접근 통제와 같은 보안 조치를 적용합니다.
  2) 자산 보호 요구 사항은 자산의 가치와 관련된 위험 분석에 기반하여 설정되어야 합니다.

4. 자산 관리 절차 수립 (Asset Management Procedures)
  1) 자산의 수명 주기를 관리하는 절차를 마련해야 합니다. 이는 자산의 취득, 사용, 보관, 처분에 관련된 모든 단계에서 보
      안 조치를 적용하는 것을 의미합니다.
  2) 자산의 보안 상태를 지속적으로 모니터링하고, 필요한 경우 보호 조치를 업데이트하거나 강화해야 합니다.

5. 자산의 책임자 지정 (Asset Owner Assignment)
  1) 각 자산에는 책임자가 지정되어야 하며, 자산 소유자는 자산의 보호와 관련된 모든 보안 조치를 책임져야 합니다.
  2) 자산 소유자는 자산에 대한 보안 요구 사항을 이해하고, 이를 관리할 책임을 갖습니다.
  
6. 자산의 보안 평가 및 감사 (Asset Security Evaluation and Audit)
  1) 자산에 대한 보안 상태를 주기적으로 평가하고, 감사하는 절차를 마련해야 합니다. 이를 통해 자산의 보안 상태가 지속
      적으로 적절히 유지되는지 확인합니다.
  2) 자산에 대한 접근 권한과 보안 조치를 점검하고, 보안 사고나 위반 사항이 없는지 확인해야 합니다.

7. 자산 보호에 대한 교육 (Asset Protection Awareness and Training)
  1) 자산을 관리하는 직원들에게 보안 인식 교육을 제공하여 자산 보호의 중요성과 관련된 정책을 준수하도록 유도합니다.
  2) 자산 보호와 관련된 보안 위반을 예방하기 위해 사용자들에게 실수로 발생할 수 있는 위험 요소를 경고하고, 적절한 보
      안 절차를 지킬 수 있도록 돕습니다.