정보 ≒ 문서File+DB+Traffic +Signal

정보보호의 대상은?  정보.  (실무적으로는 정보가 담긴 Media)

앞에 게시한 글 내용 대로

보안에서 관리해야 하는 대상은 '자산'이고,

정보보호(Information Security)는

'정보(information)'를 '보호(Protection≒Security)'하는 관리활동입니다.

정보자산(Information Asset)이라는 용어는

주로 Primary Asset과,

Supporting Asset 중 IT장비들을

묶어서 그렇게 지칭합니다.

정보자산들 중에 가장 중요한 것은

역시 Primary Asset인 '정보'입니다.

정보보호의 대상은 '정보'이지만,

물리적 실체가 없는 '정보'는

그 자체로서는 '보호'할 방도가 없지요.

따라서,

'정보'는 어떤 매체(Media)에 저장/기록되어 있는 상태에서만 '보호'나 '통제'가 가능합니다.

(사람의 머리에 기억된 정보도

 그 '사람'을 보호해야지

 단지 '기억'만 구분해서 보호하지는 못하구요)

현실적으로 '보안'은  정보가 담긴 Media를 보호하는 행위가 됩니다.

정보를 담은 매체를 일반적으로 문서 또는 File로 지칭하며, 

문서(Office, HWP, CAD도면 등. 전자File 또는 종이에 기록된 것)는 물론

DBMS에 저장된 내용, Network를 흐르는 Traffic/Packet을 포함하고,

여기에다가 여러 장치 간에 교신되는 Signal까지

'정보'의 영역에 속한다고 봅니다.

문서자산 분류 기준으로 가장 공신력 있는 것이

중앙대 장항배 교수님이 특허청의 의뢰로 만든 기준입니다

이 기준을 토대로 2019년 10월경에 제가 약간 손질해서 Excel File로 공개해 두었으니, 참조하셔요.

KISA의 ISMS인증 안내서에 수록된 증적목록들을 추가하고,

개인정보 포함, 영업비밀 등재, 임치 필요 등의 Column에 Default를 기입했습니다.

이 글에 관심이 끌리시는 분은

"Data 중심 보안"이라는 Trend에 관해서 제가 2020년 09월에 쓴 글도 읽어보시기 권합니다.

---

그렇다면!

ISMS 인증심사나 기업보안 진단 등에서 최우선으로 해야 할 작업이

정보(문서)자산의 관리상태 검토입니다.

이 사안은 새삼스럽거나 최신동향도 아니고,

ISMS/정보보호 분야에 종사해 오신 대부분의 전문가분들이 오래전부터 당연스레 이해/인지하고 계시던데,
제가 2022년말까지 겪어온 ISMS 인증심사 현장에서는 거의 매번 무시/간과되어 오더군요.

기업/조직에 정보유출 사고가 발생해서 법률적인 다툼까지 이르렀을 때
가장 중요한 것이 "비밀관리성"입니다.

보안장비, 접근통제, 암호화 등을 아무리 충분하게 구축/운영하더라도,
Container(장비/서버)를 안전하게 관리한 것일 뿐.

문서자산의 식별/보안 작업을 간과했다면
실제 Contents(문서/정보)를 식별하고 보호하는 노력을 인정받지 못하는
어이없는 판정을 받을 가능성이 있는 것이지요.

경우에 따라서는 아주 중대한 문제로 대두될 수 있습니다.
ISMS 인증서까지 받아 두었는데,
법정에서 비밀관리성을 인정받지 못해서 패소하는 상황을 상상해 보시면요.
특히 약자인 중소기업의 경우에 더 심각하겠고요.

제가 바라는 것은
새로이 ISMS인증심사나 보안진단 실무에 참여하기 시작하시는 분들이라도
자산분석에 관한 이 개념을 심사실무에 적용하시는 것입니다.
저 개인의 주장이 아니고, ISO 원칙이고 KS 표준이니까요.

물론, 그전에

모든 인증/심사/감리/진단 기관에서 이 개념을 정책으로 반영함이 우선이겠지요.

2010년 무렵까지 제가 접해본 (주로 외국계) 컨설팅회사의 산출물에는

거의 이런 기준과 그에 따른 결과가 포함되어 있었고,

당연히 저도 컨설팅 작업 시 그렇게 했었는데,

2008년경부터 참여해 온 ISMS 인증심사 경험으로는

문서자산의 관리 노력을 입증하는 증적들을

거의 볼 수 없었습니다.

기업의 실제 필요로 인해 만든 것이든, 인증심사를 위한 컨설팅의 산출물로든지요.

정보(문서)자산의 식별/분류/등급화 등이 ISMS 구축과 운영에서 가장 먼저 챙겨야 하는 작업입니다.

'ISMS' 심사는 '정보'를 '보호'하는 관리체계를 심사하는 작업이지,

"정보시스템의 운영상태"점검은 그에 부속된 하위의 영역입니다.