Day 64 (Security Management Practices_정보 분류)

<목차>

1. 보안을 위한 정보 분류 
  1) 정보 분류

  2) 정보 보안 및 분류와 관련된 지침 및 권고

  3) 목적 

2. 정보 분류 효과 

  1) 정보 자산에 대한 접근 통제 수준 정의

  2) 데이터의 등급은 IS의 핵심 자산으로 통제의 수단이 됨. 

3. 정보 분류 등급

  1) 정부나 공공부문의 정보 분류 등급 

  2) 민간 부분의 정보 분류 등급 

  3) 상업적인 분류 체계 

4. 정보 분류 기준

5. 역할에 따른 정보 분류 
  1) 자산 소유자 

  2) 관리자 

  3) 사용자

  4) 감사인

  5) 역할에 따른 분류 특징

---

1. 보안을 위한 정보 분류 
1) 정보 분류

정보 분류는 정보보안의 가장 기본적인 과정인 정보자산 식별 과정의 구체적인 사례 
이다. 

2) 정보 보안 및 분류와 관련된 지침 및 권고

국제표준기구(ISO)	ISO 17799 : 정보보안 관리의 통제 및 관리를 위한 실무 규격
IT Governance institute	COBIT : Control Objectives for Information and related Technology  비즈니스 지향적인 IT 통제에 관한 프레임워크

3) 목적 
기밀성, 가용성, 무결성을 촉진하여 정보에 대한 위험을 줄인다. 

 

2. 정보 분류 효과 

1) 정보 자산에 대한 접근 통제 수준 정의 
자원의 중요성이나 민감성에 대한 수중이나 등급을 부여, 등급별 보안 규칙을 수립한다. 민감도는 정보의 유출이나 손상이 기업에게 주는 피해에 대한 정도를 표현한 것이다. 보안과 경영 목적을 연계시켜 보호의 미흡이나 과보호로 발생하는 위험과 비용을 줄여준다. 단순한 등급 분류가 필요하다. 부서의 관리자나 보안 운영자는 등급을 이용 자원에 대한 접근 여부를 결정한다.

 

2) 데이터의 등급은 IS의 핵심 자산으로 통제의 수단이 됨. 
• 정보의 소유자 
• 허용 퍼미션 
• 접근 수준 
• 접근 권한을 결정하는 책임자 
• 접근에 대한 승인 내용 

3. 정보 분류 등급

1) 정부나 공공부문의 정보 분류 등급 

분류	내용	예
최고 기밀 (Top Secret)	국가 안보에 중대한 영향을 미치는 최고 기밀 분류 : Grave damage	전쟁 수행 계획, 방어 계획, 전략 무기 배치 등등
기밀 (Secret)	국가에 해가 될 기밀 정보 : Serious damage	전술 무기 배치 현황
비밀등급 (Confidential)	국가에 약간에 해가 될 비밀 정보 : Some damage
민감하나 분류되지 않음  (Sensitive But unclassified : SBU)	유출시 대상이 해가 될 정보	범죄인 바이오 정보
분류되지 않음 (Unclassified)	중요하지 않아 분류되지 않은 정보	재해 매뉴얼

2) 민간 부분의 정보 분류 등급 

분류	내용	예
비밀 정보 (Confidential)	유출시 조직에 심각한 해가되는 매우 민감한 정보로 내부에서만 사용되는 정보 법률적으로 일부분 공개가 제한됨	신재품, MNA
개인 정보 (Private)	개인적인 용도나 기업용도로만 사용될 정보 법률적으로 보호되는 경우가 많음	급여, 신상정보
민감 정보 (Sensitive)	무결성이나 기밀성에 대한 보호가 필요한 정보	조직의 업무 현황
공개 정보 (Public)	공개 되어도 문제가 없는 정보

3) 상업적인 분류 체계 
• 기업 비밀 
• 내부용 
• 공개 

 

4. 정보 분류 기준 
분류 기준은 가치와 기간에 따라 달라진다.
가치(value)는 정보 분류에 가장 먼저 사용되는 기준이다. 기간(passage of time)은 대부분의 정보는 시간이 지남에 따라 가치가 줄어든다. 일반적인 정보 등급은 시간이 지남에 따라 자동으로 떨어지게 분류된다. 

 

5. 역할에 따른 정보 분류 
1) 자산 소유자 
기업의 임원이나 이사 또는 최고 경영자이다. 자산에 대한 근본적인 책임(Due Care : 법률적책임)을 갖는다. 실무적인 관리는 관리자에게 위임 가능하나 일차적인 책임까지 위임 할 수는 없다. 분류 등급과 라벨에 관한 결정을 한다. 등급 완전성과 모니터링에 대한 책임이 있다. 분류를 근간으로 한 접근 승인 책임을 갖는다. 

 

2) 관리자 
승인된 분류 목록을 구현하고 관리한다. 각 정보의 가용성 확보를 위한 실무적인 노력을 담당한다. 

 

3) 사용자 
정보 보호 정책을 유지하기 위한 의무사항(Due Care)을 갖는다. 개방되거나 사적인 사용으로 인한 보안 침해를 예방해야 한다. 무언가를 지켜야 한다는 것은 이런 감시시스템이 갖추어져 있다는 것을 의미한다.

 

4) 감사인 
통제의 가치와 준거성을 통해 효용성을 평가하여 경영진 또는 소유자를 보호한다.

 

5) 역할에 따른 분류 특징

무엇이건 구현하는 것은 그것을 평가하는 업무와는 절대 겸업 할 수 없다. 보안정책의 책임과 역할 참조하여 분류한다.