제 제 5 5 장 장 정보자산의 정보자산의 분류 분류 및 및 통제 통제
2 충북대 경영정보학과
정보자산의 보호
▣
조직은 보유하고 있는 정보자산을 파악하고, 그 자산들의 상대적인 가치와 중요성을 인식해야 함
▣
이러한 자료에 근거하여 정보자산의 가치에 적합한 수준의 보호를 제 공
▣
비밀정보를 그 비밀의 정도에 따라 세분하여 분류하고, 각 등급에 맞 는 보호 수준을 정의하여 적절히 취급함으로써 효율적인 비밀관리가 가능
▣
정보 분류의 가이드라인과 분류된 정보에 대한 통제방안 선택은 조직 이 정보를 공유할 필요성과 정보공유를 제한할 필요성을 고려하여 결 정
▣
일반적으로 보호를 필요로 하는 정보
◈ 노출되거나 누출되었을 때 그 조직에 영향이 큰 정보: 영업전략 등
◈ 파괴되었을 때 조직의 존망에 관계된 정보: 외상대금정보 등
◈ 호위로 수정되었을 때 조직과 사회에 중대한 영향을 미치는 정보: 개인정 보 등
비밀 등급
▣
비밀등급의 개수를 몇 개로 결정할 것인가는 비밀 등급의 분류방식에 따른 행정적인 비용과 이 분류방식이 가져올 혜택을 감안하여 결정
▣
실제로 조직에서 많이 사용하는 방법으로는 그 정보를 취급할 수 있 는 허용 범위를 규정하는 방법이 있음
◈ 조직 외부에 대해 비밀로 유지할 것을 의미하는 대외비 정보
◈ 담당부서 이외의 부서에 대해서는 비밀로 유지할 것을 의미하는 부외비
◈ 하지만, 부서 내 상급자와 하급자가 동일한 정보를 취급하게 되고, 경영 의사결정에 필요한 타부서의 정보를 제공받지 못하는 단점이 있음
4 충북대 경영정보학과
다중등급체계 (그림 5-1)
▣
1급 (Secret)
◈ 전략적 성질의 정보
◈ 노출시 5% 이상의 손실
▣
2급 (Confidential)
◈ 경영층에게만 이용 가능한 정보
◈ 노출시 1~5%의 손실
▣
3급 (Private)
◈ 조직내 구성원 관련 정보
◈ 조직의 윤리강령 및 조직구성원의 개인정보
▣
일반 정보
◈ 위의 그룹에 속하지 않는 정보로서 외부에 공개할 수 있는 정보
벨-라파둘라 모델 (Bell-LaPadula Model)
▣
비밀의 읽기에 있어서는 각 사용자는 자신에게 인가된 등급의 비밀보 다 높은 등급의 비밀은 읽을 수 없음
▣
비밀의 작성에 대해서는 각 사용자는 자신에게 인가된 비밀등급보다 낮은 등급의 문서를 작성할 수 없음
◈ 고급비밀이 하급비밀등급의 문서에 들어가는 위장 채널 (covert channel) 방지
6 충북대 경영정보학과
비밀등급 분류
▣
새로 생성된 정보의 경우 이 정보의 민감도를 가장 잘 이해하는 사람 은 그 정보를 작성한 사람이기 때문에 정보 작성자가 그 정보의 비밀 등급을 정하는 것이 가장 바람직
▣
정보를 과도하게 비밀로 분류하는 경우 (over-classification)
◈ 관리 비용이나 노력이 너무 많이 소요되며 보안을 위한 한정된 인력과 경 비로 이들을 감당하기 어려움
▣
비밀 분류가 미흡한 경우 (under-classification)
◈ 비밀로 유지되어야 할 정보들이 일반정보로 분류되는 경우 조직 운영에 중요한 정보들이 노출되어 조직에 치명적인 피해를 줄 수 있음
▣
분류결정행렬 (classification determination matrix)
◈ 비밀 분류 가이드라인
◈ 정보를 구성하는 구성요인별로 점수를 할당하여 전체 구성요인에 대한 점수합계의 다소에 따라 비밀등급을 결정함
◈ 표 5-1, 표 5-2, 표 5-3
비밀 정보의 관리
▣
정보의 비밀 등급 분류가 끝나면 각각의 비밀 등급에 대하여 복사, 저 장, 전송, 음성전송, 폐기와 같은 정보처리 업무에 관한 취급절차에 따 라서 적절한 통제가 제공되어야 함
▣
중요한 자산들에 대해서 책임소재를 명확히 하고 각 자산에 대한 책 임자를 명시해야 함
▣
라벨
◈ 비밀로 구분된 정보는 모든 데이터에 비밀 등급 구분의 라벨을 부착 또는 인쇄하거나, 모니터 화면의 일부에 그 구분 내용을 표시할 필요가 있음
◈ 비밀로 분류된 정보를 가지고 있는 시스템에서의 출력은 적절한 분류 라 벨을 가지고 있어야 하며 이 라벨은 앞에서 설명한 규정에 따른 분류를 반영하고 있어야 함
◈ 인쇄물의 경우에는 표지 뿐만 아니라 페이지들마다 반드시 비밀 등급을 표시하여 어느 페이지만을 뽑아 사용할 때에도 비밀 등급이 표시되어 있 어야 함
◈ 전자적인 형태의 문서와 같이 어떤 정보 자산들은 물리적인 라벨을 붙일
8 충북대 경영정보학과
비밀 정보의 관리
▣
보관 및 사용 통제
◈ 비밀로 분류된 정보를 가지고 있는 출력된 인쇄물이나 자기 매체 등은 적 절한 물리적인 보안 방법에 따라 보관되어야 함
◈ 정보에 대한 접근허가는 등급에 따른 적절한 허가 절차를 따라야 하며 사 용일지를 만들어 접근 허가에 대한 재검토가 이루어질 수 있도록 기록을 남길 의무가 있음
▣
폐기
◈ 3급 비밀 이상의 정보인 경우에는 소각 혹은 분쇄기를 이용하여 세밀하 게 잘라 없앰
◈ 자기매체의 경우에는 재사용이 불가능하도록 물리적으로 파괴
비밀 정보의 관리
▣
비밀등급의 변경 및 유효기간
◈ 정보는 때로는 일정한 시간이 지나면 민감도나 중요도가 끝나게 됨
◈ 정보의 등급은 항상 고정된 것이 아니고 정책에 따라 변할 수도 있다는 점을 예상하고 이를 포용할 수 있는 정보분류 가이드라인이 마련되어야 함
◈ 정보의 비밀등급 분류는 그 정보를 제작한 현업부서가 결정하는 것이고 정보를 사용하고 있는 사용자가 정보의 가치가 없다고 판단해도 현업부 서가 비밀등급 구분의 변경을 통지하지 않는 한 자의적으로 비밀등급을 변경해서는 안됨
◈ 불필요해진 비밀정보를 많이 보유하게 되면 보관관리 규정에 따라 관리 하기 위해 많은 보관장소를 필요로 하는 등 여러가지 면에서 관리비용을 발생시키기 때문에 비밀의 특성을 잃어버려서 보호의 필요성이 없는 정 보는 즉시 폐기수속을 취해 말소하는 것이 좋음