'보안'의 대상 = '자산'
정보보호의 대상은? '정보'!
'보안'의 대상은 무엇들일까요?
하나의 단어로 표현하자면,
'자산'입니다.
영어로는 'Asset'이겠지요.
'자산' 정의와 식별 범위에 관한 ISO표준 중 ISMS 분야에서는
ISO/IEC27005:2022 AnnexA.2.2에 2가지로 서술되어 있습니다.
— primary/business
assets - information or processes of value for an organization
— supporting assets -
components of the information system on which one or several business assets
are based
이 정의와 분류는 KS ISO/IEC X 27005:2014 부속서B에 자세히 서술되어 있습니다.
아래는 이 정의를 토대로 2021년 04월에 그려 본 자산의 분류입니다.
대략
ISO/IEC27005:2022 AnnexA.2.2에 2가지로 서술되어 있습니다.
Primary Asset은 '정보/Data'
Supporting Asset은 '시설'(설비,장치,장비 등)에 해당합니다.
일전 글에서 제시했듯이
ICS/OT보안 및 생산보안 영역을 감안해서
신호(Signal), ICS장비, 제품을 추가했습니다.
다만, ISO에서는 조직/인력을 Supporting Asset의 일부로 포함하지만,
저는 "인적자원(Human Resources)"처럼
사람을 직접적인 '자산'으로 취급하는 것을 피하는 대신
임직원 간의 신뢰감을 가장 중요한 보호 대상 자산으로 존중했습니다.
(동료의식 희박한 조직에 아무리 '보안질' 들이대봐야… 업무 흐름만 뻑뻑해지니까요)
따라서,
보안의 대상인 '자산'은
신뢰감 + 정보자산 + 설비/장치 + 제품
으로 이루어집니다.
아래는 정보/Data자산 중 가장 중요한, File을 세분해 본 그림입니다.
위 그림들은 ISO표준에서 제시한 개념을 단지 더 분해한 것이므로, 표준과 모순되지 않습니다.
저의 분석/분해가 본질적으로 옳다면, 아래의 몇 가지 명제 또한 맞는 단정입니다.
1. 정보보호(Information
Security)는 보안(Security)의 부분집합입니다.
2. ISMS(정보보호관리체계)는 통합적 SMS(보안관리체계)의 부분집합입니다.
3. 기업에서 기존 ISMS만으로는 보안의 모든 영역을 관리하지 못합니다.
4. ISMS 인증심사에서는 '정보'/'문서'/'File'의 보안관리를 필히 우선적으로 검토해야 합니다.
Supporting Asset은 '시설'(설비,장치,장비 등)에 해당합니다.
ICS/OT보안 및 생산보안 영역을 감안해서
신호(Signal), ICS장비, 제품을 추가했습니다.
사람을 직접적인 '자산'으로 취급하는 것을 피하는 대신
임직원 간의 신뢰감을 가장 중요한 보호 대상 자산으로 존중했습니다.
신뢰감 + 정보자산 + 설비/장치 + 제품
으로 이루어집니다.