정보자산 분석 가이드

Download Report

Transcript 정보자산 분석 가이드 

POSTECH 정보보호 컨설팅
정보자산 식별 및 평가 요령
2007. 12.
정보자산 식별 및 중요도 평가 요령
목 차
1. 분석대상 자산범위
2. 자산식별
3. 자산 중요도 평가
4. 자산 중요도 평가기준
5. 자산 조사양식 작성요령
6. 정보자산 조사대상
붙임. 추진일정표
-1-
1. 분석대상 자산 범위
정보자산 식별 및 중요도 평가 요령
[ 식별 및 평가 대상 자산 범위 ]
정보보호 측면에서 식별 및 평가되어야 할 POSTECH의 대상 자산 범위는 다음과 같다.
⊙ 대학 내부에서 관리되는 행정 및 연구 정보(, 또는 데이터) 자체
⊙ 정보를 생성, 이용, 가공, 전송(전달), 저장(보관), 폐기를 목적으로 사용되는 자산
⊙ 정보를 보호할 목적으로 운영되는 자산
[ 고려사항 ]
주1) 기본적으로 대학에 소유권이 있는 자산을 식별 및 중요도 평가 대상으로 함.
대학의 정보보호 통제 대상이 되는 개인 소유 자산의 경우, 기본적인 자산 운용 현황을
파악하되 개별 단위 자산별로 중요도 평가를 수행하지 않는 것을 원칙으로 함
예) - 물리적으로 대학 내부에서 운용되는 외부조직 소유 자산
- 교직원 및 학생의 개인 PC/서버 등
주2) 조사 및 평가 대상 자산은 프로젝트 일정을 감안하여 보안상 중요하다고 판단되는
중요 자산 영역으로 제한함
-2-
2. 자산 식별
정보자산 식별 및 중요도 평가 요령
대학 내에서 보호를 받을 가치가 있는 정보자산을 식별하고, 이를 정보자산의 형태, 소유자,
관리자, 특성 등을 포함하여 목록을 만들어야 함
자산 목록 작성 및 관리
■ 정의된 정보보호관리 범위 내의 자산 식별 및
분류 방법을 정의한 후, 자산 목록 작성
자산 유형
서버시스템
네트워크
-가능한 모든 정보자산을 식별하여 목록으로
관리 할 필요가 있음
■ 자산 목록에 포함될 필수 정보
- 자산명
- 관리자
• POSTECH의 전산망을 구성하는 각종 네트워크 장비
(네트워크 라우팅 또는 접근통제 기능을 가진 장비로 국한)
• 대학 행정, 연구 및 학술 업무 지원을 위하여 도입
또는 개발/구축한 업무시스템(어플리케이션)을 포함
보안시스템
• 대학의 IT자산에 대한 접근 통제 및 중요 데이터 보호를 위하여
도입된 보안 장비 또는 솔루션을 포함
데이터베이스
PC
- 자산 개요
- 소유자(책임자)
• POSTECH의 전산망에 연결하여 운영 중인 서버 시스템을 포함
정보시스템
- 자산유형(대/중/소분류)
- 자산식별 코드
포함 자산 예
문서
• 대학 행정 및 연구 업무 수행과 관련하여 '정보시스템'과
연동하여 운영중인 DB를 포함
• 대학 소유의 PC 및 POSTECH 전산망에 접속하는 개인 소유 PC
• 대학의 행정 및 연구 업무에 수반하여 산출되는 문서로서,
종이 매체 및 전자 파일을 모두 포함
소프트웨어
• 대학에서 라이센스를 보유하고 있는 S/W 제품
물리적 환경
• 대학 내 정보시스템 및 IT 장비의 안정적 운영을 위한 공간
• 주요 개인정보를 취급/관리하는 사무실, 주요 연구 공간
- (기밀성,가용성,무결성 요구사항)
-3-
3. 자산 중요도 평가
정보자산 식별 및 중요도 평가 요령
[ 자산 중요도 평가 요소 ]
 조직이 보유하고 있는 자산들은 비즈니스, 업무, 재무 등 다양한 측면에서 고유한 자산 가치(value)
를 지님
 자산의 기밀성(confidentiality), 무결성(Integrity), 가용성(Availability)이 침해 당했을 경우에
업무에 미치는 영향(Business Impact)과 그로 인하여 자산이 유지해야 할 보안성(C, I ,A)의
수준을 고려하여, 자산 가치를 평가함
구 분
평가 기준
기밀성(C)
자산이 유출 또는 외부에 공개되었을 경우에 미치는 업무 영향도
무결성(I)
자산(정보)이 변조되었을 경우에 미치는 업무 영향도
가용성(A)
자산을 사용/이용할 수 없을 경우에 미치는 업무 영향도
-4-
3. 자산 중요도 평가
정보자산 식별 및 중요도 평가 요령
[ 자산 중요도 평가 기준 ]
보안특성
기밀성
(Confidentiality)
무결성
(Integrity)
가용성
(Availability)
중요도
설명
높음
(High)
조직 내부에서도 특별히 허가를 받은 사람들만이 볼 수 있어야 하며, 조직 외부에 공개되는
경우 개인 프라이버시나 조직의 사업 진행에 치명적인 피해를 줄 수 있는 수준
중간
(Middle)
조직 내부에서는 공개될 수 있으나 조직 외부에 공개되는 경우 개인 프라이버시나 조직의 사
업 진행에 상당한 문제를 발생시킬 수 있는 수준
낮음
(Low)
조직 외부에 공개되는 경우 개인 프라이버시나 조직의 사업 진행에 미치는 영향이 미미한 수
준
높음
(High)
고의적으로나 우연히 변경되는 경우 개인 프라이버시나 조직의 사업 진행에 치명적인 피해
를 줄 수 있는 수준
중간
(Middle)
고의적으로나 우연히 변경되는 경우 개인 프라이버시나 조직의 사업 진행에 상당한 문제를
발생시킬 수 있는 수준
낮음
(Low)
고의적으로나 우연히 변경되는 경우 개인 프라이버시나 조직의 사업 진행에 미치는 영향이
미미한 수준
높음
(High)
서비스가 중단되는 경우 조직의 운영과 사업 진행에 치명적인 피해를 줄 수 있는 수준
중간
(Middle)
낮음
(Low)
서비스가 중단되는 경우 조직의 운영과 사업 진행에 상당한 문제를 발생시킬 수 있는 수준
서비스가 중단되는 경우 조직의 운영과 사업 진행에 미치는 영향이 미미한 수준
-5-
3. 자산 중요도 평가
정보자산 식별 및 중요도 평가 요령
[ 자산 중요도 평가 지수 ]
 자산 중요도는 각 평가 요소(C,I,A)별로 1~3점을 부여하며, 해당 자산(그룹)의 최종 중요도 값의
범위는 3~9 점 구간이 됨
 자산 중요도 = ∑(C, I, A)
무결성
(I)
구
분
L(1)
M(2)
H(3)
가용성
(A)
L(1)
M(2)
H(3)
L(1)
M(2)
H(3)
L(1)
M(2)
H(3)
L(1)
3
4
5
4
5
6
5
6
7
M(2)
4
5
6
5
6
7
6
7
8
H(3)
5
6
7
6
7
8
7
8
9
기밀성
(C)
[ 자산 중요도 평가 등급 ]
자산 중요도 등급
보안 요구사항 평가 점수
High
(3)
8~9 점
Medium
(2)
5~7 점
Low
(1)
3~4 점
-6-
4. 자산 중요도 평가 기준
정보자산 식별 및 중요도 평가 요령
4.1 기밀성(Confidentiality) 평가 기준
 기밀성 평가 기준 : 자산이 유출 또는 외부에 공개되었을 경우에 미치는 업무 영향도
척도
수준
High
(3)
기밀성(Confidentiality)
해당 자산(정보)의 비인가 유출 시,
대학 전체적으로 중대한 손실을 미치
는 경우
예시
- 개인 정보가 유출되어 법/행정적 제재와 함께 대학의 이미지 손실이 큰 경우
- 해당 자산 소유자인 해당부서 또는 담당자만이 접근 및 관리되어야 하는 경우
- 대학 규정에서 정하는 보안 등급이 통상적으로 ‘비밀’에 해당하는 경우
- 학사 행정 정보로서 대외적으로 노출되어서 안 되는 대학 경영 정보 등
Medium
(2)
해당 자산(정보)의 비인가 유출 시,
대학에 부분적인 손실을 미치는 경우
- 해당 자산 소유부서/담당자를 포함하여 일부 유관 부서의 대학 내부자에 국한하여
접근 및 열람이 가능한 자산
- 대학 규정에서 정하는 보안 등급이 통상적으로 ‘대외비’에 해당하는 경우
Low
(1)
해당 자산(정보)이 외부로 공개되어
도 관계없거나 손실이 미미한 경우
- 대학 외부인이 접근 또는 열람이 가능한 자산(정보)
- 해당 자산에 별도 정보가 기록되어 있지 않거나, 공개되어도 무방한 경우
< 정보자산 외부 유출/노출의 예 >
- ERP 시스템으로부터 교직원 인사정보의 유출
- 미공개된 연구 결과물의 사전 유출
- 학사관리 시스템으로부터 학적 정보의 유출
- 보안을 요구하는 국책 연구 과제의 데이터 유출
- 중요 정보시스템 관리자 계정/암호의 비 인가자 노출
- 통제구역에 설치된 물리적 보안시스템(CCTV 등) 설치 정보 및 녹화기록의 유출
- 네트워크 및 서버시스템의 주요 구성 정보 유출
-7-
4. 자산 중요도 평가 기준
정보자산 식별 및 중요도 평가 요령
4.2 무결성(Integrity) 평가 기준
 무결성 평가 기준 : 자산(정보)이 변조되었을 경우에 미치는 업무 영향도
척도
수준
무결성(Integrity)
예시
High
(3)
자산(정보) 변조시, 대학 전체적으로
중대한 손실을 미치는 경우
- 학사 정보 및 연구 정보, 또는 대외 기관과의 금융 거래 정보와 같이
Medium
자산(정보) 변조시, 대학의 일부 조직/
부문에 일정 손실을 미치는 경우
- 인사 기록, 실험 결과의 누락 또는 오류와 같이 그 영향이 내부적이고
자산(정보)이 변조되어도 대학 운영
및 업무에 미치는 영향이 미흡한 경우
- 대학 외부인이 접근 또는 열람이 가능한 자산(정보)
(2)
Low
(1)
변조 또는 누락에 따른 분쟁의 소지가 높은 경우
제한적인 경우
- 해당 자산에 별도 정보가 기록되어 있지 않거나, 공개되어도 무방한 경우
< 자산 변조의 예 >
- 정보 시스템상에서 학사 정보의 변조
- 사용자 신분 도용
- 인사 고과 및 평가 데이터 등 인사 정보의 변조
- 실수에 의한 잘못된 데이터 입력
- 서류 문서의 변조
- 바이러스/웜에 의한 시스템 파일 변조
- 환경/물리적 오염으로부터의 물리적 자산 변형
- 사회공학(Social Engineering : 사용자 신분 도용 등)
-8-
4. 자산 중요도 평가 기준
정보자산 식별 및 중요도 평가 요령
4.3 가용성(Availability) 평가 기준
 가용성 평가 기준 : 자산을 이용할 수 없을 경우에 미치는 업무 영향도
척도
수준
High
(3)
Medium
(2)
Low
(1)
가용성(Availability)
예시
해당 자산(정보)을 이용 불가능할 때,
대학 전체적으로 중대한 손실을 미치
는 경우
- 해당 자산(정보)이 사용 불가능할 때, 대외 연동 업무에
치명적인 차질을 발생시키는 경우( Ex. 네트워크 백본 라우터의 중단)
- 실시간으로 정보 서비스 제공을 위해 필요한 서버/네트워크 장비
- 해당 자산(정보)이 사용 불가능할 때, 즉시 복구/대체 되어야 하는 경우
해당 자산(정보)이 사용 불가능할 때,
대학에 부분적인 손실을 미치는
경우
- 해당 자산(정보)이 사용 불가능할 때, 비교적 짧은 시간 내에 복구/대체되어야
하는 경우
- (실시간) 정보 서비스 제공업무와 직접 관계 없는 대학 내의 독립적인 업무지원
시스템
해당 자산(정보)이 사용 불가능하더
라도 대학 업무 수행에 미치는 영향이
미흡한 경우
- 해당 자산(정보)이 사용 불가능할 때, 비교적 장기에 걸쳐(수 일) 이내에
복구/대체 되어야 하는 경우
- 해당 자산(정보)이 사용 불가능할 때, 타 자산 또는 다른 방식을 통하여
업무 수행이 가능한 경우
< 자산 가용성 손실의 예 >
- 행정 정보 시스템 장애 (ERP등)
- 저장매체의 노후 및 성능저하로 인한 데이터 손상
- 네트워크, 서버 장비 운영 장애
- 환경/물리적 재해로 인한 업무 중단
- 바이러스/웜으로 인한 시스템 장애
- 의도적/비의도적 데이터 삭제
- 백업 데이터의 파손
- 자산의 도난/손괴
-9-
5. 자산 조사양식 작성 요령
정보자산 식별 및 중요도 평가 요령
5.1 서버시스템 - 자산 속성 정보 작성 안내
‘[별첨] 정보자산 조사 양식’은 8개 정보자산 자산 유형 별로 작성 양식이 제시되어 있으며, 서버시스템 조사 양식에서
작성이 필요한 항목은 다음과 같습니다.
항목명
자산코드
IP 주소
제조업체
제품평
관리부서
세부 용도(서비스)
스토리지 제품명/용량
자산위치
항목 설명
ERP 자산코드를 기재
해당 서버시스템에 할당된 IP 주소를 기재하여 주십시요
해당 서버시스템의 제조업체 명을 기재하여 주십시요
해당 서버시스템의 제품명을 기재하여 주십시요
해당자산을 관리 총괄하는 부서명을 기재
해당 서버의 사용 용도(서비스)를 자세히 기재
해당 서버와 연동된 스토리지의 제품명과 용량을 기재
자산이 위치해 있는 물리적 장소를 기재
소유자
자산에 대한 책임을 지고 있는 팀장급 직원의 이름을 기재
관리자
소유자로부터 해당 자산의 관리를 위임받은 직원의 이름을 기재
사용 OS
자산중요성 평가항목
비고
해당 장비가 사용하고 있는 OS를 기재
기밀성, 무결성, 가용성 별로 자산 중요도를 3점 방식(3:High,2:Medium,1:Low)으로 평가
해당 장비가 동일 용도/목적(클러스터링 등)으로 사용되는 경우, 해당 용도/목적을 표기
- 10 -
5. 자산 조사양식 작성 요령
정보자산 식별 및 중요도 평가 요령
5.2 네트워크 - 자산 속성 정보 작성 안내
‘[별첨] 정보자산 조사 양식’은 8개 정보자산 자산 유형 별로 작성 양식이 제시되어 있으며, 네트워크 자산 조사 양식에서
작성이 필요한 항목은 다음과 같습니다.
항목명
자산코드
항목 설명
자산코드는 기존에 자산 식별 코드가 관리되고 있는 경우만 기재
IP 주소
해당 네트워크 장비에 할당된 IP 주소를 기재
제조업체
해당 네트워크 장비의 제조업체 명을 기재
제품평
관리부서
해당 네트워크 장비의 제품명을 기재
해당 네트워크 장비를 총괄하는 부서명을 기재
세부 용도(서비스)
네트워크 장비의 사용 용도 및 기능을 자세히 기재
자산위치
네트워크 장비가 위치해 있는 물리적 장소를 기재
소유자
자산에 대한 책임을 지고 있는 팀장급 직원의 이름을 기재
관리자
소유자로부터 해당 자산의 관리를 위임받은 직원의 이름을 기재
사용 OS
자산중요성 평가항목
비고
해당 네트워크 장비에서 사용하고 있는 OS를 기재
기밀성, 무결성, 가용성 별로 자산 중요도를 3점 방식(3:High,2:Medium,1:Low)으로 평가
해당 장비가 동일 용도/목적(클러스터링 등)으로 사용되는 경우, 해당 용도/목적을 표기
- 11 -
5. 자산 조사양식 작성 요령
정보자산 식별 및 중요도 평가 요령
5.3 정보시스템 - 자산 속성 정보 작성 안내
‘[별첨] 정보자산 조사 양식’은 8개 정보자산 자산 유형 별로 작성 양식이 제시되어 있으며, 정보시스템 자산 조사 양식에서
작성이 필요한 항목은 다음과 같습니다.
항목명
항목 설명
자산코드
자산코드는 기존에 자산 식별 코드가 관리되고 있는 경우만 기재
관리부서
해당 네트워크 장비를 총괄하는 부서명을 기재
정보시스템 명
목적/기능
자산위치(관련서버)
해당 자산을 식별할 수 있는 이름을 기재하여 주십시요.
자산의 사용 용도 및 기능을 기재
해당 정보시스템이 운영되고 있는 서버시스템 명을 기재하여 주십시요
소유자
자산에 대한 책임을 지고 있는 팀장급 직원의 이름을 기재
관리자
소유자로부터 해당 자산의 관리를 위임받은 직원의 이름을 기재
사용자 인증방법
자산중요성 평가항목
ID/password 방식, OTP, 공인/사설 인증서 등 정보시스템 사용자 인증 방법을 기재
기밀성, 무결성, 가용성 별로 자산 중요도를 3점 방식(3:High,2:Medium,1:Low)으로 평가
- 12 -
5. 자산 조사양식 작성 요령
정보자산 식별 및 중요도 평가 요령
5.4 보안시스템 - 자산 속성 정보 작성 안내
‘[별첨] 정보자산 조사 양식’은 8개 정보자산 자산 유형 별로 작성 양식이 제시되어 있으며, 보안시스템 자산 조사 양식에서
작성이 필요한 항목은 다음과 같습니다.
항목명
자산코드
IP 주소
제조업체
제품평
항목 설명
자산코드는 기존에 자산 식별 코드가 관리되고 있는 경우만 기재
해당 보안시스템 장비에 할당된 IP 주소를 기재
해당 보안시스템의 제조업체 명을 기재
해당 보안시스템의 제품명을 기재
관리부서
해당 보안시스템을 총괄하는 부서명을 기재
목적/기능
자산의 사용 용도 및 기능을 기재
물리적 자산위치
보안시스템이 관리되고 있는 물리적 위치를 기재
논리적 자산위치
대학 망에서의 보안시스템의 논리적인 위치를 기재
소유자
자산에 대한 책임을 지고 있는 팀장급 직원의 이름을 기재
관리자
소유자로부터 해당 자산의 관리를 위임받은 직원의 이름을 기재
사용 OS 및 OS 버전
호스트명
자산중요성 평가항목
해당 보안시스템이 사용하고 있는 OS 및 OS 버전을 기재
해당 보안시스템이 운영되는 서버시스템 명을 기재
기밀성, 무결성, 가용성 별로 자산 중요도를 3점 방식(3:High,2:Medium,1:Low)으로 평가
- 13 -
5. 자산 조사양식 작성 요령
정보자산 식별 및 중요도 평가 요령
5.5 데이터베이스 - 자산 속성 정보 작성 안내
‘[별첨] 정보자산 조사 양식’은 8개 정보자산 자산 유형 별로 작성 양식이 제시되어 있으며, 데이터베이스 자산 조사 양식에서
작성이 필요한 항목은 다음과 같습니다.
항목명
항목 설명
자산코드
자산코드는 기존에 자산 식별 코드가 관리되고 있는 경우만 기재
관리부서
해당 보안시스템을 총괄하는 부서명을 기재
DB 명
관련서버명(시스템)
사용 DBMS
목적/기능
해당 데이터베이스 이름을 기재
해당 DB를 사용하는 서버시스템 명을 기재
해당 DB를 관리하는 데 사용되는 DBMS를 기재
해당 DB의 사용 용도 및 기능을 기술
소유자
자산에 대한 책임을 지고 있는 팀장급 직원의 이름을 기재
관리자
소유자로부터 해당 자산의 관리를 위임 받은 직원의 이름을 기재
DBMS 버전
관련 정보시스템
자산중요성 평가항목
해당 DBMS의 버전을 기재
해당 DB를 사용하는 정보시스템 명을 기재
기밀성, 무결성, 가용성 별로 자산 중요도를 3점 방식(3:High,2:Medium,1:Low)으로 평가
- 14 -
5. 자산 조사양식 작성 요령
정보자산 식별 및 중요도 평가 요령
5.6 문서 - 자산 속성 정보 작성 안내
‘[별첨] 정보자산 조사 양식’은 8개 정보자산 자산 유형 별로 작성 양식이 제시되어 있으며, 문서 자산 조사 양식에서
작성이 필요한 항목은 다음과 같습니다.
항목명
자산코드
문서명(문서유형)
항목 설명
자산코드는 기존에 자산 식별 코드가 관리되고 있는 경우만 기재
해당 조직에서 작성/관리되는 문서 이름(종류)을 기재하여 주시되, 개별 건의 문서가 아닌 대표적인 문서 유형을 기재
( 예. '연구결과보고서' , '용역계약서' 등)
관리부서
해당 문서를 총괄하는 부서명을 기재
목적/기능
문서의 사용 용도 및 기능을 기술
문서보관 방법
'개인PC',' 캐비닛', '문서고' 등 어느 곳에 보관되어 있는지 기재
소유자
자산에 대한 책임을 지고 있는 팀장급 직원의 이름을 기재
관리자
소유자로부터 해당 자산의 관리를 위임 받은 직원의 이름을 기재
저장 매체
해당 문서가 저장/관리되는 매체를 기재하여 주십시오 ( ex. : 종이, 전자파일, 종이/전자파일)
작성주기
해당 문서가 어떤 주기로 작성되는지 기재
보관(유효) 기간
자산중요성 평가항목
규정에 근거하여 해당 문서를 어느 기간 동안 보관하는지 기재
기밀성, 무결성, 가용성 별로 자산 중요도를 3점 방식(3:High,2:Medium,1:Low)으로 평가
- 15 -
5. 자산 조사양식 작성 요령
정보자산 식별 및 중요도 평가 요령
5.7 PC - 자산 속성 정보 작성 안내
‘[별첨] 정보자산 조사 양식’은 8개 정보자산 자산 유형 별로 작성 양식이 제시되어 있으며, PC 자산 조사 양식에서
작성이 필요한 항목은 다음과 같습니다.
항목명
자산코드
IP주소
관리부서
자산명
항목 설명
자산코드는 기존에 자산 식별 코드가 관리되고 있는 경우만 기재
해당 PC/노트북에 배정된 IP주소를 기재하여 주시고, 주소가 고정 할당되지 않는 경우에는 subnet IP 주소를 기재
해당 PC를 총괄하는 부서명을 기재
해당 PC를 식별할 수 있는 이름을 기재
목적/기능
해당 PC의 사용 용도 및 기능을 기술
자산 위치
해당 PC가 위치해 있는 물리적 Location을 적어 주십시요.(학과명, 부서명, 연구소명 등)
소유자
자산에 대한 책임을 지고 있는 팀장급 직원의 이름을 기재
관리자
소유자로부터 해당 자산의 관리를 위임 받은 직원의 이름을 기재
사용 OS
자산중요성 평가항목
해당 장비가 사용하고 있는 OS 및 버전을 기재
기밀성, 무결성, 가용성 별로 자산 중요도를 3점 방식(3:High,2:Medium,1:Low)으로 평가
- 16 -
5. 자산 조사양식 작성 요령
정보자산 식별 및 중요도 평가 요령
5.8 소프트웨어 - 자산 속성 정보 작성 안내
‘[별첨] 정보자산 조사 양식’은 8개 정보자산 자산 유형 별로 작성 양식이 제시되어 있으며, 소프트웨어 자산 조사 양식에서
작성이 필요한 항목은 다음과 같습니다.
항목명
항목 설명
자산코드
자산코드는 기존에 자산 식별 코드가 관리되고 있는 경우만 기재
관리부서
해당 소프트웨어를 총괄하는 부서명을 기재
자산명
목적/기능
수량(라이센스 수)
관리자
자산중요성 평가항목
해당 소프트웨어를 식별할 수 있는 이름 또는 제품명을 기재
해당 소프트웨어의 사용 용도 및 기능을 기술
해당 소프트웨어의 License 수를 기재
해당 소프트웨어에 대한 관리 책임을 지고 있는 직원의 이름을 기재
기밀성, 무결성, 가용성 별로 자산 중요도를 3점 방식(3:High,2:Medium,1:Low)으로 평가
- 17 -
6. 정보자산 조사대상
구분1
구분2
정보자산 식별 및 중요도 평가 요령
부서명
대학법인 대학법인
대학발전추진팀
교무처
연구처
산학협력단
학생처
기획처
행정부서
행정처
학술정보원
교무팀
학사관리팀
연구진흥팀
연구지원팀
산학협력팀
기술사업화센터
학생선발팀
학생지원팀
기획예산팀
발전기금팀
국제교류팀
총무인사팀
재무회계팀
구매관재팀
홍보팀
부속실
예비군대대
학술정보팀
시스템개발팀
시스템운영팀
프로세스혁신 TFT
대학서비스센터
중앙기기센터
시설운영팀
주거운영팀
통신실
AV실
복지회
기술지원팀
작성대상
담당자 이름
안일영
이정현
김성범
김태영
김복자
임영희
채종향
한동일
김희경
권인혁
박용준
김규리
김지혜
양영선
황재만
최종민
김민옥
임기정
조덕현
권태훈
강상익
최혜식
황병숙
권오윤
이태명
문봉학
김필진
손석남
임동주
담당자 email
ilyoung
ljh
sb21488
taeyoung
kimbj
syleem
chae
dongilhn
pansy
joomason
yongjun
joie
rubis5
yys
jeep24
choijm
ok94
kjlim
작성 S heet
r00kie
kangsi
hschoi
hbs
koyoon
myeong
moonbh
pjkim
heaya
djlim
행정부서 및 대학 법인 담당자는 정보자산 조사양식의 ‘문서’ 시트만을 기입하여 제출일자까지 [email protected] 로 송부바람.
- 18 -
문서
6. 정보자산 조사대상
구분1
구분2
팀/학과
인문
수학
물리
학과(학부)
학과(학부)
정보자산 식별 및 중요도 평가 요령
작성대상
담당자 이름 담당자 email
송혜수
hssong
김은아
korsaint
임채홍
limch
안시원
asw
화학
권용태
yongtaek
생명
신철
shinchul
신소재
박성민
psm
기계
권진혁
tj
산경
이승쾌
leesq
전자
김광희
caleb
컴공
김영기
ykim
화공
서장원
sjw11
환경
I-BIO
기술경영
경종대
오영희
하미경
bigbell
rhee
hami0207
관련연구기관
(학과에서 수합)
과학문화연구센터, 학생생활연구소, POSTECH어학센터,
POSTECH리더십센터, 대학교육개발센터, 최고경영자과정
전산수학센터
BK21물리사업단, 이론물리연구소, 스핀물성연구센터, 초전도연구단
기능성분자집합체연구센터, 기초과학연구소, 바이오나노텍연구센터,
기능성분자계연구소, 기능성분자계연구소, 지능초분자연구단
기능유전체연구소, 미래정보기술사업단, 생물공학연구소, 뇌연구센터,
구조생물학연구소, 생체분자인지연구단, 식물단백질이동연구단, 생물학정보센터
지식산업형소재시스템사업단, 항공재료연구센터, 정보신소재연구소,
반도체나노막대연구단, 엑스선연상연구단, 차세대소재부품인력양성사업단
미래형기계기술사업단, 첨단유체공학연구센터, 초소형기계기술연구소,
자동차기전연구소, 국방MEMS특화연구센터, 메카트로닉스인력양성사업단
제품생산기술연구소, 산업공학연구정보센터, u-Manufacturing연구센터
전자파특화연구센터, 나노기술연구센터, 나노기술산업화지원센터,
철강제어연구센터, OFDM기반광대역이동인터넷연구센터,
Display기술연구센터, 나노기술집적센터
이동단말내장형소프트웨어연구센터
청정공정 및 에너지 인력양성사업단, 화공인력양성사업단, 차세대환경오염물질연구사업
단,
촉매기술연구센터, 고분자연구소/첨단공학연구소, 시스템온칩화학공정연구소,
해양생명환경기술연구소, 블록공중합체자기조립연구단
차세대바이오환경기술연구센터, 환경공학정보센터, 환경연구소
학과 담당자는 학과 소속 연구실 및 관련 연구기관 담당자에게 정보자산 조사양식을 전달한 후 결과파일을 전체 취합하여 제출일자까지
[email protected] 로 송부바람. (결과파일은 하나로 수합할 필요 없이 각각의 파일을 zip파일로 압축하여 송부하도록 함)
- 19 -
작성 Sheet
서비시스템,
네트워크,
보안시스템,
PC,
문서,
소프트웨어
6. 정보자산 조사대상
구분1
정보자산 식별 및 중요도 평가 요령
구분2
NSB POSTECH학교기업
생명공학연구센터
철강대학원
독립연구소
정보통신연구소
포항가속기연구소
나노기술집적센터
담당자 정보
담당자 이름 담당자 email
안이준
stoneste
김재광
onemind
김영범
swws45
이대형
ddaccur
김재명
jmkim
백성기
white100
작성 Sheet
비고
물리적환경
제외한
전체 sheet
독립연구소 담당자는 정보자산 조사양식의 ‘물리적환경’ 시트를 제외한 모든 시트를 작성하여 제출일자까지 결과파일을 [email protected]로
송부바람.
- 20 -
별첨. 추진 일정표
정보자산 식별 및 중요도 평가 요령
본 프로젝트는 환경 및 자산분석, 취약점 분석, 위험 평가, 정보보호관리체계 구축, 정보보호 Master Plan, MP상세
이행계획 수립 TASK를 3개월 간 수행합니다.
1W
보고 일정
2W
3W
4W
관리적 취약점 분석
물리적 취약점 분석
기술적
취약점
분석
6W
7W
8W
중간보고
착수보고
환경 및 자산 분석
취약점 분석
5W
서버 진단
N/W, 보안시스템 진단
PC 진단
모의해킹
위험 평가
정보보호 관리체계 구축
정보보호 Master Plan
MP 상세이행계획 수립
- 21 -
9W
10 W
11 W
12 W
최종보고