정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립·이행하고, 자산별 책임소재를 명확히 정의하여 관리하여야 한다.
정보자산의 보안등급에 따른 취급절차(생성·도입, 저장, 이용, 파기)를 정의, 이에 따른 보호대책(암호화, 접근통제)을 정의하고 이행해야합니다.
정보자산별로 책임자 및 관리자 지정하고 자산목록에 기록 하도록 하세요
- 자산을 실제 운영하고 관리하게 될 책임자에게 지정된 자산에 대하여 자산 도입, 변경, 폐기, 반출입, 보안관리 등의 책임을 부여합니다.
- 책임자는 정보자산 현황 변경 시(인사이동, 정보자산의 도입 및 폐기): 정보자산별 책임자 및 담당자 파악하여
자산목록에 반영합니다.
임직원이 정보자산별 보안등급(기밀, 대외비, 일반 등)을 식별할 수 있도록 표시
- 전자문서: 문서 표지 또는 워터마킹
- 하드웨어 자산 : 자산번호 또는 바코드 표시
정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수
정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수
- 신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받아야 한다.
- 서약서: 정보보호 및 개인정보보호의 필요성과 책임, 내부 정책 및 관련 법규 준수, 비밀 유지 의무에 대하여 명시된 서약서이며, 중요 변경사항 발생 시 서약서 재작성
등의 조치를 수행
- 임직원 퇴직 시 별도의 비밀유지에 관련한 서약서를 받아야 한다.
- 퇴직자에게 정보유출 발생 시 비밀유지서약서를 요구
- 정보보호, 개인정보보호 및 비밀유지 서약서의 보존 및 관리
- 잠금장치가 있는 캐비닛 또는 출입통제가 적용된 문서고에 보존 및 관리