정보자산분류 및 관리세칙

제정 2008. 12. 1

제 1 조(목적) 이세칙은포항공과대학교(이하 ‘대학’이라한다)의정보보호규정에의거, 대학소유의자산중보안이필요한정보자산에대한분류및관리기준을정함을목적으로한다.

제 2 조(적용범위) 대학 내 정보자산으로 분류 된 자산을 대상으로 한다.

제 3 조(용어의정의) 이 세칙에서 사용하는 용어의 정의는 다음 각 호와 같다.
1. “자산”이라함은대학이소유하고있는경제적가치가있는유형∙무형의재산을말한다.
2. “정보자산”이란좁은의미로는정보그자체만을의미하지만넓은의미로는그정보를포함해정보를생성, 가공및저장하는설비를모두포함하는것을말한다.
3. “기밀성”이라함은비인가자가정보를사용하거나비인가자에게정보가노출되지못하도록하는특성을말한다.
4. “무결성”이라함은비인가된방법을통해정보를변경또는파괴하지못하도록하는특성을말한다.
5. “가용성”이라함은권한을가진개체의요구에따라정보자산을지속적으로접근하고사용이가능하도록하는특성을말한다.

제 4 조(역할및책임) 정보자산의 분류, 중요도 평가 및 등급분류 시 정보보호전담부서와 단위조직의 정보자산관리책임자의 역할과 책임은 다음 각 호와 같다.
1. 정보보호전담부서는단위조직에서제출한정보자산목록과중요도평가결과를검토하고보안등급을심의하여그결과를통보한다.
2. 각단위조직의정보자산관리책임자는소관단위조직의정보자산현황을파악하고중요도평가및등급분류등의정보자산관리를책임진다.

제 5 조(분류 및 등록) ① 정보자산관리책임자는 단위조직 정보자산에 대해서 정보자산코드 및 분류체계(별지 제1호 서식)에 의하여 정보자산을 분류하고 정보자산관리대장(별지 제3호 서식)을 작성하여 보관하여야 한다.
② 정보자산분류기준과정보자산관리대장은대학이보유하고있는정보자산의종류와유형에따라추가및삭제할수있다.

제 6 조(중요도 평가와 등급 분류) ① 정보자산관리책임자는단위조직정보자산에대해서정보자산중요도평가및등급(별지제2호서식)에따라정보자산관리대장에기록하여야한다.
② 정보자산중요도평가기준은기밀성, 무결성, 가용성원칙에따라각각 1부터 3까지의값을평가하여정보자산의중요도를산정한다.
③ 정보자산중요도등급은중요도평가수치를합산한결과에따라 VL, L, M, H, VH의 5단계로구분한다.

제 7 조(정보자산 관리) ① 정보자산관리책임자는정보자산의신규, 변경, 폐기등정보자산의변경이발생한경우정보자산관리대장에기입하고그결과를정기적으로정보보호전담부서에통보하여야한다.
② 정보보호전담부서는단위조직의정보자산에대한식별및분류의적절성을점검하고대학의정보자산관리대장을취합하여통합관리한다.
③ 정보보호전담부서는정보자산의중요도평가의적절성을점검하여야하며중요도평가와연계하여취약점분석및위험평가를정기적으로수행한다.
④ 정보보호전담부서는위험평가실시후분석결과를단위조직에통보하여대학의정보자산이적합하게관리되도록유지시킨다.

부 칙
1. 이세칙은 2008년 12월 1일부터제정, 시행한다
2. 이세칙시행이전에처리된업무는이세칙에의하여처리된것으로본다.