정보자산 관리지침은 클라우드컴퓨팅서비스를 제공하기 위한 운영문서로서 검토되고 승인됨
제1조(목적)
이 지침은 주식회사 팀모노리스의 ‘정보보호 정책서’에 의거 정보자산에 대한 관리에 필요한 사항을 규정함으로 목적한다.
제2조(적용 범위)
이 지침은 주식회사 팀모노리스의 의 클라우드 컴퓨팅 서비스 업무에 종사하는 임직원 및 주식회사 팀모노리스의 과 계약을 맺어 클라우드 컴퓨팅 서비스 업무 외부 업체 직원 모두에게 적용된다.
제3조(용어 정의)
이 지침에서 사용하는 용어의 정의는 다음과 같다.
“서버”라 함은 서버용 운영체제(윈도우, 리눅스 등)가 탑재되어 운영되는 하드웨어, 소프트웨어를 총칭한다.
“인프라 담당자”라 함은 정보시스템에서 서비스되고 있는 서버 장비의 보안 및 운영 업무를 담당하는 자를 말한다.
“정보자산”이라 함은 클라우드 서비스를 제공하는데 포함되는 정보시스템, 정보보호 시스템, 정보 또는 서비스를 말한다.
제4조(인프라 담당자)
① 인프라 담당자는 서버의 운용 유지보수 관리 및 보안 운용을 위한 업무는 다음 각 호와 같다.
서버 운영 관리(계정, 서비스, 도입/변경/폐기, 백업/복구, 관리)
서버의 로깅 설정, 로그 점검
보안 문제에 대한 신속한 해결 및 패치
보안사고 대응 및 지원
서버 보안패치 적용 및 취약점 제거
보안 관련 문제 발견, 장비의 상태 및 로그 관리, 장애 발생 시 정보보호최고책임자에게 통보
제5조(사용자)
① 사용자는 서버 응용프로그램에 접속하여 업무를 수행하는 자로서 다음 각 호의 업무를 수행한다.
서버 응용프로그램에 접속하여 업무 수행 시 접근이 불가능하거나 이상이 발견되면 즉시 인프라 담당자에게 통보하여야 한다.
모든 사용자는 서버 응용프로그램 접근 시 인가된 경로를 통해 허용된 용도로만 사용하여야 한다.
제6조(정보자산 식별)
① 클라우드 컴퓨팅 서비스에 포함된 모든 정보자산을 식별하고 관리하여야 한다.
② 인프라 담당자는 정보자산은 별지 제1호 서식 ‘자산관리대장’을 참고하여 식별하며, 연 1회 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하여야 한다.
제7조(취약점 점검계획)
① 정보보호담당자는 클라우드 컴퓨팅 서비스 전체를 대상으로 주기적(연 1회 이상)으로 취약점 점검을 수행하여야 한다.
② 정보보호담당자는 취약점 점검계획을 별지 제2호 서식 ‘취약점 점검 계획서’을 작성하여 수립하고 정보보호최고책임자의 승인을 받은 후에 수행하여야 한다. 취약점 점검계획에는 다음의 사항이 포함되어야 한다.
③ 외부의 전문업체를 통하여 취약성 점검을 수행하는 경우 관련 계약서 제2항의 내용이 상세하게 포함되도록 하여야 한다.
④ 정보보호담당자는 취약점 점검으로 인하여 클라우드 서비스 운영에 영향을 미치지 않도록 사전 확인을 수행하여야 한다.