1. C/S/O 등급 분류 대상
- 업무정보 및 정보시스템
- 업무정보의 활용(수집·저장·처리·생성·공유·폐기 등)은 정보시스템의 기능을 통해서 이루어지고 정보시스템의 역기능을 통해 보안문제가 발생할 수 있어 정보시스템 또한 업무정보의 C/S/O 등급에 따른 보안대책이 필요
2. C/S/O 등급 분류 기준
- 기밀정보(C등급)와 민감정보(S등급)는 정보공개법, 공공데이터법, 보안업무규정 등을 근거로 각급기관이 지정한 비공개 정보에 해당
- 기밀정보(C)는 비밀, 안보·국방·외교·수사 등의 기밀정보와 국민 생활·생명·안전과 직결된 정보
- 정보공개법 제9조(비공개 대상 정보)의 제1호부터 제4호까지의 정보
- 법률상 비밀·비공개로 규정된 정보
- 안보·국방·통일·외교 관련 공개 시 국익 저해가 인정되는 정보
- 공개 시 국민의 생명·신체 및 재산의 보호에 현저한 지장을 초래하는 정보
- 진행 중인 재판 및 범죄예방·수사·공소·형 집행·교정 관련 정보로 공개 시 현저한 직무 수행 곤란 및 피고인 재판권 침해한다고 인정할 만한 상당한 이유가 있는 정보
- 민감정보(S)는 비공개 정보 등 개인·국가 이익 침해가 가능한 정보
- 정보공개법 제9조(비공개 대상 정보)의 제5호부터 제8호까지의 정보 및 로그, 임시백업 등의 기타 정보
- 감사·감독·검사·시험·규제·입찰계약·기술개발·인사관리 및 의사결정·내부검토 관련 정보로 공개 시 공정한 업무수행, 연구개발 등에 현저한 지장을 초래하는 정보
- 성명·주민등록번호 등 개인정보로 공개 시 사생활 침해가 우려되는 정보
- 법인·단체·개인의 경영상·영업상 비밀로 공개 시 이익 침해가 우려되는 정보
- 공개 시 부동산 투기, 매점매석으로 특정인에게 이익 또는 불이익을 줄 우려되는 정보
- 공개정보(O)는 기밀정보 및 민감정보 이외의 모든 정보
- 법령등에서 규정하는 요건을 조치한 비공개 정보와 기간의 경과 등으로 비공개 필요성이 소멸된 정보는 공개정보로 분류
3. 정보시스템 C/S/O 등급 분류 방법
3.1. 동일 등급의 경우
- 업무정보 등급을 정보시스템 등급으로 분류
3.2. 복수 등급의 경우
- 업무정보의 최상위 등급을 정보시스템 등급으로 분류
- 등급별 시스템으로 분리
4. 정보서비스 모델링
- 정보시스템에서 발생 가능한 구조적 위협을 사전에 식별하고 그에 대한 보안대책을 수립하기 위해 모델링 수행
- 정보서비스 구성환경을 주체(Subject), 객체(Object), 위치(Domain)로 단순화
- 주체는 업무정보·정보시스템을 활용하는 이용자
- 객체는 주체가 접속하는 대상
- 위치는 주체가 위치한 물리적 영역
- 주체, 객체, 위치는 각각 C/S/O 등급을 가짐
4.1. 서로 다른 등급간 혼용이 발생하는 경우
- 정보 생산·저장의 원칙
- 정보시스템은 자신의 보안등급과 동일하거나 낮은 보안등급의 업무정보를 생산·저장할 수 있다.
- 정보 이동의 원칙
- 업무정보는 자신의 보안등급과 동일하거나 높은 보안등급의 정보시스템으로 이동할 수 있다.
'정보보안 > N²SF' 카테고리의 다른 글
| 국가 망 보안체계(N²SF, National Network Security Framework) (0) | 2025.03.30 |
|---|