■클라우드컴퓨팅서비스 제공자는 제공하는 서비스의 특성에 적합한 분류기준을 수립하고, 이에 따른 정보자산을 식별하여야 한다.
- 정보자산 분류기준은 정보자산의 특성이나 유사성 등을 고려하여 정하되,클라우드컴퓨팅서비스에필요한 가상자원,가상인프라를 반드시 포함
- 정보자산에 대한 조사는 누락되는 자산이 발생하지 않도록 전수 조사를 수행하고 식별된 정보자산은 분류 기준에 따라 분류함 < 정보자산 분류 예시 > ㆍ정보시스템 : 운영체제, 소프트웨어를 동작시키기 위해 필요한 WEB/WAS/DBMS 등이 설치된 시스템(가상서버 포함) 예) 클라우드 상의 가상 서버(VM), 방화벽, IPS, WAF 등 ㆍ소프트웨어 : CSP 등에 의해 개발되거나(예 : 그룹웨어, 보안서비스 등) 도입된(예 : WAS, DBMS 등) 애플리케이션(SaaS 서비스를 개발 및 운영하는데 사용된 오픈소스 포함) ㆍ정보 : 문서적 정보(라이센스 등)와 전자적 정보(SW이미지 등 모두를 포함) ㆍ가상자원 : 가상 인프라를 통해 가상화된 가상 머신(CSP 소유의 자산), 가상 스토리지, 가상 소프트웨어(예: 배포 이미지 등) 등을 포함 ㆍ가상인프라 : 가상 환경을 제공하기 위해 필요한 하이퍼바이저, 클라우드 플랫폼 등을 포함

■ 식별된 정보자산은 정보를 확인할 수 있도록 목록화하여 관리하여야 한다.
- 정보자산 목록은 문서로 관리하거나 자산관리시스템을 활용하는 등 다양한 방법으로 관리 가능
- 공공클라우드서비스를 위한 재해복구센터를 운영하는 경우 반드시 재해복구센터의 정보자산을 목록에 포함 (재해복구센터 상세위치도 표시)

■신규 도입
·변경
·폐기되는 정보자산 현황을 확인할 수 있도록 정기적으로 정보자산 현황을 조사하여 정보자산 목록을 최신으로 유지하여야 한다.
- 클라우드컴퓨팅서비스에 사용된 정보자산(시설, 장비, 소프트웨어 등)의 변경을 지속적으로 모니터링하여 허가받지 않은 변경을 탐지하고 최신 변경 이력을 유지
- 클라우드 컴퓨팅 서비스 운용에 필요한 물리 자산 목록을 유지하고 회수, 폐기 등의 자산 변화 상황을 반영
※ 인증심사를 위한 자산 식별 절차
- 클라우드컴퓨팅서비스 제공자는 자체 문서 형식 또는 시스템을 이용하여 전체 정보자산을 분류기준에 따라 식별, 목록화, 최신화 등 관리
- 클라우드컴퓨팅서비스 제공자는 인증심사 전 서비스 제공을 위해 필요한 모든 정보자산을 인증심사용 정보자산관리대장 엑셀 파일을 이용하여 식별하고, 인증심사팀은 정보자산관리대장 엑셀 파일을 이용하여 CCE, CVE, 소스코드진단, 모의해킹 등을 위한 자산을 최종 확정
- 확정된 자산에 대해서 CCE, CVE, 소스코드진단, 모의해킹 등 수행
- 진단을 위해 공공 및 민간을 위한 공용자산, 개발 자산 등은 인증심사팀의 판단에 따라 진단 대상에서 제외 가능