ISMS-P 인증 범위 편집하기

{| class="wikitable"
! colspan="5" |ISMS-P 인증범위
|-
|정보통신서비스등을 위한 
'''조직 및 인력'''
|정보통신서비스등의 운영을 위한 
'''물리적 장소'''
|정보통신서비스등의 운영을 위한 
'''설비'''
|개인정보 처리를 위한 
'''조직 및 인력'''
|개인정보 처리를 위한 
'''물리적 장소'''
|-
! colspan="3" |ISMS 인증 범위
| colspan="2" |
|}

* 일반적으로 ISMS 인증범위는 정보통신서비스를 기준으로 관련된 정보시스템, 장소, 조직 및 인력을 포함
* ISMS-P 인증범위는 이에 더하여 해당 서비스에서 처리되는 개인정보의 흐름에 따라 해당 개인정보를 처리하는 정보시스템, 조직 및 인력, 물리적 장소 등을 모두 포함해야 함
* 이에 따라 ISMS 인증 의무대상자가 ISMS 의무인증 범위를 포함하여 ISMS-P 인증을 신청하는 경우 ISMS-P 단일심사로 진행 가능
* ISMS 의무인증 범위에 대해서는 ISMS 인증을 신청하고 일부 서비스에 대해서는 개인정보 영역을 포함한 ISMS-P 인증을 신청하여 2개의 인증심사 동시에 진행하는 것도 가능

[[파일:ISMS 의무 인증범위.png|500x500픽셀]]

=== 의무대상자 인증범위 기준 ===
인증 의무대상자인 경우, 인증범위는 신청기관의 정보통신서비스를 모두 포함하여 설정해야 한다.

* 정보통신서비스란 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 서비스를 말한다.
* 인증범위는 신청기관이 제공하는 정보통신서비스를 기준으로, 해당 서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직 등을 모두 포함한다. 
* 해당 서비스의 직접적인 운영 및 관리를 위한 백오피스 시스템은 인증범위에 포함되며, 해당 서비스와 관련이 없더라도 그 서비스의 핵심정보자산에 접근 가능하다면 포함한다.
* ISMS 의무인증범위 내에 있는 서비스, 자산, 조직(인력)을 보호하기 위한 보안시스템은 모두 포함한다. 
* 정보통신서비스와 직접적인 관련성이 낮은 전사적자원관리시스템(ERP), 분석용데이터베이스 (DW), 그룹웨어 등 기업 내부 시스템, 영업/마케팅 조직은 일반적으로 인증범위에서 제외한다.

=== 서비스 유형별 인증범위 ===
인증범위를 설정하기 위해서는 신청기관이 제공하는 정보통신서비스를 분류하고, 해당 서비스를 위한 자산 및 조직을 모두 식별해야 한다. 

* 인증범위 대상으로 식별된 모든 자산 및 조직에 대해 「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」 제23조에 따른 [별표 7] ‘가. 관리체계 수립 및 운영’과 ‘나. 보호대책 요구사항’을 준수하여 보호조치를 취해야 한다.

'''정보통신망서비스제공자(ISP) 인증 범위'''

* '''서비스:''' 전국망(서울특별시 및 모든 광역시)을 통한 정보통신망 서비스 
* '''설비:''' IP기반의 인터넷 연결을 위한 정보통신설비 및 관련 서비스를 제공하기 위한 정보통신설비

'''집적정보통신시설(IDC)사업자 인증 범위'''

* '''서비스:''' 정보통신서비스를 제공하는 고객의 위탁을 받아 컴퓨터 장치 및 정보시스템을 구성하는 일정한 공간에 집중하여 시설을 운영·관리하는 서비스(공간 임대서비스, 서버호스팅, 네트워크 서비스 등) 
* '''설비:''' 집적정보통신시설의 관리운영 용도로 설치된 컴퓨터 장치 및 네트워크 장비 등의 정보통신설비

'''연간 매출액, 이용자 수 등이 일정 기준에 해당하는 자 인증 범위'''

* '''서비스:''' 불특정 다수의 이용자가 접근 가능한 모든 정보통신서비스 
* '''설비:''' 해당 정보통신서비스의 제공 또는 운영을 위해 필요한 정보통신설비

정보통신서비스 부문 매출액 또는 일일평균 이용자 수 요건에 해당하여 의무대상으로 포함된 경우는 정보통신서비스가 외부 정보통신망을 통해 접근 가능한지의 여부에 따른 의무 심사범위를 구분할 수 있다.
{| class="wikitable"
!인터넷 공개여부
!설명
!의무 범위
|-
|'''공개'''
|
* 외부 정보통신망을 통해 불특정 다수 또는 권한을 가지고 있는 자가 직접적으로 접근이 가능한 서비스
* 인증 의무대상인 신청기관이 다수의 정보통신서비스를 운영하는 경우, 개별 정보통신서비스가 인증 의무대상에 포함되지 않아도 모두 인증범위에 포함
* IP주소 제한을 통해 특정 위치 및 단말에서만 접속이 가능하도록 접근제어가 되어 있다 하더라도, 외부 정보통신망을 통해 직접 연결이 되어 있다면 인증범위에 포함
* 웹기반 서비스 뿐만 아니라, 모바일 기반 서비스도 동일한 기준이 적용됨
|○
|-
|'''미공개'''
|
* 외부 정보통신망을 통해 직접 접속이 불가능한 내부용 서비스
|X
|}
영리를 목적으로 하지 않더라도 정보통신망을 통해 정보를 제공하거나 정보의 제공을 매개하는 서비스는 모두 인증범위에 포함한다.
{| class="wikitable"
!유형
!설명
!예시
|-
|대표홈페이지
|기업(기관)의 대표홈페이지
|
* 단순 홈페이지 포함
|-
|채용사이트
|인터넷을 통하여 채용공고, 입사지원 등 채용 절차를 수행하는 시스템
|
* 온라인 채용시스템
|-
|비영리 사이트
|비영리 목적으로 운영하는 인터넷 사이트
|
* 공익 사이트(자원봉사 등)
* 학교 홈페이지(포털)
|-
| rowspan="2" |기타
|임직원 복지를 위한 인터넷 시스템
|
* 임직원 복지몰
|-
|기타 대외 서비스 및 업무처리를 위해 인터넷에 공개된 시스템
|
* 인터넷 방문예약
* 인터넷 신문고 등
|}
<br />