ISMS-P 인증 기준 1.1.4.범위 설정 편집하기

IT위키

경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.

편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.

최신판 당신의 편집
1번째 줄: 1번째 줄:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
 
* '''영역''': [[ISMS-P 인증기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
*'''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
* '''분류''': [[ISMS-P 인증기준 1.1.관리체계 기반 마련|1.1.관리체계 기반 마련]]
*'''분류''': [[ISMS-P 인증 기준 1.1.관리체계 기반 마련|1.1.관리체계 기반 마련]]
== 개요 ==
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!1.1.4.범위 설정
!1.1.4.범위 설정  
|-
|-
| style="text-align:center" |'''인증기준'''
| style="text-align:center"|'''인증기준'''
|조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다.
|조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
*조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가?
* 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가?
*정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의‧책임자 승인 등 관련 근거를 기록・관리하고 있는가?
* 정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의‧책임자 승인 등 관련 근거를 기록・관리하고 있는가?
*정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이 포함된 문서를 작성하여 관리하고 있는가?
* 정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이 포함된 문서를 작성하여 관리하고 있는가?
|}
|}
==세부 설명==
== 세부 설명 ==
 
==== 관리체계의 범위 설정 ====
조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를설정하여야 한다.
 
*관리체계 범위에는 사업(서비스)와 관련된 임직원, 정보시스템, 정보, 시설 등 유·무형의 핵심자산을누락 없이 포함
*특히 정보보호 관리체계 의무대상자의 경우 법적 요구사항에 따른 정보통신서비스 및 관련 정보자산은 의무적으로 포함되도록 범위 설정
 
==== 범위 내 예외사항에 대한 근거 기록·관리 ====
정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의・책임자 승인 등 관련 근거를기록·관리하여야 한다.
 
*정보보호 관리체계와 개인정보보호 관리체계의 범위가 상이한 경우에는 인증범위 내의 정보자산목록(개인정보, 시스템, 네트워크 등)을 정보보호 관리체계 및 개인정보보호 관리체계 관점에서명확하게 식별하여 정의
*인증범위에서 제외되는 서비스, 정보시스템 등에 대해서는 내부 협의 및 책임자 승인을 거친 후 그사유 및 근거에 대하여 기록하여 관리
 
==== 관리체계 범위 문서화 ====
정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무현황, 정보시스템 목록, 문서 목록 등)이 포함된 문서를 작성하여 관리하여야 한다.
 
*주요 서비스 및 업무 현황(개인정보 처리 업무 현황 포함)
*서비스 제공과 관련된 조직 현황(조직도 등)
*정보보호 및 개인정보보호 조직 현황
*주요 설비 목록
*정보시스템 목록 및 네트워크 구성도
*정보자산, 개인정보 관련 자산식별 기준 및 자산현황
*정보보호 및 개인정보보호 시스템 목록
*서비스(시스템) 구성도 및 개인정보(수집, 이용, 제공, 저장, 관리, 파기) 처리 흐름
*문서 목록(예: 정책, 지침, 매뉴얼, 운영명세서 등)
*정보보호 및 개인정보보호 관리체계 수립 방법 및 절차, 관련 법적 준거성 검토, 내부감사
*고객센터, IDC, IT 개발 및 운영 등 외주(위탁)업체 현황 등
 
==증거 자료==
 
*정보보호 및 개인정보보호 관리체계 범위 정의서
*정보자산 및 개인정보 목록
*문서 목록
*서비스 흐름도
*개인정보 흐름도
*전사 조직도
*시스템 및 네트워크 구성도
 
==결함 사례==
 
*정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 외주업체직원, PC, 테스트용 단말기 등이 관리체계 범위에서 누락된 경우
*정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 인증범위에 포함하지 않은 경우
*인증범위 내 조직 및 인력에 적용하고 있는 보안시스템(PC보안, 백신, 패치 등)을 인증범위에서 배제하고 있는 경우
*정보통신망법에 따른 정보보호 관리체계 인증 의무대상자임에도 불구하고 인터넷에 공개되어 있는 일부 웹사이트가 관리체계 범위에서 누락된 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
* 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를설정하여야 한다.
** 관리체계 범위에는 사업(서비스)와 관련된 임직원, 정보시스템, 정보, 시설 등 유·무형의 핵심자산을누락 없이 포함+I50
** 특히 정보보호 관리체계 의무대상자의 경우 법적 요구사항에 따른 정보통신서비스 및 관련 정보자산은의무적으로 포함되도록 범위 설정
* 정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의・책임자 승인 등 관련 근거를기록·관리하여야 한다.
** 정보보호 관리체계와 개인정보보호 관리체계의 범위가 상이한 경우에는 인증범위 내의 정보자산목록(개인정보, 시스템, 네트워크 등)을 정보보호 관리체계 및 개인정보보호 관리체계 관점에서명확하게 식별하여 정의
** 인증범위에서 제외되는 서비스, 정보시스템 등에 대해서는 내부 협의 및 책임자 승인을 거친 후 그사유 및 근거에 대하여 기록하여 관리
* 정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무현황, 정보시스템 목록, 문서 목록 등)이 포함된 문서를 작성하여 관리하여야 한다.
** 주요 서비스 및 업무 현황(개인정보 처리 업무 현황 포함)
** 서비스 제공과 관련된 조직 현황(조직도 등)
** 정보보호 및 개인정보보호 조직 현황
** 주요 설비 목록
** 정보시스템 목록 및 네트워크 구성도
** 정보자산, 개인정보 관련 자산식별 기준 및 자산현황
** 정보보호 및 개인정보보호 시스템 목록
** 서비스(시스템) 구성도 및 개인정보(수집, 이용, 제공, 저장, 관리, 파기) 처리 흐름
** 문서 목록(예 : 정책, 지침, 매뉴얼, 운영명세서 등)
** 정보보호 및 개인정보보호 관리체계 수립 방법 및 절차, 관련 법적 준거성 검토, 내부감사
** 고객센터, IDC, IT 개발 및 운영 등 외주(위탁)업체 현황 등
== 증거 자료 ==
* 정보보호 및 개인정보보호 관리체계 범위 정의서
* 정보자산 및 개인정보 목록
* 문서 목록
* 서비스 흐름도
* 개인정보 흐름도
* 전사 조직도
* 시스템 및 네트워크 구성도
== 결함 사례 ==
* 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 외주업체직원, PC, 테스트용 단말기 등이 관리체계 범위에서 누락된 경우
* 정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 인증범위에 포함하지 않은 경우
* 인증범위 내 조직 및 인력에 적용하고 있는 보안시스템(PC보안, 백신, 패치 등)을 인증범위에서 배제하고 있는 경우
* 정보통신망법에 따른 정보보호 관리체계 인증 의무대상자임에도 불구하고 인터넷에 공개되어 있는 일부 웹사이트가 관리체계 범위에서 누락된 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 IT위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소 편집 도움말 (새 창에서 열림)
원본 주소 "https://itwiki.kr/w/ISMS-P_인증_기준_1.1.4.범위_설정"