ISMS-P 인증 기준 1.1.4.범위 설정: Difference between revisions
From IT Wiki
(Imported from text file) |
|||
| (2 intermediate revisions by 2 users not shown) | |||
| Line 1: | Line 1: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P | |||
* '''분류''': [[ISMS-P | *'''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]] | ||
== 개요 == | *'''분류''': [[ISMS-P 인증 기준 1.1.관리체계 기반 마련|1.1.관리체계 기반 마련]] | ||
==개요== | |||
{| class="wikitable" | {| class="wikitable" | ||
!항목 | !항목 | ||
!1.1.4.범위 설정 | !1.1.4.범위 설정 | ||
|- | |- | ||
| style="text-align:center"|'''인증기준''' | | style="text-align:center" |'''인증기준''' | ||
|조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다. | |조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
* 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가? | *조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가? | ||
* 정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의‧책임자 승인 등 관련 근거를 기록・관리하고 있는가? | *정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의‧책임자 승인 등 관련 근거를 기록・관리하고 있는가? | ||
* 정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이 포함된 문서를 작성하여 관리하고 있는가? | *정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이 포함된 문서를 작성하여 관리하고 있는가? | ||
|} | |} | ||
== 세부 설명 == | ==세부 설명== | ||
==== 관리체계의 범위 설정 ==== | |||
조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를설정하여야 한다. | |||
*관리체계 범위에는 사업(서비스)와 관련된 임직원, 정보시스템, 정보, 시설 등 유·무형의 핵심자산을누락 없이 포함 | |||
*특히 정보보호 관리체계 의무대상자의 경우 법적 요구사항에 따른 정보통신서비스 및 관련 정보자산은 의무적으로 포함되도록 범위 설정 | |||
==== 범위 내 예외사항에 대한 근거 기록·관리 ==== | |||
정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의・책임자 승인 등 관련 근거를기록·관리하여야 한다. | |||
*정보보호 관리체계와 개인정보보호 관리체계의 범위가 상이한 경우에는 인증범위 내의 정보자산목록(개인정보, 시스템, 네트워크 등)을 정보보호 관리체계 및 개인정보보호 관리체계 관점에서명확하게 식별하여 정의 | |||
*인증범위에서 제외되는 서비스, 정보시스템 등에 대해서는 내부 협의 및 책임자 승인을 거친 후 그사유 및 근거에 대하여 기록하여 관리 | |||
==== 관리체계 범위 문서화 ==== | |||
정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무현황, 정보시스템 목록, 문서 목록 등)이 포함된 문서를 작성하여 관리하여야 한다. | |||
*주요 서비스 및 업무 현황(개인정보 처리 업무 현황 포함) | |||
*서비스 제공과 관련된 조직 현황(조직도 등) | |||
*정보보호 및 개인정보보호 조직 현황 | |||
*주요 설비 목록 | |||
*정보시스템 목록 및 네트워크 구성도 | |||
*정보자산, 개인정보 관련 자산식별 기준 및 자산현황 | |||
*정보보호 및 개인정보보호 시스템 목록 | |||
*서비스(시스템) 구성도 및 개인정보(수집, 이용, 제공, 저장, 관리, 파기) 처리 흐름 | |||
*문서 목록(예: 정책, 지침, 매뉴얼, 운영명세서 등) | |||
*정보보호 및 개인정보보호 관리체계 수립 방법 및 절차, 관련 법적 준거성 검토, 내부감사 | |||
*고객센터, IDC, IT 개발 및 운영 등 외주(위탁)업체 현황 등 | |||
==증거 자료== | |||
*정보보호 및 개인정보보호 관리체계 범위 정의서 | |||
*정보자산 및 개인정보 목록 | |||
*문서 목록 | |||
*서비스 흐름도 | |||
*개인정보 흐름도 | |||
*전사 조직도 | |||
*시스템 및 네트워크 구성도 | |||
==결함 사례== | |||
*정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 외주업체직원, PC, 테스트용 단말기 등이 관리체계 범위에서 누락된 경우 | |||
*정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 인증범위에 포함하지 않은 경우 | |||
*인증범위 내 조직 및 인력에 적용하고 있는 보안시스템(PC보안, 백신, 패치 등)을 인증범위에서 배제하고 있는 경우 | |||
*정보통신망법에 따른 정보보호 관리체계 인증 의무대상자임에도 불구하고 인터넷에 공개되어 있는 일부 웹사이트가 관리체계 범위에서 누락된 경우 | |||
==같이 보기== | |||
*[[정보보호 및 개인정보보호관리체계 인증]] | |||
*[[ISMS-P 인증 기준]] | |||
*[[ISMS-P 인증 기준 세부 점검 항목]] | |||
==참고 문헌== | |||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | |||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | |||
Latest revision as of 11:04, 11 April 2023
- 영역: 1.관리체계 수립 및 운영
- 분류: 1.1.관리체계 기반 마련
개요[edit | edit source]
| 항목 | 1.1.4.범위 설정 |
|---|---|
| 인증기준 | 조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다. |
| 주요 확인사항 |
|
세부 설명[edit | edit source]
관리체계의 범위 설정[edit | edit source]
조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를설정하여야 한다.
- 관리체계 범위에는 사업(서비스)와 관련된 임직원, 정보시스템, 정보, 시설 등 유·무형의 핵심자산을누락 없이 포함
- 특히 정보보호 관리체계 의무대상자의 경우 법적 요구사항에 따른 정보통신서비스 및 관련 정보자산은 의무적으로 포함되도록 범위 설정
범위 내 예외사항에 대한 근거 기록·관리[edit | edit source]
정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의・책임자 승인 등 관련 근거를기록·관리하여야 한다.
- 정보보호 관리체계와 개인정보보호 관리체계의 범위가 상이한 경우에는 인증범위 내의 정보자산목록(개인정보, 시스템, 네트워크 등)을 정보보호 관리체계 및 개인정보보호 관리체계 관점에서명확하게 식별하여 정의
- 인증범위에서 제외되는 서비스, 정보시스템 등에 대해서는 내부 협의 및 책임자 승인을 거친 후 그사유 및 근거에 대하여 기록하여 관리
관리체계 범위 문서화[edit | edit source]
정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무현황, 정보시스템 목록, 문서 목록 등)이 포함된 문서를 작성하여 관리하여야 한다.
- 주요 서비스 및 업무 현황(개인정보 처리 업무 현황 포함)
- 서비스 제공과 관련된 조직 현황(조직도 등)
- 정보보호 및 개인정보보호 조직 현황
- 주요 설비 목록
- 정보시스템 목록 및 네트워크 구성도
- 정보자산, 개인정보 관련 자산식별 기준 및 자산현황
- 정보보호 및 개인정보보호 시스템 목록
- 서비스(시스템) 구성도 및 개인정보(수집, 이용, 제공, 저장, 관리, 파기) 처리 흐름
- 문서 목록(예: 정책, 지침, 매뉴얼, 운영명세서 등)
- 정보보호 및 개인정보보호 관리체계 수립 방법 및 절차, 관련 법적 준거성 검토, 내부감사
- 고객센터, IDC, IT 개발 및 운영 등 외주(위탁)업체 현황 등
증거 자료[edit | edit source]
- 정보보호 및 개인정보보호 관리체계 범위 정의서
- 정보자산 및 개인정보 목록
- 문서 목록
- 서비스 흐름도
- 개인정보 흐름도
- 전사 조직도
- 시스템 및 네트워크 구성도
결함 사례[edit | edit source]
- 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 외주업체직원, PC, 테스트용 단말기 등이 관리체계 범위에서 누락된 경우
- 정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 인증범위에 포함하지 않은 경우
- 인증범위 내 조직 및 인력에 적용하고 있는 보안시스템(PC보안, 백신, 패치 등)을 인증범위에서 배제하고 있는 경우
- 정보통신망법에 따른 정보보호 관리체계 인증 의무대상자임에도 불구하고 인터넷에 공개되어 있는 일부 웹사이트가 관리체계 범위에서 누락된 경우
같이 보기[edit | edit source]
참고 문헌[edit | edit source]
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
