ISMS-P 인증 기준 1.1.4.범위 설정: Difference between revisions

From IT Wiki
(Imported from text file)
No edit summary
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
 
* '''분류''': [[ISMS-P 인증 기준 1.1.관리체계 기반 마련|1.1.관리체계 기반 마련]]
*'''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 1.1.관리체계 기반 마련|1.1.관리체계 기반 마련]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!1.1.4.범위 설정  
!1.1.4.범위 설정
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다.
|조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가?
*조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가?
* 정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의‧책임자 승인 등 관련 근거를 기록・관리하고 있는가?
*정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의‧책임자 승인 등 관련 근거를 기록・관리하고 있는가?
* 정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이 포함된 문서를 작성하여 관리하고 있는가?
*정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이 포함된 문서를 작성하여 관리하고 있는가?
|}
|}
== 세부 설명 ==
==세부 설명==
 
==== 관리체계의 범위 설정 ====
조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를설정하여야 한다.
 
*관리체계 범위에는 사업(서비스)와 관련된 임직원, 정보시스템, 정보, 시설 등 유·무형의 핵심자산을누락 없이 포함
*특히 정보보호 관리체계 의무대상자의 경우 법적 요구사항에 따른 정보통신서비스 및 관련 정보자산은의무적으로 포함되도록 범위 설정
 
==== 범위 내 예외사항에 대한 근거 기록·관리 ====
정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의・책임자 승인 등 관련 근거를기록·관리하여야 한다.
 
*정보보호 관리체계와 개인정보보호 관리체계의 범위가 상이한 경우에는 인증범위 내의 정보자산목록(개인정보, 시스템, 네트워크 등)을 정보보호 관리체계 및 개인정보보호 관리체계 관점에서명확하게 식별하여 정의
*인증범위에서 제외되는 서비스, 정보시스템 등에 대해서는 내부 협의 및 책임자 승인을 거친 후 그사유 및 근거에 대하여 기록하여 관리
 
==== 관리체계 범위 문서화 ====
정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무현황, 정보시스템 목록, 문서 목록 등)이 포함된 문서를 작성하여 관리하여야 한다.
 
*주요 서비스 및 업무 현황(개인정보 처리 업무 현황 포함)
*서비스 제공과 관련된 조직 현황(조직도 등)
*정보보호 및 개인정보보호 조직 현황
*주요 설비 목록
*정보시스템 목록 및 네트워크 구성도
*정보자산, 개인정보 관련 자산식별 기준 및 자산현황
*정보보호 및 개인정보보호 시스템 목록
*서비스(시스템) 구성도 및 개인정보(수집, 이용, 제공, 저장, 관리, 파기) 처리 흐름
*문서 목록(예: 정책, 지침, 매뉴얼, 운영명세서 등)
*정보보호 및 개인정보보호 관리체계 수립 방법 및 절차, 관련 법적 준거성 검토, 내부감사
*고객센터, IDC, IT 개발 및 운영 등 외주(위탁)업체 현황 등
 
==증거 자료==
 
*정보보호 및 개인정보보호 관리체계 범위 정의서
*정보자산 및 개인정보 목록
*문서 목록
*서비스 흐름도
*개인정보 흐름도
*전사 조직도
*시스템 및 네트워크 구성도
 
==결함 사례==
 
*정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 외주업체직원, PC, 테스트용 단말기 등이 관리체계 범위에서 누락된 경우
*정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 인증범위에 포함하지 않은 경우
*인증범위 내 조직 및 인력에 적용하고 있는 보안시스템(PC보안, 백신, 패치 등)을 인증범위에서 배제하고 있는 경우
*정보통신망법에 따른 정보보호 관리체계 인증 의무대상자임에도 불구하고 인터넷에 공개되어 있는 일부 웹사이트가 관리체계 범위에서 누락된 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를설정하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
** 관리체계 범위에는 사업(서비스)와 관련된 임직원, 정보시스템, 정보, 시설 등 유·무형의 핵심자산을누락 없이 포함+I50
** 특히 정보보호 관리체계 의무대상자의 경우 법적 요구사항에 따른 정보통신서비스 및 관련 정보자산은의무적으로 포함되도록 범위 설정
* 정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의・책임자 승인 등 관련 근거를기록·관리하여야 한다.
** 정보보호 관리체계와 개인정보보호 관리체계의 범위가 상이한 경우에는 인증범위 내의 정보자산목록(개인정보, 시스템, 네트워크 등)을 정보보호 관리체계 및 개인정보보호 관리체계 관점에서명확하게 식별하여 정의
** 인증범위에서 제외되는 서비스, 정보시스템 등에 대해서는 내부 협의 및 책임자 승인을 거친 후 그사유 및 근거에 대하여 기록하여 관리
* 정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무현황, 정보시스템 목록, 문서 목록 등)이 포함된 문서를 작성하여 관리하여야 한다.
** 주요 서비스 및 업무 현황(개인정보 처리 업무 현황 포함)
** 서비스 제공과 관련된 조직 현황(조직도 등)
** 정보보호 및 개인정보보호 조직 현황
** 주요 설비 목록
** 정보시스템 목록 및 네트워크 구성도
** 정보자산, 개인정보 관련 자산식별 기준 및 자산현황
** 정보보호 및 개인정보보호 시스템 목록
** 서비스(시스템) 구성도 및 개인정보(수집, 이용, 제공, 저장, 관리, 파기) 처리 흐름
** 문서 목록(예 : 정책, 지침, 매뉴얼, 운영명세서 등)
** 정보보호 및 개인정보보호 관리체계 수립 방법 및 절차, 관련 법적 준거성 검토, 내부감사
** 고객센터, IDC, IT 개발 및 운영 등 외주(위탁)업체 현황 등
== 증거 자료 ==
* 정보보호 및 개인정보보호 관리체계 범위 정의서
* 정보자산 및 개인정보 목록
* 문서 목록
* 서비스 흐름도
* 개인정보 흐름도
* 전사 조직도
* 시스템 및 네트워크 구성도
== 결함 사례 ==
* 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 외주업체직원, PC, 테스트용 단말기 등이 관리체계 범위에서 누락된 경우
* 정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 인증범위에 포함하지 않은 경우
* 인증범위 내 조직 및 인력에 적용하고 있는 보안시스템(PC보안, 백신, 패치 등)을 인증범위에서 배제하고 있는 경우
* 정보통신망법에 따른 정보보호 관리체계 인증 의무대상자임에도 불구하고 인터넷에 공개되어 있는 일부 웹사이트가 관리체계 범위에서 누락된 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Revision as of 17:45, 8 July 2022


개요

항목 1.1.4.범위 설정
인증기준 조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다.
주요 확인사항
  • 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가?
  • 정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의‧책임자 승인 등 관련 근거를 기록・관리하고 있는가?
  • 정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이 포함된 문서를 작성하여 관리하고 있는가?

세부 설명

관리체계의 범위 설정

조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를설정하여야 한다.

  • 관리체계 범위에는 사업(서비스)와 관련된 임직원, 정보시스템, 정보, 시설 등 유·무형의 핵심자산을누락 없이 포함
  • 특히 정보보호 관리체계 의무대상자의 경우 법적 요구사항에 따른 정보통신서비스 및 관련 정보자산은의무적으로 포함되도록 범위 설정

범위 내 예외사항에 대한 근거 기록·관리

정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의・책임자 승인 등 관련 근거를기록·관리하여야 한다.

  • 정보보호 관리체계와 개인정보보호 관리체계의 범위가 상이한 경우에는 인증범위 내의 정보자산목록(개인정보, 시스템, 네트워크 등)을 정보보호 관리체계 및 개인정보보호 관리체계 관점에서명확하게 식별하여 정의
  • 인증범위에서 제외되는 서비스, 정보시스템 등에 대해서는 내부 협의 및 책임자 승인을 거친 후 그사유 및 근거에 대하여 기록하여 관리

관리체계 범위 문서화

정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무현황, 정보시스템 목록, 문서 목록 등)이 포함된 문서를 작성하여 관리하여야 한다.

  • 주요 서비스 및 업무 현황(개인정보 처리 업무 현황 포함)
  • 서비스 제공과 관련된 조직 현황(조직도 등)
  • 정보보호 및 개인정보보호 조직 현황
  • 주요 설비 목록
  • 정보시스템 목록 및 네트워크 구성도
  • 정보자산, 개인정보 관련 자산식별 기준 및 자산현황
  • 정보보호 및 개인정보보호 시스템 목록
  • 서비스(시스템) 구성도 및 개인정보(수집, 이용, 제공, 저장, 관리, 파기) 처리 흐름
  • 문서 목록(예: 정책, 지침, 매뉴얼, 운영명세서 등)
  • 정보보호 및 개인정보보호 관리체계 수립 방법 및 절차, 관련 법적 준거성 검토, 내부감사
  • 고객센터, IDC, IT 개발 및 운영 등 외주(위탁)업체 현황 등

증거 자료

  • 정보보호 및 개인정보보호 관리체계 범위 정의서
  • 정보자산 및 개인정보 목록
  • 문서 목록
  • 서비스 흐름도
  • 개인정보 흐름도
  • 전사 조직도
  • 시스템 및 네트워크 구성도

결함 사례

  • 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 외주업체직원, PC, 테스트용 단말기 등이 관리체계 범위에서 누락된 경우
  • 정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 인증범위에 포함하지 않은 경우
  • 인증범위 내 조직 및 인력에 적용하고 있는 보안시스템(PC보안, 백신, 패치 등)을 인증범위에서 배제하고 있는 경우
  • 정보통신망법에 따른 정보보호 관리체계 인증 의무대상자임에도 불구하고 인터넷에 공개되어 있는 일부 웹사이트가 관리체계 범위에서 누락된 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)