ISMS-P 인증 범위

From IT Wiki
Revision as of 09:58, 11 March 2022 by 심사보 (talk | contribs) (새 문서: {| class="wikitable" ! colspan="5" |ISMS-P 인증범위 |- |정보통신서비스등을 위한 '''조직 및 인력''' |정보통신서비스등의 운영을 위한 '''물리적 장...)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
ISMS-P 인증범위
정보통신서비스등을 위한

조직 및 인력

정보통신서비스등의 운영을 위한

물리적 장소

정보통신서비스등의 운영을 위한

설비

개인정보 처리를 위한

조직 및 인력

개인정보 처리를 위한

물리적 장소

ISMS 인증 범위
  • 일반적으로 ISMS 인증범위는 정보통신서비스를 기준으로 관련된 정보시스템, 장소, 조직 및 인력을 포함
  • ISMS-P 인증범위는 이에 더하여 해당 서비스에서 처리되는 개인정보의 흐름에 따라 해당 개인정보를 처리하는 정보시스템, 조직 및 인력, 물리적 장소 등을 모두 포함해야 함
  • 이에 따라 ISMS 인증 의무대상자가 ISMS 의무인증 범위를 포함하여 ISMS-P 인증을 신청하는 경우 ISMS-P 단일심사로 진행 가능
  • ISMS 의무인증 범위에 대해서는 ISMS 인증을 신청하고 일부 서비스에 대해서는 개인정보 영역을 포함한 ISMS-P 인증을 신청하여 2개의 인증심사 동시에 진행하는 것도 가능

500x500픽셀

의무대상자 인증범위 기준[edit | edit source]

인증 의무대상자인 경우, 인증범위는 신청기관의 정보통신서비스를 모두 포함하여 설정해야 한다.

  • 정보통신서비스란 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 서비스를 말한다.
  • 인증범위는 신청기관이 제공하는 정보통신서비스를 기준으로, 해당 서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직 등을 모두 포함한다.
  • 해당 서비스의 직접적인 운영 및 관리를 위한 백오피스 시스템은 인증범위에 포함되며, 해당 서비스와 관련이 없더라도 그 서비스의 핵심정보자산에 접근 가능하다면 포함한다.
  • ISMS 의무인증범위 내에 있는 서비스, 자산, 조직(인력)을 보호하기 위한 보안시스템은 모두 포함한다.
  • 정보통신서비스와 직접적인 관련성이 낮은 전사적자원관리시스템(ERP), 분석용데이터베이스 (DW), 그룹웨어 등 기업 내부 시스템, 영업/마케팅 조직은 일반적으로 인증범위에서 제외한다.

서비스 유형별 인증범위[edit | edit source]

인증범위를 설정하기 위해서는 신청기관이 제공하는 정보통신서비스를 분류하고, 해당 서비스를 위한 자산 및 조직을 모두 식별해야 한다.

  • 인증범위 대상으로 식별된 모든 자산 및 조직에 대해 「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」 제23조에 따른 [별표 7] ‘가. 관리체계 수립 및 운영’과 ‘나. 보호대책 요구사항’을 준수하여 보호조치를 취해야 한다.

정보통신망서비스제공자(ISP) 인증 범위

  • 서비스: 전국망(서울특별시 및 모든 광역시)을 통한 정보통신망 서비스
  • 설비: IP기반의 인터넷 연결을 위한 정보통신설비 및 관련 서비스를 제공하기 위한 정보통신설비

집적정보통신시설(IDC)사업자 인증 범위

  • 서비스: 정보통신서비스를 제공하는 고객의 위탁을 받아 컴퓨터 장치 및 정보시스템을 구성하는 일정한 공간에 집중하여 시설을 운영·관리하는 서비스(공간 임대서비스, 서버호스팅, 네트워크 서비스 등)
  • 설비: 집적정보통신시설의 관리운영 용도로 설치된 컴퓨터 장치 및 네트워크 장비 등의 정보통신설비

연간 매출액, 이용자 수 등이 일정 기준에 해당하는 자 인증 범위

  • 서비스: 불특정 다수의 이용자가 접근 가능한 모든 정보통신서비스
  • 설비: 해당 정보통신서비스의 제공 또는 운영을 위해 필요한 정보통신설비

정보통신서비스 부문 매출액 또는 일일평균 이용자 수 요건에 해당하여 의무대상으로 포함된 경우는 정보통신서비스가 외부 정보통신망을 통해 접근 가능한지의 여부에 따른 의무 심사범위를 구분할 수 있다.

인터넷 공개여부 설명 의무 범위
공개
  • 외부 정보통신망을 통해 불특정 다수 또는 권한을 가지고 있는 자가 직접적으로 접근이 가능한 서비스
  • 인증 의무대상인 신청기관이 다수의 정보통신서비스를 운영하는 경우, 개별 정보통신서비스가 인증 의무대상에 포함되지 않아도 모두 인증범위에 포함
  • IP주소 제한을 통해 특정 위치 및 단말에서만 접속이 가능하도록 접근제어가 되어 있다 하더라도, 외부 정보통신망을 통해 직접 연결이 되어 있다면 인증범위에 포함
  • 웹기반 서비스 뿐만 아니라, 모바일 기반 서비스도 동일한 기준이 적용됨
미공개
  • 외부 정보통신망을 통해 직접 접속이 불가능한 내부용 서비스
X

영리를 목적으로 하지 않더라도 정보통신망을 통해 정보를 제공하거나 정보의 제공을 매개하는 서비스는 모두 인증범위에 포함한다.

유형 설명 예시
대표홈페이지 기업(기관)의 대표홈페이지
  • 단순 홈페이지 포함
채용사이트 인터넷을 통하여 채용공고, 입사지원 등 채용 절차를 수행하는 시스템
  • 온라인 채용시스템
비영리 사이트 비영리 목적으로 운영하는 인터넷 사이트
  • 공익 사이트(자원봉사 등)
  • 학교 홈페이지(포털)
기타 임직원 복지를 위한 인터넷 시스템
  • 임직원 복지몰
기타 대외 서비스 및 업무처리를 위해 인터넷에 공개된 시스템
  • 인터넷 방문예약
  • 인터넷 신문고 등