태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

1.1.4 범위 설정


조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화 하여야 한다.


● 주요 확인 사항


  • 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가?
  • 정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의·책임자 승인 등 관련 근거를 기록·관리하고 있는가?
  • 정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이 포함된 문서를 작성하여 관리하고 있는가?


● 세부 설명


  • 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하여야 한다.
    • 관리체계 범위에는 사업(서비스)와 관련된 임직원, 정보시스템, 정보, 시설 등 유·무형의 핵심자산을 누락 없이 포함
    • 특히 정보보호 관리체계 의무대상자의 경우 법적 요구사항에 따른 정보통신서비스 및 관련 정보자산은 의무적으로 포함되도록 범위 설정
  • 정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의·책임자 승인 등 관련 근거를 기록·관리하여야 한다.
    • 정보보호 관리체계와 개인정보보호 관리체계의 범위가 상이한 경우에는 인증범위 내의 정보자산 목록(개인정보, 시스템, 네트워크 등)을 정보보호 관리체계 및 개인정보보호 관리체계 관점에서 명확하게 식별하여 정의
    • 인증범위에서 제외되는 서비스, 정보시스템 등에 대해서는 내부 협의 및 책임자 승인을 거친 후 그 사유 및 근거에 대해 기록하여 관리
  • 정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서 목록 등)이 포함된 문서를 작성하여 관리하여야 한다.
    • 주요 서비스 및 업무 현황(개인정보 처리 업무 현황 포함)
    • 서비스 제공과 관련된 조직 현황(조직도 등)
    • 정보보호 및 개인정보보호 조직 현황
    • 주요 설비 목록
    • 정보시스템 목록 및 네트워크 구성도
    • 정보자산, 개인정보 관련 자산식별 기준 및 자산현황
    • 정보보호 및 개인정보보호 시스템 목록
    • 서비스(시스템) 구성도 및 개인정보(수집, 이용, 제공, 저장, 관리, 파기) 처리 흐름도
    • 문서 목록 (예:정책, 지침, 매뉴얼, 운영명세서 등)
    • 정보보호 및 개인정보보호 관리체계 수립 방법 및 절차, 관련 법적 준거성 검토 내역, 내부감사 
    • 고객센터, IDC, IT 개발 및 운영 등 외주(위탁)업체 현황 등


● 결함사례


  • 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 외주업체직원, PC, 테스트 용 단말기 등이 관리체계 범위에서 누락됨
  • 정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사 결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 인증범위에 포함하지 않은 경우
  • 인증범위 내 조직 및 인력에 적용하고 있는 보안시스템(PC보안, 백신, 패치관리시스템 등)을 인증범위에서 배제하고 있는 경우
  • 정보통신망법에 따른 정보보호 관리체계 의무대상자 임에도 불구하고 인터넷에 공개되어 있는 일부 웹사이트가 관리체계 범위에서 누락된 경우


● taeho's notes


  • 기업의 (개인)정보보호관리체계 범위는 ISMS-P인증범위 보다 크거나 같아야 한다. 
  • 정보보호전문업체의 (정보보호)시스템을 임대하여 사용하는 경우에도 자산의 범위에 포함시켜 관리하여야 한다. 정보보호관리체계에서 자산은 "소유"의 개념이 아니다. 임대 자산의 경우에도 패치관리, 취약점 점검 등 소유 자산과 동등한 정보보호수준을 유지하여야 한다.


#isms-p인증기준 #범위설정