ISMS-P 인증 범위
From CS Wiki
ISMS-P 인증범위 | ||||
---|---|---|---|---|
정보통신서비스등을 위한
조직 및 인력 |
정보통신서비스등의 운영을 위한
물리적 장소 |
정보통신서비스등의 운영을 위한
설비 |
개인정보 처리를 위한
조직 및 인력 |
개인정보 처리를 위한
물리적 장소 |
ISMS 인증 범위 |
- 일반적으로 ISMS 인증범위는 정보통신서비스를 기준으로 관련된 정보시스템, 장소, 조직 및 인력을 포함
- ISMS-P 인증범위는 이에 더하여 해당 서비스에서 처리되는 개인정보의 흐름에 따라 해당 개인정보를 처리하는 정보시스템, 조직 및 인력, 물리적 장소 등을 모두 포함해야 함
- 이에 따라 ISMS 인증 의무대상자가 ISMS 의무인증 범위를 포함하여 ISMS-P 인증을 신청하는 경우 ISMS-P 단일심사로 진행 가능
- ISMS 의무인증 범위에 대해서는 ISMS 인증을 신청하고 일부 서비스에 대해서는 개인정보 영역을 포함한 ISMS-P 인증을 신청하여 2개의 인증심사 동시에 진행하는 것도 가능
의무대상자 인증범위 기준[edit | edit source]
인증 의무대상자인 경우, 인증범위는 신청기관의 정보통신서비스를 모두 포함하여 설정해야 한다.
- 정보통신서비스란 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 서비스를 말한다.
- 인증범위는 신청기관이 제공하는 정보통신서비스를 기준으로, 해당 서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직 등을 모두 포함한다.
- 해당 서비스의 직접적인 운영 및 관리를 위한 백오피스 시스템은 인증범위에 포함되며, 해당 서비스와 관련이 없더라도 그 서비스의 핵심정보자산에 접근 가능하다면 포함한다.
- ISMS 의무인증범위 내에 있는 서비스, 자산, 조직(인력)을 보호하기 위한 보안시스템은 모두 포함한다.
- 정보통신서비스와 직접적인 관련성이 낮은 전사적자원관리시스템(ERP), 분석용데이터베이스 (DW), 그룹웨어 등 기업 내부 시스템, 영업/마케팅 조직은 일반적으로 인증범위에서 제외한다.
서비스 유형별 인증범위[edit | edit source]
인증범위를 설정하기 위해서는 신청기관이 제공하는 정보통신서비스를 분류하고, 해당 서비스를 위한 자산 및 조직을 모두 식별해야 한다.
- 인증범위 대상으로 식별된 모든 자산 및 조직에 대해 「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」 제23조에 따른 [별표 7] ‘가. 관리체계 수립 및 운영’과 ‘나. 보호대책 요구사항’을 준수하여 보호조치를 취해야 한다.
정보통신망서비스제공자(ISP) 인증 범위
- 서비스: 전국망(서울특별시 및 모든 광역시)을 통한 정보통신망 서비스
- 설비: IP기반의 인터넷 연결을 위한 정보통신설비 및 관련 서비스를 제공하기 위한 정보통신설비
집적정보통신시설(IDC)사업자 인증 범위
- 서비스: 정보통신서비스를 제공하는 고객의 위탁을 받아 컴퓨터 장치 및 정보시스템을 구성하는 일정한 공간에 집중하여 시설을 운영·관리하는 서비스(공간 임대서비스, 서버호스팅, 네트워크 서비스 등)
- 설비: 집적정보통신시설의 관리운영 용도로 설치된 컴퓨터 장치 및 네트워크 장비 등의 정보통신설비
연간 매출액, 이용자 수 등이 일정 기준에 해당하는 자 인증 범위
- 서비스: 불특정 다수의 이용자가 접근 가능한 모든 정보통신서비스
- 설비: 해당 정보통신서비스의 제공 또는 운영을 위해 필요한 정보통신설비
정보통신서비스 부문 매출액 또는 일일평균 이용자 수 요건에 해당하여 의무대상으로 포함된 경우는 정보통신서비스가 외부 정보통신망을 통해 접근 가능한지의 여부에 따른 의무 심사범위를 구분할 수 있다.
인터넷 공개여부 | 설명 | 의무 범위 |
---|---|---|
공개 |
|
○ |
미공개 |
|
X |
영리를 목적으로 하지 않더라도 정보통신망을 통해 정보를 제공하거나 정보의 제공을 매개하는 서비스는 모두 인증범위에 포함한다.
유형 | 설명 | 예시 |
---|---|---|
대표홈페이지 | 기업(기관)의 대표홈페이지 |
|
채용사이트 | 인터넷을 통하여 채용공고, 입사지원 등 채용 절차를 수행하는 시스템 |
|
비영리 사이트 | 비영리 목적으로 운영하는 인터넷 사이트 |
|
기타 | 임직원 복지를 위한 인터넷 시스템 |
|
기타 대외 서비스 및 업무처리를 위해 인터넷에 공개된 시스템 |
|