ISMS-P 인증심사 - (관리체계) 1.1.4 범위 설정

 

항목		인증기준	주요 확인사항
1.1.4	범위 설정	조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다.	조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가?
			정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의∙책임자 승인 등 관련 근거를 기록∙관리하고 있는가?
			정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이 포함된 문서를 작성하여 관리하고 있는가?

 

※ 강조표시(붉은색 + 굵게) 된 문구는 주요 키워드

 

인증범위 설정 예시

의무대상자 인증범위 기준 (인증제도안내서 32페이지)

 

각 영역별 인증범위 설정 예시

: 파란색 글씨는 ISMS / ISMS-P의 상이한 부분을 표현합니다.

	ISMS	ISMS-P
인증범위 (예시)
DMZ	*   영리 여부와 상관없이 정보통신망에 공개되어 정보통신망을 통해 정보를 제공하거나 정보의 제공을 매개하는 서비스 및 관련 서버는 모두 포함한다. · 서비스 예시 : 대표 홈페이지, 인터넷 쇼핑몰, 이용자 포털, 인터넷 채용사이트 등 · 서버 예시 : 웹서버, 모바일서버, WAS서버, API서버, 연계서버, 스트리밍서버, DNS서버 등 *   모바일 서비스가 존재하는 경우 해당 모바일 서비스 및 관련 서버도 모두 포함한다.	*  인증을 받고자 하는 서비스와 관련된 웹 사이트 및 관련 서버는 모두 포함한다.  · 웹사이트 예시 : 인터넷 포털사이트, 온라인 쇼핑몰사이트, 판매자사이트 등 · 서버 예시 : 웹서버, 모바일서버, WAS서버, API서버, 연계서버, 스트리밍서버, DNS서버 등 *   모바일서비스가 존재하는 경우 해당 모바일서비스 및 관련 서버도 모두 포함한다. *    대용량 메일발송서버, 모바일 앱 푸시서버 등 개인정보가 처리되는 서버는 모두 포함한다. *    정보통신망에 공개되어 있더라도 인증을 받고자 하는 서비스와 관련 없는 웹사이트 및 서버는 제외 가능하다.  ※ 예를 들어, 온라인 쇼핑몰서비스에 대하여 ISMS-P 인증을 받고자 하는 경우 인터넷 채용사이트 등 쇼핑몰 이용자의 개인정보 처리와 무관한 사이트는 제외 가능
네트워크 및 보안 시스템	*   정보통신서비스를 위한 인터넷 구간 및 서버 구간의 네트워크시스템과 보안시스템은 모두 포함한다. · 네트워크시스템 예시 : 라우터, 스위치(L2, L3, L4, L7 등), NMS 등 · 보안시스템 예시 : 방화벽, IPS/IDS, VPN, WAF(웹방화벽), DDoS 대응장비, ESM 등	*    인증을 받고자 하는 서비스를 위한 인터넷 구간 및 서버 구간의 네트워크시스템과 보안 시스템은 모두 포함한다. · 네트워크시스템 예시 : 라우터, 스위치(L2, L3, L4, L7 등), NMS 등 · 보안시스템 예시 : 방화벽, IPS/IDS, VPN, WAF(웹방화벽), DDoS대응장비, ESM 등
서버존	*   인증범위에 포함된 서비스와 관련된 서버 및 데이터베이스는 모두 포함한다. · 서버 예시 : WAS서버, API서버, 연계서버, 백업서버, 로그서버, LDAP서버 등 · 데이터베이스 예시 : 인터넷 회원DB, 온라인 구매DB, 온라인 채용DB 등 *   인증범위 내 서버 및 데이터베이스를 보호하기 위한 보안시스템도 모두 포함한다.  · 보안시스템 예시 : DB접근제어, 서버접근제어, SIEM, 통합계정관리(IM) 등
정보통신서비스 관리시스템	*  인증범위에 포함된 서비스의 직접적인 운영·관리를 위해 내부 사용자 등이 접속하여 사용하는 관리시스템, 백오피스시스템 등은 모두 포함한다.  · 관리시스템 예시   : 인터넷 회원관리시스템, 온라인 쇼핑몰 백오피스시스템, 모니터링시스템 (성능·용량 등) 등 *  해당 관리시스템과 관련된 웹서버, WAS서버, DB서버 등도 인증범위에 포함한다.	*  인증범위에 포함된 서비스의 직접적인 운영·관리를 위해 내부 사용자 등이 접속하여 사용하는 관리시스템, 백오피스시스템 등은 모두 포함한다.  · 관리시스템 예시   : 인터넷 회원관리시스템, 온라인 쇼핑몰 백오피스시스템, 모니터링시스템 (성능·용량 등) 등 *  해당 관리시스템과 관련된 웹서버, WAS서버, DB서버 등도 인증범위에 포함한다. *  인증범위에 포함된 서비스와 관련된 개인정보를 처리하는 정보시스템(개인정보처리 시스템)은 모두 포함한다.
개발 환경	*  인증범위에 포함된 서비스 및 어플리케이션 개발과 관련된 시스템 및 장비는 모두 포함한다. · 개발환경 예시 : 개발서버, 테스트서버, QA서버, 스테이징서버, 형상관리시스템, 개발DB, 테스트DB, 개발존 방화벽, 테스트데이터 변환시스템 등
업무 환경 (업무용 PC 등)	*  인증범위에 포함된 서비스를 운영, 관리, 개발하기 위한 조직 및 인력들이 사용하는 업무용 단말(PC, 스마트기기 등)은 인증 범위에 포함한다. *  IT운영자, 정보통신서비스 관리시스템의 관리자 및 사용자, 정보통신서비스 관련 개발자, 보안시스템 관리자 및 운영자 등이 관련 조직 및 인력에 해당한다. *   그 외 인력들이 사용하는 업무용 단말은 인증범위에서 제외한다.	*  인증범위에 포함된 서비스를 운영, 관리, 개발하기 위한 조직 및 인력들이 사용하는 업무용 단말(PC, 스마트기기 등)은 인증 범위에 포함한다. *  IT운영자, 정보통신서비스 관리시스템의 관리자 및 사용자, 정보통신서비스 관련 개발자, 보안시스템 관리자 및 운영자 등이 관련 조직 및 인력에 해당한다. *  인증범위에 포함된 서비스와 관련된 개인정보를 조회, 입력, 변경, 삭제, 저장, 출력 등 업무상 취급하는 인력(개인정보취급자) 및 해당 인력이 사용하는 업무용 단말은 인증범위에 포함한다. *   그 외 인력들이 사용하는 업무용 단말은 인증범위에서 제외한다.
내부용 네트워크 및 보안 시스템	* 인증범위에 포함된 조직 및 인력이 인터넷 사용, 원격 접속, 유·무선 네트워크 접속 등을 위해 필요한 네트워크 장비 및 보안시스템은 인증 범위에 포함한다. · 네트워크시스템 예시  : 인터넷 라우터, 백본 스위치, L2 스위치 등 · 보안시스템 예시  : 방화벽, 차세대방화벽, IDS/IPS, WIPS, APT대응시스템, 스팸차단, 바이러스월, SSL VPN, IPSec VPN, NAC 등 ※ 별다른 보안설정 없이 더미(Dummy) 역할을 하는 스위치는 인증범위에서 제외 가능하다. *  인증범위에 포함된 조직 및 인력에 대해 보안통제 등의 목적으로 적용된 정보보호 시스템은 인증범위에 포함한다. · 보안시스템 예시 : DRM, DLP, 백신, PC보안, PMS(패치관리시스템), 보안USB 등 ※ S/W형태의 보안솔루션인 경우, 관리용 서버 포함 *  인터넷 망분리가 적용된 경우, 물리적 또는 논리적 망분리와 관련된 시스템은 인증범위에 포함한다.  · 망분리 관련 시스템 예시   : 물리적 폐쇄망 구성 장비, VDI 서버, 망연계 시스템 등 *   인증범위 내에 자체적으로 보유한 보호구역(전산실, 운영실 등)이 존재하는 경우 이에 대한 물리적·환경적 보호를 위한 보호설비는 인증범위에 포함한다. · 보호설비 예시 : 출입통제시스템, DVR/NVR, 항온항습기, 소화설비 등  ※ 단, 자체적으로 보유한 시설 및 설비가 없는 경우 제외될 수 있음
내부 업무용 인프라	N/A	*  인증범위에 포함된 서비스와 직접적인 관련이 없으면서 인증범위 내 개인정보의 처리 없이 내부업무 처리가 주목적인 정보시스템은 인증범위에서 제외 가능하다  : 그룹웨어, ERP 등 *  정보통신서비스의 데이터베이스를 직접 이용하지 않고 복제 등의 방법으로 데이터베이스를 구성한 후 이를 분석, 마케팅 등의 용도로 사용하는 정보시스템의 경우 인증범위 내 개인정보를 처리하므로 인증범위에 포함한다. : DW, CRM, 빅데이터분석시스템 등 *  인터넷에 공개되어 있지 않으면서 오프라인 영역의 비즈니스 및 업무를 위한 정보시스템도 인증범위 내 개인정보를 처리하는 개인정보처리시스템에 해당될 경우 인증범위에 포함한다. : 매장관리시스템, 물류시스템 등
고객센터	N/A	*   인증 범위에 포함된 서비스와 관련된 이용자 상담, 문의 대응 등을 위해 고객센터를 운영하는 경우 고객센터 관련 자산 및 시스템은 인증범위에 포함한다. : 교환기, CTI, IVR, 녹취시스템, 상담시스템, 팩스시스템, 상담원 PC 등
물류 센터, 영엄점, 개인정보 수탁사 등	N/A	*  오프라인 영역에서의 비즈니스 및 업무를 위한 물류센터, 영업점, 대리점, 매장 등이 인증범위 내 개인정보를 취급할 경우 인증범위에 포함한다. : 관련 유·무선 네트워크 장비, 물리적 보안장비(CCTV 등), POS 시스템 및 단말기, 업무용 PC 등 *  개인정보 처리업무를 위탁받은 수탁사의 경우 인증범위에 포함한다.

 

 

증적 필요 사항 예시

• 정보보호 및 개인정보보호 관리체계 범위 정의서
• 정보자산 및 개인정보 목록
• 문서 목록
• 서비스 흐름도
• 개인정보 흐름도
• 전사 조직도
• 시스템 및 네트워크 구성도

 

결함사례

• 사례 1
   : 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 외주업체직원, PC, 
  테스트용 단말기 등이 관리체계 범위에서 누락된 경우
• 사례 2
  : 정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사결정자 
  역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 인증범위에 포함하지 않은 경우
• 사례 3
  : 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 개발자 PC, 테스트용 
  단말기, 개발조직 등이 관리체계 범위에서 누락된 경우