ISMS(정보보호관리체계) 인증 기준 1.1.4 범위 설정

1. 관리체계 수립 및 운영 > 1.1 관리체계 기반 마련 > 1.1.4 범위 설정

항목		상세내용
1.1.4	범위 설정	조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다.
주요 확인사항		ㆍ조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가? ㆍ정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의ㆍ책임자 승인 등 관련 근거를 기록ㆍ관리하고 있는가? ㆍ정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서 목록 등)이 포함된 문서를 작성하여 관리하고 있는가?
관련 법규

 

● 중요사안

- 정보보호 및 개인정보보호 관리체계 범위에는 사업(서비스)과 관련된 임직원, 정보시스템, 정보, 시설 등 유ㆍ무형의 핵심자산이 누락 없이 포함되어야 함.

- 정보보호 및 개인정보보호 관리체계의 범위에서 제외되는 경우에는 타당한 제외 사유, 관련자 협의 및 승인 등의 관련 근거 등을 마련하여야 함.

- 정보보호 및 개인정보보호 관리체계의 범위 내 서비스, 업무, 조직, 정보시스템, 설비 등을 명확하게 정의하여 정보보호 및 개인정보보호 관리체계 범위를 충분하게 설명하여야 함.

- 정보보호 및 개인정보보호 관리체계 범위가 특정 영역에만 해당되는 경우, 범위 영역 경계를 식별하여 문서화하고 범위가 일부일 경우 전체사업 대비 해당 범위를 명확하게 식별할 수 있도록 하여야 함.

 

● 점검 체크리스트

- 회사 서비스와 관련된 내부 임직원(계약직 포함)을 누락없이 식별하고 있는가?

- 회사 서비스와 관련된 정보시스템, 시설, 기타 유ㆍ무형 자산을 식별하고 있는가?

- 회사 서비스를 구분하고 서비스별 연계, 개인정보 흐름을 식별하고 있는가?

- 회사 서비스와 관련된 인력, 자산 등을 식별하는 기준 및 절차를 내부 정책문서에 명시하고 있는가?

 

● 기록(증적자료)

- 전사 조직도, 정보호호 및 개인정보보호 전담조직도

- 유ㆍ무형 자산리스트

- 시스템 및 네트워크 구성도

- 개인정보 흐름표, 흐름도 / 서비스 절차도

- 내부 인력, 자산 등을 식별하는 기준 및 절차가 명시된 내부 정책문서

 

● 주요 결함사례

- 서비스 관련 인력, 자산 등을 식별하는 기준이 없는 경우

- 서비스 관련 인력, 자산 등을 식별한 문서가 없는 경우

- 서비스 관련 인력, 자산 등이 정보보호 관리체계 범위에서 누락된 경우