2.ISMS-P 인증대상 및 범위 / ISMS의 인증범위

- ISMS 인증범위: 정보통신서비스를 기준으로 관련된 정보시스템, 장소, 조직 및 인력을 포함하게 된다.

 

- ISMS-P: ISMS에 더하여 해당 서비스에서 처리되는 개인정보의 흐름에 따라 해당 개인정보를 처리하는 정보시스템, 조직 및 인력, 물리적 장소 등을 모두 포함하여야 한다.

 

- 이에 따라 ISMS 인증 의무대상자가 ISMS 의무인증 범위를 포함하여 ISMS-P 인증을 신청하는 경우 ISMS-P 단일심사로 진행 가능하며 또한 ISMS 의무인증 범위에 대해서는 ISMS 인증을 신청하고 일부 서비스에 대해서는 개인정보 영역을 포함한 ISMS-P 인증을 신청하여 2개의 심사를 동시에 진행하는 것도 가능하다.

 

1. 의무대상자 인증범위 기준

- 인증 의무대상자인 경우, 인증범위는 신청기관의 정보통신서비스를 모두 포함하여 설정해야 한다.

- 인증범위는 신청기관이 제공하는 정보통신서비스를 기준으로, 해당 서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직 등을 모두 포함하다.

- 정보통신서비스와 직접적인 관련성이 낮은 전사적자원관리시스템(ERP), 분석용데이터베이스(DW), 그룹웨어 등 기업 내부 시스템, 영업/마케팅 조직은 일반적으로 인증범위에서 제외한다.

 

2 정보통신서비스 매출액·이용자 수 기준 ISMS 의무대상자 인증범위 설정

영역	설명
DMZ	- 영리 여부와 상관없이 정보통신망에 공개되어 정보통신망을 통해 정보를 제공하거나 정보의 제공을 매개하는 서비스 및 관련 서버는 모두 포함 - 모바일 서비스가 존재하는 경우 해당 모바일 서비스 및 관련 서버도 모두 포함
네트워크 및 보안 시스템	- 정보통신서비스를 위한 인터넷 구간 및 서버 구간의 네트워크시스템과 보안시스템은 모두 포함
서버존	- 인증범위에 포함된 서비스와 관련된 서버 및 데이터베이스는 모두 포함 - 인증범위 내 서버 및 데이터베이스를 보호하기 위한 보안시스템도 모두 포함
정보통신서비스 관리시스템	- 인증범위에 포함된 서비스의 직접적인 운영·관리를 위해 내부 사용자 등이 접속하여 사용하는 관리시스템, 백오피스시스템 등은 모두 포함 - 해당 관리시스템과 관련된 웹서버, WAS서버, DB서버 등도 인증범위에 포함
개발 환경	- 인증범위에 포함된 서비스 및 어플리케이션 개발과 관련된 시스템 및 장비는 모두 포함
업무 환경 (업무용 PC 등)	- 인증범위에 포함된 서비스를 운영, 관리, 개발하기 위한 조직 및 인력들이 사용하는 업무용 단말 (PC, 스마트기기 등)은 인증 범위에 포함 - IT운영자, 정보통신서비스 관리시스템의 관리자 및 사용자, 정보통신서비스 관련 개발자, 보안 시스템 관리자 및 운영자 등이 관련 조직 및 인력에 해당됨 - 그 외 인력들이 사용하는 업무용 단말은 인증범위에서 제외됨
내부용 네트워크 및 보안 시스템	- 인증범위에 포함된 조직 및 인력이 인터넷 사용, 원격 접속, 유·무선 네트워크 접속 등을 위해 필요한 네트워크 장비 및 보안시스템은 인증 범위에 포함 - 인증범위에 포함된 조직 및 인력에 대대 보안통제 등의 목적으로 적용된 정보보호 시스템은 인증범위에 포함 - 인터넷 망분리가 적용된 경우, 물리적 또는 논리적 망분리와 관련된 시스템은 인증범위에 포함 - 인증범위 내에 자체적으로 보유한 보호구역(전산실, 운영실 등)이 존재하는 경우 이에 대한 물리적· 환경적 보호를 위한 보호설비는 인증범위에 포함