ISMS-P/인증제도
2.ISMS-P 인증대상 및 범위 / ISMS-P의 인증범위
kwpark0717
2025. 3. 13. 19:48
1. ISMS-P 인증범위 설정 시 고려사항
- 개인정보 처리단계별 요구사항’을 포함하는 ISMS-P 인증은 의무사항이 아니므로, 신청기관이 자율적으로 인증을 받고자 하는 서비스를 지정하여 인증을 신청할 수 있다.
- 다만, ISMS 인증 의무대상자가 ISMS-P 인증으로 대체하고자 하는 경우 ISMS-P 인증범위에는 ISMS 인증범위를 반드시 모두 포함하여야 한다.
2. ISMS-P 인증범위 설정
| 영역 | 설명 |
| DMZ | - 인증을 받고자 하는 서비스와 관련된 웹 사이트 및 관련 서버는 모두 포함 - 모바일서비스가 존재하는 경우 해당 모바일서비스 및 관련 서버도 모두 포함 - 대용량 메일발송서버, 모바일 앱 푸시서버 등 개인정보가 처리되는 서버는 모두 포함 - 정보통신망에 공개되어 있더라도 인증을 받고자 하는 서비스와 관련 없는 웹사이트 및 서버는 제외 가능 |
| 네트워크 및 보안 시스템 | - 인증을 받고자 하는 서비스를 위한 인터넷 구간 및 서버 구간의 네트워크시스템과 보안시스템은 모두 포함 |
| 서버존 | - 인증범위에 포함된 서비스와 관련된 서버 및 데이터베이스는 모두 포함 - 인증범위 내 서버 및 데이터베이스를 보호하기 위한 보안시스템도 모두 포함 |
| 정보통신 서비스 관리시스템 | - 인증범위에 포함된 서비스의 운영·관리를 위해 내부 사용자 등이 접속하여 사용하는 관리시스템, 백오피스시스템 등은 모두 포함 - 해당 관리시스템과 관련된 웹서버, WAS서버, DB서버 등도 인증범위에 포함 - 인증범위에 포함된 서비스와 관련된 개인정보를 처리하는 정보시스템(개인정보 처리시스템)은 모두 포함 |
| 개발 환경 | - 인증범위에 포함된 서비스 및 어플리케이션 개발과 관련된 시스템 및 장비는 모두 포함 |
| 업무 환경 (업무용 PC 등) | - 인증범위에 포함된 서비스를 운영, 관리, 개발하기 위한 조직 및 인력들이 사용하는 업무용 단말(PC, 스마트기기 등)은 인증범위에 포함 - IT운영자, 정보통신서비스 관리시스템의 관리자 및 사용자, 정보통신서비스 관련 개발자, 보안시스템 관리자 및 운영자 등이 관련 조직 및 인력에 해당됨 - 인증범위에 포함된 서비스와 관련된 개인정보를 조회, 입력, 변경, 삭제, 저장, 출력 등 업무상 취급하는 인력(개인정보취급자) 및 해당 인력이 사용하는 업무용 단말은 인증범위에 포함 |
| 내부용 네트워크 및 보안 시스템 | - 인증범위에 포함된 조직 및 인력이 인터넷 사용, 원격 접속, 유·무선 네트워크 접속 등을 위해 필요한 네트워크 장비 및 보안시스템은 인증범위에 포함 - 인증범위에 포함된 조직 및 인력에 대해 보안통제 등의 목적으로 적용된 정보보호 시스템은 인증범위에 포함 - 인터넷 망분리가 적용된 경우, 물리적 또는 논리적 망분리와 관련된 시스템은 인증범위에 포함 - 인증범위 내에 자체적으로 보유한 보호구역(전산실, 운영실 등)이 존재하는 경우 이에 대한 물리적·환경적 보호를 위한 보호설비는 인증범위에 포함 · 보호설비 예시 : 출입통제시스템, DVR/NVR, 항온항습기, 소화설비 등 |
| 내부 업무용 인프라 | - 인증범위에 포함된 서비스와 직접적인 관련이 없으면서 인증범위 내 개인정보의 처리 없이 내부업무 처리가 주목적인 정보시스템은 인증범위에서 제외 가능 - 정보통신서비스의 데이터베이스를 직접 이용하지 않고 복제 등의 방법으로 데이터베이스를 구성한 후 이를 분석, 마케팅 등의 용도로 사용하는 정보시스템의 경우 인증범위 내 개인정보를 처리하므로 인증범위에 포함: DW, CRM, 빅데이터 분석시스템 등 - 인터넷에 공개되어 있지 않으면서 오프라인 영역의 비즈니스 및 업무를 위한 정보시스템도 인증범위 내 개인정보를 처리하는 개인정보처리시스템에 해당될 경우 인증범위에 포함: 매장관리시스템, 물류시스템 등 |
| 고객센터 | - 인증 범위에 포함된 서비스와 관련된 이용자 상담, 문의 대응 등을 위해 고객센터를 운영하는 경우 고객센터 관련 자산 및 시스템은 인증범위에 포함 : 교환기, CTI, IVR, 녹취시스템, 상담시스템, 팩스시스템, 상담원 PC 등 |
| 물류 센터, 영엄점, 개인정보 수탁사 등 | - 오프라인 영역에서의 비즈니스 및 업무를 위한 물류센터, 영업점, 대리점, 매장 등이 인증범위 내 개인정보를 취급할 경우 인증범위에 포함: 관련 유·무선 네트워크 장비, 물리적 보안장비(CCTV 등), POS 시스템 및 단말기, 업무용 PC 등 - 개인정보 처리업무를 위탁한 수탁자의 경우 인증범위에 포함 |