1.1.4 범위 설정

1. 관리체계 수립 및 운영 (16개)

[두음] 기위운점

1.1 관리체계 기반 마련	1.1.1 경영진의 참여
	1.1.2 최고책임자의 지정
	1.1.3 조직 구성
	1.1.4 범위 설정
	1.1.5 정책 수립
	1.1.6 자원 할당

---

---

서업조자물

관리체계 범위, 인증범위, 핵심자산, 예외사항 근거 관리, 문서화

핵심 키워드 & 내용  

 

핵심자산, 관리체계 범위, 예외사항 근거 기록 ∙ 관리, 인증범위
핵심 서비스, 자산을 포함하도록 ISMS-P 범위 설정
범위 내 예외사항은 사유 및 책임자 승인 등 관련 근거 기록 ∙ 관리
ISMS-P 범위 확인을 위해 문서화 관리

 

연관 두음

 

▶ 관리체계 범위 문서화 대상

[두음] 서업조자물
서비스, 개인정보 처리 업무, 조직, 자산, 물리적 위치

 

---

 

인증기준

 

조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고,
관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화 하여야 한다.

 

주요 확인사항

 

* 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 
  관리체계 범위를 설정하고 있는가?

* 정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의·책임자 승인 등
  관련 근거를 기록·관리하고 있는가?

* 정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록
  관련된 내용 (주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이 포함된 
  문서를 작성하여 관리하고 있는가?

 

세부 설명

 

□ 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록

   관리체계 범위를 설정하여야 한다.

 

▶ 관리체계 범위에는 사업(서비스)와 관련된 임직원, 정보시스템, 정보, 시설 등

    유·무형의 핵심자산을 누락 없이 포함

 

□ 정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의･책임자 승인 등

   관련 근거를 기록·관리하여야 한다.

 

□ 정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록

   관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서 목록 등)이 포함된 문서를

   작성하여 관리하여야 한다.

 

 

 

결함사례

 

사례 1 :
정보시스템 및 개인정보처리시스템 개발업무에 관련한
개발 및 시험 시스템, 외주업체직원, PC, 테스트용 단말기 등이 
관리체계 범위에서 누락된 경우

사례 2 :
정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여
중요 의사결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 
인증범위에 포함하지 않은 경우

사례 3 :
인증범위 내 조직 및 인력에 적용하고 있는 보안시스템(PC보안, 백신, 패치 등)을 
인증범위에서 배제하고 있는 경우

사례 4 :
정보통신망법에 따른 정보보호 관리체계 인증 의무대상자임에도 불구하고
인터넷에 공개되어 있는 일부 웹사이트가 관리체계 범위에서 누락된 경우