인증기준
- 조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스, 조직, 자산, 물리적 위치 등을 문서화하여야 합니다.
주요 확인사항
- 핵심 서비스 및 개인정보 처리에 영향을 주는 핵심자산이 포함되도록 범위를 설정하고 있는지 확인합니다.
- 범위 내 예외사항이 있을 경우 사유와 책임자 승인 등 근거를 관리하는지 확인합니다.
- 범위를 명확히 확인할 수 있도록 서비스 현황, 시스템 목록 등이 포함된 문서를 작성하는지 점검합니다.
세부 설명
- 관리체계 범위에는 임직원, 정보시스템, 시설 등 유·무형의 핵심자산이 누락 없이 포함되어야 합니다.
- 정보보호 관리체계(ISMS) 의무대상자는 법적 요구사항에 따른 서비스와 자산을 반드시 포함해야 합니다.
- 범위에서 제외되는 서비스나 시스템은 내부 협의 및 승인 절차를 거쳐 그 사유를 기록해야 합니다.
결함 사례
- 사례 1 : 개발 및 시험 시스템, 외주업체 직원 PC 등이 범위에서 누락된 경우
- 사례 2 : 서비스 운영에 대한 중요 의사결정자나 핵심 사업부서 인력이 인증범위에 포함되지 않은 경우