|
항목
|
1.1.4. 범위 설정
|
|
키워드
|
핵심자산, 예외사항 근거 관리, 문서화
|
|
인증기준
|
조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다.
|
|
주요 확인사항
|
조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가?
정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의·책임자 승인 등 관련 근거를 기록·관리하고 있는가?
정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이 포함된 문서를 작성하여 관리하고 있는가?
|
|
관련 법규
|
|
|
증거자료
(예시)
|
정보보호 및 개인정보보호 관리체계 범위 정의서
정보자산 및 개인정보 목록
문서 목록
서비스 흐름도
개인정보 흐름도
시스템 및 네트워크 구성도
|
|
결함사례
|
사례 1 : 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 외주업체직원, PC, 테스트용 단말기 등이 관리체계 범위에서 누락된 경우
사례 2 : 정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 인증범위에 포함하지 않은 경우
사례 3 : 인증범위 내 조직 및 인력에 적용하고 있는 보안시스템(PC보안, 백신, 패치 등)을 인증범위에서 배제하고 있는 경우
사례 4 : 정보통신망법에 따른 정보보호 관리체계 인증 의무대상자임에도 불구하고 인터넷에 공개되어 있는 일부 웹사이트가 관리체계 범위에서 누락된 경우
|
'▶ ISMS-P 인증심사원 (정보보호 및 개인정보보호 관리체계) > └ ISMS-P 인증기준' 카테고리의 다른 글
| 1.1.6. 자원 할당 (0) | 2023.04.02 |
|---|---|
| 1.1.5. 정책 수립 (0) | 2023.04.02 |
| 1.1.3. 조직 구성 (0) | 2023.04.02 |
| 1.1.2. 최고책임자의 지정 (0) | 2023.04.02 |
| 1.1.1. 경영진의 참여 (0) | 2023.04.02 |
댓글