[isms-p 정리] 1.1.4 범위설정

※인증기준

조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다.

※ 내용정리

- 정보보호 및 개인정보 보호 적용범위 정의

 > isms-p 관리체계를 적용할 조직의 업무, 서비스, 시스템, 위치 등을 식별 

 ※ 고려사항

 > 조직의 목적 및 운영방식: 보안 적용이 필요한 주요 업무 및 서비스 식별

 > 법적 및 규제 요구사항 관련법류(개인정보보호법, 전자금융거래법 등)과 업계 표준 준수 여부

 > 보호해야 할 자산: 개인정보, 중요기밀정보, IT인프라 등

 > 위험도 평가: 보안 위협과 보호 필요성이 높은 영역 포함

 

- 적용 범위 문서화 및 공식 승인

 > 정보보호 및 개인정보 보호 관리체계의 적용범위를 명확히 문서화 하고, 최고책임자의 승인을 받아야 함

 > 해당 범위가 조직의 정보보호 정책과 일관되도록 설정하여야 함

 

- 범위 변경 시 갱신절차 운영

 > 조직의 업무 확장, 신규 서비스 출시, 법적 요구사항 변경 등으로 인한 범위가 변경될 경우, 이를 반영하여 주기적으로 갱신하여야 함

 

결함사례

- 범위 설정이 불명확함

 D사는 ISMS-P 인증을 준비하면서 적용 범위를 명확하게 정의하지 않아 심사 과정에서 문제 발생

정보보호 및 개인정보 보호가 필요한 주요 시스템과 부서를 특정하지 않고, “전사 적용”이라는 모호한 표현을 사용.
일부 부서(고객센터, 마케팅팀)는 개인정보를 직접 처리하지만, 해당 부서의 시스템 및 운영 프로세스는 인증 범위에서 빠져 있었음.
법적 요구사항과 조직의 운영 방식을 고려하지 않고 범위를 설정하여 보호해야 할 주요 자산이 누락됨.

 

- 영향

심사 과정에서 보호 범위가 모호하여 관리체계가 실질적으로 적용되고 있는지 검증하기 어려움.
보안 취약점이 존재하는 영역이 포함되지 않아, 인증 후에도 보호되지 않는 보안 사각지대가 발생.
심사 지적 사항으로 인해 범위 재설정 후 추가 심사 필요, 시간과 비용 증가.

 

- 필요 이상의 범위를 포함하여 관리 부담 증가

D사는 isms-p 적용 범위를 조직 전체로 설정, 실제 보호가 불필요한 시스템과 서비스까지 포함하여 관리부담 증가

정보보호 및 개인정보보호와 관련이 적은 내부 사무행정 시스템(회계, 일반 문서NAS 등)까지 인증 범위에 포함

IT부서 및 보안담당자들은 불필요한 시스템까지 보호해야 하는 부담이 생기고, 보안 정책 적용 범위가 지나치게 넓어짐.

인증심사 시, 보호할 필요가 없는 영역까지 포함되어 심사 대상이 확대되고 시간과 비용이 증가.

 

- 영향

관리 부담 증가로 인한 핵심 보안요소에 집중하기 어려움

불필요한 영역까지 포함되어 심사시간 및 비용 증가

범위를 조정하여 재심사를 진행하여야 하는 상황 발생

 

- 변경 사항 발생 실패

D사는 isms-p 인증을 받은 후, 신규 서비스를 출시했지만 적용 범위를 업데이트 하지 않음

초기 인증 시 온라인 쇼핑몰만 포함했으나, 이후 모바일 앱 서비스 추가

모바일 앱 내 고객 개인정보 수집 및 처리하지만, 관리체계의 적용 범위에 반영되지 않음.

내부 감사에서 "모바일 앱 개인정보 보호 조치가 인증 관리체계와 일치하지 않음"을 발견

 

- 영향

신규 서비스에서 보안 및 개인정보보호 관리 미흡으로 법적 리스크 증가

관리체계가 조직의 실제 운영환경과 일치하지 않아 심사 시 지적 가능성 높음

향후 보안사고 발생 시 기존 isms-p 인증의 신뢰도에 문제 발생

 

개선방안

1. 명확한 범위 설정 및 문서화

 > 보호해야 할 정보자산과 서비스를 명확하게 정의하고, 관련 법적 요구사항을 반영하여 문서화.

 > 적용 대상이 되는 시스템, 부서, 프로세스를 구체적으로 명시

 

2. 불필요한 영역 제외

 > 정보보호 및 개인정보 보호와 무관한 영역까지 포함되지 않도록 검토.

 > 보안 리스크가 높은 서비스나 시스템에 집중하여 효율적인 보호체계를 운영

 

3. 범위 변경 사항 즉시반영

 > 신규 서비스, 시스템 변경, 조직 개편 등 변화가 발생하면 즉시 적용범위를 재검토 및 갱신

 > 정기적인 내부 점검을 통해 최신 운영 환경을 반영

 

4. 최고책임자의 승인 및 공식 절차 마련

 > 설정된 범위를 문서화 하고, 최고책임자의 승인을 받아 공식화

 > 내부 감사 및 심사준비 시 범위 설정을 주기적으로 검토

 

증거자료

정보보호 및 개인정보보호 관리체계 범위 정의서

정보자산 및 개인정보 목록

문서 목록

서비스 흐름도

개인정보 흐름도

시스템 및 네트워크 구성도

+

해당 항목은 인증심사 대상 범위를 명확하게 정의하는 항목으로 관리 대상과 보호해야 할 자산을 특정, 관리체계의 적용 범위를 설정하는 항목