ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • ISMS-P 인증대상 및 범위
      Security 2022. 4. 26. 13:57
      728x90
      반응형

      II. ISMS-P 인증대상 및 범위

       1. ISMS-P 인증대상

       

       1.1 임의신청자

       

       1.2 의무대상자

        > * ISP : 전기통신사업법 6조1항 서울특별시, 모든 광역시에서 정보통신망서비스(ISP) 제공자

           * IDC : 정보통신망법 46조 직접정보통신시설(IDC) 사업자

           * 매출액 또는 이용자수 요건에 따른 대상자

            - 정보통신서비스 부문 전년도 매출액이 100억원 이상인 자

            - 전년도 말 기준 직전 3개월 정보통신서비스 일일평균 이용자수 100만명 이상

            - 연간 매출액 또는 세입1,500억원 이상인 자중 다음에 해당

               + 의료법 제3조4 상급종합병원

               + 직전년도 12월31일 기준 재학생수가 1만 명 이상인 고등교육법 제2조 따른 학교 

       

       1.3 인증 의무대상자 유의사항

        > 집적정보통신시설의 일부를 임대하여 서비스를 재판매하는 사업자(VIDC)는

           매출액 및 이용자 수 기준을 따르게 된다

        >  인증 의무대상자는 스스로 법에서 정한 인증 의무대상자 기준에 해당하는지 여부를 확인하여 인증을 받아야 하며,        인증을 취득하지 않은 사실이 확인되는 경우 과태료 부과 대상이 될 수 있다

        > 준비부터 인증취득까지는 약 6개월 이상이 소요, 인증 신청을 위해서는 최소 2개월 이상의 운영 기간이 필요      

           인증 의무대상자가 된 날로 부터 익년 8월31일까지 인증서를 취득해야 함

       

       

       2. 인증범위

       

        2.1 ISMS의 인증범위

         > 정보통신서비스를 기준으로 관련된 정보시스템, 장소, 조직 및 인력

          * 정보통신서비스 부문 매출액 또는 일일평균 이용자 수 요건에 해당하여 의무대상으로 포함된 경우

           정보통신서비스가 외부 정보통신망을 통해 접근 가능한지의 여부에 따른 의무 심사범위를 구분

           - 외부 정보통신망을 통해 불특정 다수 또는 권한을 가진 자가 직접적으로 접근 가능한 서비스

           - 다수 정보통신서비스를 운영하는 경우, 개별 서비스가 의무대상에 포함되지 않아도 모두 인증범위 포함

           - IP기반 접근제어가 되어 있어도, 외부 정보통신망을 통해 직접 연결이 되어 있다면 포함

           - 웹기반 서비스 뿐만 아니라, 모바일 기반 서비스도 동일한 기준 적용

       

         * 시스템 유형별 인증범위 고려사항

           - 응용프로그램(Application)

             + 정보통신서비스의 DB를 직접 이용하지 않고, 별도 DB구성후 이를 사용하는 DW, CRM 등은 제외

             + 콜센터 관련시스템(교환기, CTI, IVR 등)은 제외

             + 정보통신서비스와 직접 관련 없이 내부업무 처리 목적 그룹웨어,  ERP 등은 제외

          - 데이터베이스

            + 인증 대상 서비스 및 응용시스템을 위해 필요한 데이터가 저장.관리되는 DB는 포함

          - Server 

          - 네트워크 장비 

            + 별도의 보안설정 없는 더미(Dummy)역할을 수행하는 스위치는 제외 가능

          - 클라우드서비스 이용 시

            + 신청기관이 관리 가능한 OS, DB, Application 등은 포함

            + 관리 범위, 지배권 소유 여부, 책임소재 등에 따라 심사범위를 판단해야 함

       

       

          

        2.2 ISMS-P의 인증범위

         > ISMS 인증범위 + 개인정보를 처리하는 정보시스템, 조직 및 인력, 물리적 장소

          * 고객센터 : 인증 범위에 포함된 서비스와 관련된 이용자 상담, 문의 대응 등을 위해

                          고객센터를 운영하는 경우 고객센터 관련 자산 및 시스템은 인증범위에 포함

                         : 교환기, CTI, IVR, 녹취시스템, 상담시스템, 팩스시스템, 상담원 PC 등 

          * 물류 센터, 영엄점, 개인정보 수탁사 등

            - 오프라인 영역에서의 비즈니스 및 업무를 위한 물류센터, 영업점, 대리점, 매장 등이

              인증범위 내 개인정보를 취급할 경우 인증범위에 포함

             - 개인정보 처리업무를 위탁받은 수탁사의 경우 인증범위에 포함  

       

      728x90
      반응형
      저작자표시 비영리 변경금지

      'Security' 카테고리의 다른 글

      ISMS-P 인증기준 세부점검항목(22.4.22 수정사항 반영)  (0) 2022.05.04
      ISMS-P 인증기준 1.관리체계 수립 및 운영 > 1.1관리체계 기반 마련  (0) 2022.05.02
      ISMS-P (정보보호 및 개인정보보호관리체계) 인증제도 안내서  (0) 2022.04.25
      부채널 공격(Side Channel Attack)  (0) 2022.03.29
      동형암호(Homomorphic Encryption)  (0) 2022.03.29

      관련글 관련글 더보기

    Designed by Tistory.

    티스토리툴바