1.1.4 범위 설정

[키워드]

핵심자산 문서화
예외사항

범위 선정이 적절하며, 일부 예외를 제외한 범위 내 자산이 모두 식별 및 포함되어 있고, 해당 사항을 문서 형태로 관리 중인가?

 

[인증기준]

조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다.

---

관리 범위를 설정하는 내용이다. 어느 범위에 대해 관리할지를 알아야 관리할 수 있으며, 그 관리 범위는 문서로써 작성이 되어 있어야 실질적인 관리 및 운영이 가능하다. 체계를 갖추기 위한 기본 준비라고 볼 수 있다. 

 

 

[주요 확인사항]

조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가?

정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의·책임자 승인 등 관련 근거를 기록·관리하고 있는가?

정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이 포함된 문서를 작성하여 관리하고 있는가?

---

핵심 서비스와 개인정보 처리에 연관되어 있는 자산은 모두 포함되어야 한다. 혹시 예외적으로 포함되지 못하는 경우에는 그 사유와 근거가 있어야 한다.

 

 

[세부설명]

조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하여야 한다.

• 관리체계 범위에는 사업(서비스)과 관련된 임직원, 정보시스템, 정보, 시설 등 유·무형의 핵심자산을 누락 없이 포함
• 특히 정보보호 관리체계 의무대상자의 경우 법적 요구사항에 따른 정보통신서비스 및 관련 정보자산은 의무적으로 포함되도록 범위 설정

 

정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의·책임자 승인 등 관련 근거를 기록· 관리하여야 한다.

• 정보보호 관리체계와 개인정보보호 관리체계의 범위가 상이한 경우에는 인증범위 내의 정보자산 목록 (개인정보, 시스템, 네트워크 등)을 정보보호 관리체계 및 개인정보보호 관리체계 관점에서 명확하게 식별하여 정의
• 인증범위에서 제외되는 서비스, 정보시스템 등에 대해서는 내부 협의 및 책임자 승인을 거친 후 그 사유 및 근거에 대하여 기록하여 관리

 

정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서 목록 등)이 포함된 문서를 작성하여 관리하여야 한다.

---

범위에는 유형과 무형의 자산이 모두 포함되어야 한다. 전자 문서도 자산이 된다. ISP나 IDC 사업자 등 법적으로 의무가 부과된 부분은 반드시 포함되어야 한다.

불가피하게 범위에서 제외되는 자산도 있기 마련인데, 그런 부분은 책임자 승인과 근거자료 유지가 필요하다. 그 부분은 물론 납득할 수 있는 사유가 있어야 한다. 납득할 수 있는 부분이라는 것은 정말 불가피한 사정도 있겠지만 예산과 같은 현실적인 문제나 회사 내부 사정에 의한 부분도 포함이 될 수 있다.

 

 

 

[결함사례]

사례 1 : 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 외주업체직원, PC, 테스트용 단말기 등이 관리체계 범위에서 누락된 경우

>> 범위에서 자산이 누락된 경우

사례 2 : 정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 인증범위에 포함하지 않은 경우

>> 범위에서 자산이 누락된 경우

사례 3 : 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 개발자 PC, 테스트용 단말기, 개발조직 등이 관리체계 범위에서 누락된 경우

>>  범위에서 자산이 누락된 경우

---

관리체계 범위 내 필요한 자산이 모두 담겨있는지가 본 인증기준의 핵심이다. 불가피하게 모두 담겨있지 않다면 그 사유와 절차대로 검토가 이루어졌다면 된다.