닫기

세상 모든 보안 이야기

보안 백과사전

용어를 이해하면 보안이 보입니다

보안용어 백과사전

누구나 손쉽게 따라하는

보안 가이드

인증, 어렵지 않아요!

ISMS 체크인 가이드북

Coming Soon

보안 유출사고 대응전략

좌우로 움직여보세요

ISMS, ISMS-P 실전 대비

ISMS, ISMS-P 인증 범위

포스팅 뷰90

ISMS, ISMS-P 인증 범위

정보보호 관리체계(ISMS)와 개인정보보호 관리체계(ISMS-P)는 기업 및 기관이 정보보호와 개인정보보호를 체계적으로 관리할 수 있도록 하는 인증제도입니다. ISMS는 정보보호 중심의 인증이며, ISMS-P는 여기에 개인정보보호 요소를 추가한 인증입니다. 하지만 모든 기업이 동일한 범위에서 인증을 받아야 하는 것은 아닙니다. 인증의무자별로 인증 범위가 달라지며, 이에 대해 자세히 알아보겠습니다.


1. ISMS 인증의무자 인증 범위

ISMS 인증을 받아야 하는 기업과 기관은 법적 요건을 충족해야 하며 정보보호 관리체계를 구축하여 보호해야 할 범위를 정해야 합니다.


ISMS 인증범위 설정 예시

ISMS 인증의무자 인증범위 설정 예시

DMZ(인터넷 구간)

  • 정보통신망을 통해 정보를 제공하거나 정보를 매개하는 서비스 및 관련 서버 포함

  • 대표 홈페이지, 이용자 포털 등 서비스 포함

  • 웹서버, 모바일서버, API서버, DNS서버 등의 서버 포함

네트워크 및 보안 시스템

  • 인터넷 구간 및 서버 구간의 네트워크 시스템과 보안 시스템 포함

  • 네트워크: 라우터, 스위치, NMS 등 포함

  • 보안시스템: 방화벽, IPS/IDS, VPN, DDoS 대응장비 등 포함

서버존

  • 인증범위에 포함된 서비스와 관련된 서버 및 데이터베이스 포함

  • WAS 서버, API 서버, 백업 서버, 로그 서버 포함

  • DB 접근제어, 서버 접근제어, SIEM, 통합계정관리(IM) 등 보안시스템 포함

정보통신서비스 관리시스템

  • 서비스 운영·관리를 위해 내부 사용자들이 접속하는 관리 시스템 포함

  • 회원관리 시스템, 쇼핑몰 백오피스, 모니터링 시스템 포함

  • 관련 웹서버, WAS 서버, DB 서버 포함

개발 환경

  • 개발, 테스트, QA 서버 및 개발 DB 포함

  • 스테이징 서버, 개발존 방화벽 등 포함

업무 환경 (PC 등)

  • 서비스를 운영·관리·개발하기 위한 인력들이 사용하는 단말 포함

  • 보안 시스템: 백신, DLP, DRM 등 포함

내부 네트워크 및 보안 시스템

  • 조직 내 네트워크 장비 및 보안 시스템 포함

  • 방화벽, VPN, NAC, 인터넷 라우터, 백본 스위치, L2 스위치 포함

ISMS 인증을 받을 경우, 위의 영역을 포함하여 해당 기업이 운영하는 정보보호 관리체계를 평가받게 됩니다.



2. ISMS-P 인증의무자 인증 범위

ISMS-P 인증은 ISMS 인증 범위에 개인정보 보호를 위한 요소를 추가한 것이며, 개인정보 처리 단계별 요구사항을 포함합니다.


ISMS-P 인증범위 설정 예시

ISMS-P 인증의무자 인증범위 설정 예시

정보통신서비스 관리시스템

  • 개인정보를 처리하는 정보시스템 포함

  • 고객 정보, 결제 정보, 계정 정보 등을 처리하는 내부 시스템 포함

업무 환경 (PC 등)

  • 개인정보 조회, 입력, 변경, 삭제, 저장, 출력이 가능한 업무용 단말 포함

  • 내부 직원 및 개인정보 취급자의 단말 보안 설정 강화 필요

내부 업무용 인프라

  • 데이터 분석, 마케팅 등을 위해 개인정보를 처리하는 내부 정보시스템 포함

  • CRM, DW, BI 시스템 등 분석 및 통계용 데이터 저장소 포함

  • 개인정보가 포함된 문서 및 데이터를 저장하는 파일 서버 포함

고객센터

  • 상담 시스템, CTI, IVR, 녹취 시스템 등 포함

  • 고객 상담 및 응대 중 개인정보가 처리되는 영역 포함

  • 상담원의 단말 보안 설정 및 접속 기록 관리 포함

물류센터, 영업점, 수탁사

  • 개인정보를 취급하는 오프라인 매장, 대리점, 물류센터 포함

  • POS 시스템, 출입 관리 시스템, 고객 주문 처리 시스템 포함

  • 개인정보를 위탁받아 처리하는 외부 협력업체 및 시스템 포함

ISMS-P 인증을 획득하려면, ISMS 인증 범위를 포함하여 개인정보보호와 관련된 추가 요소까지 관리체계 구축이 필요합니다.


3. ISMS vs. ISMS-P 인증 범위 차이점

  • ISMS 인증

    • 정보보호 관리체계 인증

    • 정보 시스템, 네트워크 보안, 서버 보안 중심

    • 개인정보 보호 요구사항 없음

  • ISMS-P 인증

    • 정보보호 및 개인정보보호 관리체계 인증

    • ISMS 범위 + 개인정보 처리 관련 시스템 포함

    • 고객센터, 물류센터, 개인정보 관련 시스템 추가 보호 필요

ISMS-P 인증은 정보보호뿐만 아니라 개인정보보호까지 포함하여 관리할 필요가 있기 때문에 인증 범위가 더 넓어집니다.


4. ISMS, ISMS-P 인증 범위를 정할 때 고려해야 할 점

사업 특성 분석

기업이 제공하는 서비스와 운영하는 정보시스템을 고려하여 인증 범위를 설정해야 합니다.

예를 들어, 고객 데이터를 처리하는 서비스라면 ISMS-P 인증이 필요할 가능성이 큽니다.

법적 요구사항 확인

관련 법률(정보통신망법, 개인정보 보호법 등)에 따라 특정 기업이나 기관은 ISMS 또는 ISMS-P 인증을 의무적으로 취득해야 할 수도 있습니다.

효율적 인증 범위 설정

인증 범위를 지나치게 넓게 설정하면 불필요한 관리 부담이 발생할 수 있으며, 지나치게 좁게 설정하면 인증 취득 후 보안 취약점이 발생할 수 있습니다.


ISMS와 ISMS-P 인증 범위는 기업이 보호해야 할 정보의 종류와 서비스 운영 방식에 따라 결정됩니다.

정보보호와 개인정보보호의 필요성을 고려하여 적절한 인증을 선택하고, 인증 범위를 체계적으로 정하는 것이 중요합니다.

인증 범위 설정을 신중히 검토하여 효과적인 정보보호 관리체계를 구축하시길 바랍니다!