SharedIT | 묻고 답하기(AMP)

ISMS-P 인증 범위 문의

ISMS 인증 의무 대상자는 아니지만 자율신청으로 인증을 받으려고 합니다.

정보통신서비스를 통하여 매출을 내고 있는 서비스에 대해서는 네트워크 망분리, 정보보호시스템(방화벽,WAF,NAC, PMS, 백신, DLP 등)을 구축하여 관리하고 있습니다.

추후 ISMS-P를 목표로 하고 있는데 ISMS-P의 경우 개인정보가 있는 모든 시스템(내부 시스템 포함)에 대해서 점검을 할 수 있다고 들었습니다.


문의사항)

ISMS-P 인증을 받고자 하는 경우 내부 직원들의 개인정보가 있는 그룹웨어, 인사시스템, 경비시스템 등에 대해서도 정보보호시스템 구축 및 네트워크 망분리를 구현해서 관리해야 하는 건가요?



Tags : 태그가 없습니다.

5개의 답변이 있습니다.

담당자1
  0 추천 | 2년 이상 전

아니요.

ISMS 인증의 범위는 인증을 받고자 하는 기업에서 정하는 겁니다. ISMS-P도 마찬가지고요.

우리는 사내 임직원 정보를 제외하고 대외 서비스 부분만 ISMS-P 인증을 획득하고 싶다면, 그렇게 하시면 됩니다.

개인정보가 들어있는 모든 전사 시스템이 해당되는 것은 아닙니다.


망분리는 임직원 정보가 들어있는 개인정보처리시스템에는 해당되지 않습니다.

망분리의 법적 근거는 '개인정보의 기술적 관리적 보호조치 기준' 입니다.

'개인정보의 기술적 관리적 보호조치 기준' 제1조 목적에 보면 이용자의 개인정보를 처리함에 있어서 ~~ 목적으로 한다. 라고 명시하고 있습니다. 

또한, 제2조 제5호를 보시면 '외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 업무망과 외부 인터넷망을 분리하는 망 차단조치' 라고 명시하고 있으므로

임직원 정보가 처리되고 있는 개인정보처리시스템은 망분리 요건에 해당되지 않습니다.

차바라기
  0 추천 | 2년 이상 전

KISA에 나와있는 사이트 내용 참고 하시면 될듯합니다.

https://isms.kisa.or.kr/main/isms/request/


Genghis Khan
  0 추천 | 2년 이상 전

ISMS-P 인증을 획득하려면 ▲정보보호 관리체계 수립·운영(16) ▲보호대책 요구사항(64) ▲개인정보 처리단계별요구사항(22  영역별 102 인증 기준과 인증위원회 적합성 심사를 통과해야 하고인증 취득 후에도 매년 정기심사를 통해 인증 유지 여부가 평가되어야 합니다

wansoo
  0 추천 | 2년 이상 전

개인 정보 보호법, ISMPS-P 등이 고객에 대한 개인 정보 보호만을 의미하지는 않습니다.

고객 뿐만 아니라 내부 직원들의 개인 정보까지 모두 포함한 개인정보 보호에 해당하는 내용입니다.

내/외부 고객을 떠나 개인 정보를 저장하고 있는 모든 시스템이 대상이라고 보시면 될 것 같습니다.

IT 서포트 마스터
  0 추천 | 2년 이상 전 | (주)오렌지테크 | 010-9040-6293

ISMS-P의 경우 사내의 모든 정보보호 대상시스템이 해당됩니다. 인증 자체가 기업의 정보보호관리체계 및

개인정보보에 대하여 인증을 받는것이므로 모든 시스템이 대상이 된다고 보셔야 합니다.