정보보호관리체계 인증 심사 체계 수립 과정

정보보호관리체계 인증 추진 체계

정보보호관리체계 인증 추진 체계

[미래창조과학부, 인증 기관, 심사 기괸, 인증위원회, 인증 심사원]으로 구성됨. 

 

정보보호관리체계 인증 추진 체계 구성도

1. 미래창조과학부
미래창조과학부는 법·제도 개선 및 정책 결정 업무를 수행한다.

2. 한국인터넷진흥원
한국인터넷진흥원은 「정보 통신망법」 제52조 제1항 제7호에서 인증 업무를 하도록 명시
된 기관이며, 인증 기관 고유 업무(인증, 인증 심사, 인증위원회 운영) 외 인증 제도 운영 
지원(심사원 양성 및 자격 관리, 인증 기준 개선 등) 업무를 수행한다.

3. 한국정보통신진흥협회와 한국정보통신기술협회는 ‘인증 심사’, 

금융보안원은 ‘인증’ 및  ‘인증 심사’를 업무 범위로 하는 인증기관으로 지정한다. 

 

4. 인증위원회
인증위원회는 인증 심사 결과를 심의·의결하며 5인 이상 10인 이내의 위원으로 구성한다.

5. 인증 심사원
인증 심사원은 인증 심사원 양성 교육 과정을 수료하고 고시에 따른 자격 요건을 갖춘 자들로 인증·심사 기관의 심사 팀장과 함께 인증 심사팀의 구성원이 된다.

 

안전･유의 사항 

 

• 정보보호관리체계 인증 심사 준비를 위하여 인증 심사 제도의 목적과 법률에서 정의하는 기준 등을 파악하고 인증 심사 체계를 수립하도록 한다.

 

• 인증 심사 대상 조직의 정보보호관리체계 현황을 파악하기 위하여 전체 정보 보호 관련 업무와 제도 등을 우선 이해하고 해당 조직의 인증 심사 체계를 수립하도록 한다.

 

• 정보보호관리체계 인증 심사의 체계는 인증을 수행하는 절차에 초점을 맞추어 이해하도록 하고, 절차에 따른 행위 등도 빠짐없이 숙지하여야 한다. 

 

수행 순서.

정보보호관리체계 인증 심사의 유형별 인증 법위 체계를 수립한다.

정보보호관리체계 인증 심사 서비스의 유형별 인증 범위를 정한다. 또 정보보호관리체계 구축에 필요한 수행을 실시. 

정보보호관리체계 구축에 필요한 수행도

정보보호관리체계 구축에 있어 구축 간 상호 고려 사항을 참고하여 구축한다. 

정보보호관리체계 구축 시 상호 고려 사항

1. 정보 통신 서비스를 분류하고, 해당 서비스를 위한 자산 및 조직을 모두 식별한다.
인증 범위 대상으로 식별된 모든 자산 및 조직에 대해 「정보보호관리체계 인증에 관한 고시」 

제18조에 따른 ‘정보보호관리체계 인증 기준’을 준수하여 보호 조치를 취한다.

 

 

서비스 유형별 인증 범위.

 

(1) 정보 통신망 서비스 제공자

정보 통신망 서비스 제공자 인증 범위

 

(2) 집적 정보 통신 시설 사업자. 

집적 정보 통신 시설 사업자 인증 범위 

 

(3) 연간 매출액 이용자 수 등이 "정보 통신망법" 및 동법 시행령 기준에 해당하는 자.

연간 매출액, 이용자 수 등이 정보통신망법 및 동법 시행령 기준에 해당하는 인증 범위

 

 

기업의 통합적 정보보호관리 수준 및 개인 정보 보호 활동을 제고할 수 있는 정보보호관리체계 인증 심사와 시스템 유형별 인증 범위 고려 사항 정의.

 

1. 응용 프로그램
(1) 인터넷 등을 통해 이용자에게 직접 노출되거나 접점이 되는 응용 시스템은 심사 범위에 포함한다.

(2) 정보 통신 서비스의 제공 또는 운영을 위하여 직접적으로 관련된 서비스 제공 시스템, 서비스 관리용 시스템, 백오피스 시스템 등은 심사 범위에 포함한다.

(3) 정보 통신 서비스의 데이터베이스를 직접 이용하지 않고, 복제 등의 방법으로 별도 

데이터베이스를 구성한 후 이를 분석, 마케팅 등의 용도로 사용하는 응용 시스템(DW, CRM 등)은 심사 범위에서 제외한다.

(4) 정보 통신 서비스 관련 이용자 상담, 문의 대응 등을 위해 콜센터를 운영하는 경우, 
콜센터 관련 시스템(교환기, CTI, IVR 등)은 의무 심사 범위에서 제외한다.

(5) 정보 통신 서비스와 직접적인 관련 없이 내부 업무 처리가 주목적인 그룹웨어, ERP 
등은 심사 범위에서 제외한다.

2. 데이터베이스 

(1) 인증 대상 서비스 및 응용 시스템을 위해 필요한 데이터가 저장⋅관리되는 데이터 베이스는 심사 범위에 포함한다. (회원 데이터베이스, 운영 데이터베이스, 백업 데이터베이스 등)

3. 서버
(1) 인증 범위에 포함된 서비스 및 응용 시스템이 설치되어 운영되는 서버는 심사 범위
에 포함한다. (운영 서버, 연계 서버 등)

(2) 인증 범위에 포함된 서비스 및 응용 프로그램의 개발 및 운영·보안 관리를 위해 
필요한 서버는 심사 범위에 포함한다. (개발 서버, 시험 서버, 형상 관리 서버, 모니
터링 서버, 백업 서버, 로그 서버, 보안 관리 서버, 패치 관리 서버 등)

(3) 임대 장비 등 소유자가 해당 기업이 아니더라도, 데이터 등 실질적인 운영 또는 서
비스에 이용(지배권 소유)하고 있는 경우에는 심사 범위에 포함한다.

4. 네트워크 장비

(1) 인증 대상 서비스와 직접적으로 관련된 네트워크 장비는 모두 포함한다. (DMZ 등 
정보 통신 서비스 구간에 설치된 네트워크 장비 등)

(2) 인증 범위에 포함된 정보 자산(응용 시스템, 서버, 보안 시스템 등) 및 물리적 시설
(전산실 등)의 연결 및 구성을 위한 네트워크 장비는 포함한다.

(3) 인증 범위에 포함된 조직 및 인력이 인터넷 사용, 원격 접속 등을 위해 필요한 네
트워크 장비는 포함한다.

(4) 단, 별다른 보안 설정 없는 더미(Dummy) 역할을 하는 스위치는 심사 범위에서 제외
할 수 있다.

5. 정보 보호 시스템 

(1) 내⋅외부 침해로부터 인증 대상 서비스 및 관련 자산을 보호하기 위한 정보 보호 시스템은 심사 범위에 포함한다.

(2) 인증 범위에 포함된 조직 및 인력을 대상으로 적용된 정보 보호 시스템은 심사 범
위에 포함한다. (DRM, DLP, PC 보안, 백신, 패치 관리 시스템 등) 

 

6. 클라우드 서비스 이용 
(1) 신청 기관이 클라우드 서비스를 이용하여 정보 통신 서비스를 제공하는 경우, 신청 
기관이 관리 가능한 운영 체제, 데이터베이스, 응용 프로그램 등은 인증 범위에 포함한다.

(2) 그러나 클라우드 서비스 형태에 따라 심사 범위가 달라질 수 있으므로 관리 범위, 
지배권 소유 여부, 책임 소재 등에 따라 심사 범위를 판단해야 한다.

예시)) 클라우드 서비스 형태에 따른 심사 범위

 

기업의 통합적 정보보호관리 수준 및 개인 정보 보호 활동을 제고할 수 있는 정보보 호관리체계 인증 심사의 세부 업종별 인증 범위를 정의한다.

세부 업종별 인증 범위 예시는 업종별로 반드시 인증 의무 범위에 포함되어야 하는 범위를 나타낸 것이며, 본 사례에 포함되지 않았다고 해서 인증 의무 범위에서 제외된다는 의미는 아니다.

 

 

1. 정보 통신망 서비스(ISP: Internet Service Provider)

정보 통신망 서비스의 인증 범위 예시는 다음과 같다.

예시)) 정보 통신망 서비스 인증 범위

1. 인터넷 접속 서비스: 초고속 인터넷 서비스, 전화선 또는 광대역 연결(케이블 또는 DSL 등)을 사용한 인터넷 서비스

 

2. 인터넷 전화(VoIP): 인터넷망을 통해 제공되는 전화 서비스

 

3. 인터넷 프로토콜 TV(IPTV): 디지털 방송 서비스, VOD 서비스 

 

4. 회선: 기업 등을 대상으로 제공되는 IP기반 전용망 서비스

 

5. 이동 통신 서비스(무선): 모바일(3G, LTE등), Wibro 등을 이용한 음성 통화, 데이터 통신 서비스 

 

2. 집적 정보 통신 시설(IDC)

집적 정보 통신 시설의 인증 범위 예시는 다음과 같다.

예시)) 집적 정보 통신 시설 인증 범위

1. 코로케이션 서비스(Co-location): IT 시스템을 설치·운영할 수 있는 상면 공간임대 및 전기, 시설, 설비 등 관리 서비스

2. 네트워크 제공 서비스(회선 임대): 인터넷 네트워크 회선을 제공하는 서비스

3. 호스팅 서비스: 인터넷 비즈니스를 위해 필요한 서버, 네트워크, 스위치, 스토리지 등을 임대하거나 운영을 대행하는 서비스

4. 클라우드 서비스: 클라우드 기반의 IT 인프라 통합 운영·관리 서비스

5. 보안 관제 서비스: 서버 및 네트워크 보호를 위한 실시간 모니터링 및 분석 서비스

6. CDN 서비스: 인터넷 서비스 제공자에 직접 연결하여 콘텐츠 전송 네트워크 제공 서비스

7. 재해 복구 서비스: IT 시스템에 재해가 발생하였을 경우 이를 복구해 주는 서비스

 

 

3. 인터넷 쇼핑

인터넷 쇼핑의 인증 범위 예시는 다음과 같다.

예시)) 인터넷 쇼핑 인증 범위

4. 인터넷 게임 

인터넷 게임의 인증 범위 예시는 다음과 같다. 

예시)) 인터넷 게임 인증 범위

1. 퍼블리싱 서비스: 자체 포털을 이용하여 타사에서 개발한 게임을 운영 대행

2. 자체 게임 개발: 자체 시스템을 이용하여 게임 개발 및 운영

 

5. 금융 분야.

금융 분야의 인증 범위 예시는 다음과 같다.

예시)) 금융 분야 인증 범위

 

※ 인증 심사 범위 설정 팁을 다음과 같이 제시한다. 

1. 먼저 신청 기관이 운영하고 있는 서비스 목록들을 나열한다.

 

2. 정보보호관리체계 인증 범위를 참고하여 의무적으로 인증을 받아야 하는 서비스를 선정한다. 

 

3. 각 서비스별로 조직 범위를 선정한다. 조직 범위 를 선정할 때 각 서비스의 개발·운영 조직을 포함한다. 

(여기서 운영은 서버 관리, 네트워크·보안 장비 관 리 등 시스템적 운영을 말함.)

 

4. 각 서비스들의 정보 통신 설비(서버, 네트워크 장 비, 보안 장비 등) 범위를 포함한다. 

 

5. 신청 기관의 정보 보호 조직(직무자), 인적 보안 관련 직무자, 물리적 보안 관련 직무자, 내부 감사 수행 인력 등을 포함한다. 

 

6. 최종적인 인증 범위 내의 정보 통신 설비 수, 인원 수는 인증 심사 팀이 예비 점검할 때 확정한다.