1. ISMS-P 인증대상
| 구분 | 사업 유형 | 근거 | 필수여부 | 인증유형 |
| 의무대상자 | ISP | 「전기통신사업법」제6조제1항에 따른 등록을 한 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 | 필수 | ISMS |
| IDC | 「정보통신망법」제46조에 따른 집적정보통신시설 사업자 | 필수 | ISMS | |
| 병원 | 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 -「의료법」제3조의4에 따른 상급종합볍원 - |
필수 | ISMS | |
| 학교 | 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 -직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인「고등교육법」제2조에 따른 학교 |
필수 | ISMS | |
| 정보통신서비스제공자 | 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자 | 필수 | ISMS | |
| 정보통신서비스제공자 | 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자 | 필수 | ISMS | |
| 임의신청자 | 기업 | 의무대상자 기준에 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축 운영하는 기업, 기관 | 선택 | ISMS |
| 기관 | 선택 | |||
| 기업, 기관 | 선택 | ISMS-P |
-인증 의무대상자는 ISMS 인증을 받아야 하며 ISMS-P 인증을 받은 경우에도 인증의무를 이행한 것으로 본다.
2. ISMS-P 인증범위
| 구분 | 인증 대상 서비스 | 설명 |
| 의무대상자 | 신청기관의 정보통신서비스를 모두 포함하여 설정 (해당 서비스와 관련된 자산, 조직, 시설 등 포함) | -외부 정보통신망을 통해 불특정 다수 또는 권한을 가지고 있는 자가 직접 접근이 가능한 서비스 (대표 홈페이지, 채용 사이트, 비영리 사이트, 인터넷 복지몰, 방문예약, 신문고 등) -인증 의무대상인 신청기관이 다수의 정보통신서비스를 운영하는 경우, 개별 정보통신서비스가 인증 의무대상에 포함되지 않아도 모두 인증범위에 포함 -IP 주소 제한을 통해 특정 위치 및 단말에서만 접속이 가능하도록 접근제어가 되어 있더라도, 외부 정보통신망을 통해 직접 연결이 되어 있다면 인증범위에 포함 -웹기반 서비스 뿐만 아니라, 모바일 기반 서비스도 동일한 기준이 적용 -해당 서비스의 직접적인 운영 및 관리를 위한 백오피스 시스템은 인증범위에 포함 -해당 서비스와 관련이 없더라도 그 서비스의 핵심정보자산에 접근 가능하다면 포함 |
| 임의신청자 | 신청기관이 자율적으로 인증을 받고자 하는 서비스를 신청 | -ISMS-P의 경우 서비스 내의 개인정보 처리 업무를 상세하게 분석한 후 관련된 모든 업무와 시스템을 식별 |
-인증범위의 정보통신서비스와 직접적인 관련성이 낮고 비공개 서비스/시스템의 경우 범위에서 제외 가능 (ERP, DW, GW, 영업/마케팅조직)
'(부제) 나는 CISO 이다 > ISMS-P 인증심사' 카테고리의 다른 글
| (ISMS-P) 정보통신서비스 제공자의 범위 (1) | 2021.10.10 |
|---|---|
| (ISMS-P) 인증 심사 절차 (0) | 2021.10.08 |
| (ISMS-P) 인증 추진체계 (0) | 2021.10.08 |
| (ISMS-P) 인증의 법적 근거 (0) | 2021.10.08 |
| (ISMS-P) ISMS-P 인증심사원 되기 (0) | 2021.09.29 |
댓글