정보보안 관리 및 법규 - ISMS 인증 범위

---

정보보안 관리 및 법규 - ISMS 인증 범위

---

다음 정보보호 관리체계 인증제도에 대한 설명으로 가장 적절하 지 않은 것은?    3

① 정보통신서비스와 직접적인 관련성이 낮은 전사적 자원관 리시스템(ERP), 분석용 데이터베이스(DW), 그룹웨어 등 기업 내부 시스템, 영업/마케팅 조직은 일반적으로 인증 범위에서 제외해도 된다. 
② 인증범위는 신청기관이 제공하는 정보통신서비스를 기준 로 해당 서비스에 포함되거나 관련 있는 자산(시스템,
설비, 시설 등), 조직 등을 포함하여야 한다. 
③ ISMS 의무인증범위 내에 있는 서비스, 자산, 조직(인력)을 보호하기 위한 보안시스템은 포함 대상에서 제외해도 된다.
④해당 서비스의 직접적인 운영 및 관리를 위한 백오피스 시스템은 인증범위에 포함되며, 해당 서비스와 관련이 없더
라도 그 서비스의 핵심정보자산에 접근가능 하다면 포함 하여야 한다.

---

정보보호 관리체계 인증 범위

2.1 의무 인증범위 기준

① 의무 인증대상자인 경우, 인증범위는 신청기관의 인증 의무대상 요건에 해당하는 정보통신서비스를 포함하여 설정해야 함

② 정보통신서비스란 인터넷 등 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 서비스를 말함

③ 인증범위는 신청기관이 제공하는 정보통신서비스를 기준으로, 해당 서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직 등을 포함

④ 해당 서비스의 직접적인 운영 및 관리를 위한 백오피스 시스템은 인증범위에 포함되며, 해당 서비스와 관련이 없더라도 그 서비스의 핵심정보자산에 접근가능 하다면 포함

⑤ ISMS 의무인증범위 내에 있는 서비스, 자산, 조직(인력)을 보호하기 위한 보안시스템은 포함

⑥ 정보통신서비스와 직접적인 관련성이 낮은 전사적자원관리시스템(ERP), 분석용데이터 베이스(DW), 그룹웨어 등 기업 내부 시스템, 영업/마케팅 조직은 일반적으로 인증범위에서 제외

ISMS 의무 인증범위 설정 예시