ISMS-P 인증 준비, 범위설정

 
정보보호 조직도 구성이 완료되었다면 이젠 전체적인 ISMS 범위설정을 해야 합니다. 저도 1년가까이 준비하면서 외부의 도움없이 정부에서 발표한 자료와 강의, 서적등으로만 작성했기 때문에 제가 제시하는 작성가이드가 100% 완벽한것은 아닙니다. 하지만 오랜기간 고민하면서 만든 것이기에 ISMS 인증 담당자로서 무엇을 먼저 준비해야할지 모르는 분들에게는 조금이나마 도움이 되지 않을까 합니다. 

1.1. 관리체계 기반 마련
1.1.1. 경영진의 참여
1.1.2. 최고책임자의 지정
1.1.3. 조직구성
1.1.4. 범위설정
1.1.5. 정책수립
1.1.6. 자원할당
 

중소기업 보안 담당자를 위한 ISMS 범위 정의서 작성 가이드

정보보호 관리체계(ISMS)는 기업의 정보자산을 보호하고, 정보보호 관련 법적 요구사항을 준수하기 위한 체계적인 접근 방식입니다. 중소기업에서 ISMS를 구축하는 과정은 복잡할 수 있지만, 범위 정의서를 잘 작성한다면 효과적인 정보보호 관리체계를 구축하는 데 큰 도움이 됩니다. 이번 글에서는 중소기업 보안 담당자가 ISMS 범위 정의서를 작성하기 위한 방법을 단계별로 소개하겠습니다.
 

1. ISMS의 중요성 이해하기

ISMS는 조직의 정보자산을 보호하기 위해 필요한 정책, 절차, 조직 구조를 포함합니다. ISMS의 목표는 정보자산의 기밀성, 무결성, 가용성을 유지하는 것입니다. 중소기업은 대기업에 비해 자원이 제한적이지만, 정보보호는 비즈니스의 신뢰성과 지속 가능성을 위해 필수적입니다. 따라서 범위 정의서를 통해 정보보호 관리체계의 방향성을 명확히 하는 것이 중요합니다.
 

2. 범위 정의서의 구성 요소

ISMS 범위 정의서는 다음과 같은 주요 요소로 구성됩니다:
 
2.1 문서 개요
문서의 목적과 중요성을 설명합니다. 왜 ISMS를 구축해야 하는지, 이 문서가 어떤 역할을 하는지를 간략히 서술합니다.

제1조(목적)
본 문서는 (주)ㅇㅇㅇ(이하 '회사'라 함)의 정보보호 관리체계(이하 'ISMS' 라 함) 구축을 위한 보안관리 대상과 범위를 정의하는 것을 목적으로 한다.

 
2.2 적용 범위
ISMS가 적용되는 부서와 시스템, 프로세스를 구체적으로 나열합니다. 예를 들어, IT 부서, 인사팀, 고객 관리 시스템 등을 포함할 수 있습니다.

제2조(적용범위)
회사의 ISMS의 범위는 ㅇㅇㅇ 서비스에 의한 비즈니스와 서비스 개발, 운영, 유지보수를 위한 조직, 그리고 해당 조직의 위치 및 물리적/환경적 자산을 포함하는 것으로 한다.
1.   비즈니스 측면에서 살펴보면, 웹사이트를 통하여 고객이 자신의 정보를 입력하여 이루어지는 서비스와 콜센터를 통하여 상담이 이루어지는 서비스를 범위로 하며, 대고객 서비스를 위한 기업간의 계약, 협력사와의 정보교환 관련 서비스를 범위로 한다.
2.   조직 및 업무측면에서 살펴보면, 서비스의 개발 및 유지보수 그리고 운영에 관련된 업무와 이를 수행하는 조직을 범위로 한다.
3.   주요 자산으로는 시스템 개발 및 운영에 직접 관련있는 주요 서버와 보안시스템, 네트워크 장비들이 있으며 정보자산으로 서비스의 데이터 및 컨텐츠들이 있다. 이러한 자산들의 물리적 위치는 다음과 같다.
(1) 회사위치
(2) IDC 센터 위치
(3) 클라우드 위치 등

 
2.3 정보자산 목록
보호해야 할 정보자산을 식별합니다. 고객 개인정보, 내부 문서, 소프트웨어, 하드웨어 등 구체적인 항목을 나열합니다.
 
ISMS-P 인증 준비, 정보자산 관리절차 및 정보자산 관리대장 작성 가이드
에서 참고하시면 좋을것 같습니다. 

제3조(정보자산 목록)
1. ISMS 범위에 정의된 ㅇ가지 정보자산 유형별 상세 자산 목록은 다음과 같다. 

구분	자산	용도	위치/비고
서버시스템
정보보호시스템
DBMS
홈페이지
문서
네트워크
개인정보

2. 사무실 구성도는 아래와 같습니다. 
예) 주요출입구의 지문인식/CCTV 등이 그려진 사무실 배치도

 
2.4 위험 평가
위험 평가 절차를 설명합니다. 정보 자산에 대한 위협 및 취약점 분석 방법, 위험 수준 평가 방법, 대응 계획 수립 등을 포함합니다.
 
2.5 법적 요구사항
적용되는 법률 및 규제를 나열합니다. 개인정보 보호법, 정보통신망법 등 관련 법적 요구사항을 명시합니다.
아래는 인터넷 쇼핑몰 사업자를 기준으로 작성된 것으로 법률 및 규제를 충분히 이해하고 준수해야 합니다. 법적 요구사항을 위반할 경우 법적 책임을 질 수 있으며, 소비자와의 신뢰관계에도 부정적인 영향을 미칠수 있습니다. 따라서 법률 자문을 받거나 관련 교육을 이수하는 것이 해당 내용을 좀더 이해하는데 도움이 될것 같습니다. 

제5조(법적 요구사항)
1. 전자상거래 관련 법률
(1) 전자상거래법
목적: 온라인 거래의 기본적인 규범을 정립하여 소비자와 판매자 간의 거래를 안전하게 보호합니다.
주요 내용:
- 전자상거래 계약의 성립과 효력
- 소비자의 청약 철회권 및 환불 절차
- 판매자의 의무(상품 정보 제공 등)
(2) 정보통신망법
목적: 정보통신망의 안전성과 개인정보 보호를 위한 법률입니다.
주요 내용:
- 개인정보 수집 및 이용 시 동의 요구
- 개인정보 처리방침 고지 의무
- 정보통신 서비스 제공자의 책임

2. 소비자 보호 관련 법률
(1) 소비자 기본법
목적: 소비자의 권리 보호 및 공정한 거래 환경 조성을 위한 법률입니다.
주요 내용:
- 소비자의 권리 및 의무
- 불만 처리 및 보상 절차
(2) 약관의 규제에 관한 법률
목적: 소비자에게 불리한 약관의 사용을 규제합니다.
주요 내용:
- 약관의 명확성과 공정성 요구
- 소비자에게 불리한 조항의 무효화 가능성

3. 개인정보 보호 관련 법률
(1) 개인정보 보호법
목적: 개인의 정보 보호 및 안전한 관리 체계를 구축하기 위한 법률입니다.
주요 내용:
- 개인정보 수집, 저장, 처리 절차
- 고객의 동의 및 권리(열람, 정정, 삭제 요청 등)
- 개인정보 유출 시 통지 의무 
(2) 개인정보 처리방침
목적: 소비자가 개인정보가 어떻게 처리되는지를 이해할 수 있도록 합니다.
주요 내용:
- 수집하는 개인정보의 항목
- 이용 목적 및 보유 기간
- 제3자 제공 여부

4. 광고 및 마케팅 관련 법률
(1) 표시광고법
목적: 소비자를 보호하기 위해 광고의 진실성을 보장합니다.
주요 내용:
- 허위, 과장 광고 금지
- 가격, 성능, 품질에 대한 정확한 정보 제공 의무
(2) 스팸 방지법
목적: 불법적인 상업적 이메일 전송을 방지합니다.
주요 내용:
- 고객의 동의를 받은 후에만 마케팅 이메일 발송 가능
- 수신 거부 방법을 명시해야 함

5. 세금 관련 법률
(1) 부가가치세법
목적: 판매에 따른 세금 부과 및 신고를 규정합니다.
주요 내용:
- 상품 판매에 대한 부가가치세(VAT) 부과
- 정기적인 세금 신고 의무
(2) 소득세법
목적: 사업 소득에 대한 세금 부과 및 신고를 규정합니다.
주요 내용:
- 사업자로서 발생한 수익에 대한 세금 신고 및 납부 의무

6. 전자문서 및 전자서명 관련 법률
(1) 전자문서 및 전자거래 기본법
목적: 전자문서의 법적 효력을 규정합니다.
주요 내용:
- 전자거래의 유효성을 보장
- 전자계약의 성립 요건
(2) 전자서명법
목적: 전자서명의 법적 효력을 규정합니다.
주요 내용:
- 전자서명의 법적 유효성
- 안전한 거래를 위한 전자서명 사용 규정

7. 기타 법적 요구사항
(1) 지적재산권 보호법
목적: 지적재산권을 보호하여 창작자의 권리를 보장합니다.
주요 내용:
- 상표권, 저작권 등 지적재산권의 보호 및 침해 방지
(2) 안전기준 및 인증
목적: 특정 제품에 대해 안전 기준을 준수하도록 요구합니다.
주요 내용:
- 판매하는 제품의 안전성 검증 및 인증 요구

 
2.7 이해관계자와 경계 및 제외사항 
ISMS에 영향을 미치는 내부 및 외부 이해관계자를 식별합니다. 경영진, IT 팀, 고객, 협력업체 등이 포함됩니다.
저는 조직적 측면에서 필요한 내용을 넣었습니다. 

제6조(조직적 측면)
회사의 전체 조직 및 정보보호 조직은 다음과 같다.
1. 회사의 전체조직 및 정보보호 조직도
(1) 경영진 ( 대표이사 이하 ㅇ명의 이사 )
(2) 사업부 등 소개
( 조직도에서는 ISMS 인증범위에 속하는 부서와 속하지 않는 부서를 표시하는 것이 바람직합니다. )
(3) 전체 조직도상에서 ISMS 인증대상 부서와 제외되는 부서를 명확하게 명시한다.
(4) 정보보호 조직은 정보보호 최고책임자(CISO) 이하 정보보호 관리자 및 정보보호 담당자, 물리보안 관리자 및 담당자, 인적 보안 관리자 및 담당자, 개인정보 취급관리자 및 개인정보 취급자(고객센터)로 구성된다.
(5) 이하는 해당 조직도 상 담당자를 명시한다.

2. 업무위탁 및 외부시설 서비스 이용현황
(1) 업무위탁 이용현황 ( 개인정보 처리방침상 개인정보 외부위탁 업체 등 )
(2) 외부시설 서비스 이용현황 ( IDC / 클라우드 등 )

3. 재해 복구 비상연락망
(1) 재해유형에 따른 담당자 및 외부업체별 비상연락망
(2) 관련기관 비상연락망

 
2.9 문서 관리
문서의 검토 주기와 변경 관리 절차를 명시합니다. 연 1회 검토 및 수정하는 등의 내용을 포함할 수 있습니다.
 
2.10 결론
정보보호의 중요성을 재강조하고, 모든 구성원이 정보보호에 참여하도록 유도합니다.
 

3. 작성 단계

이제 위에서 설명한 구성 요소를 바탕으로 범위 정의서를 작성하는 단계입니다.
 
3.1 기초 자료 수집
먼저, 현재 조직의 정보보호 현황을 파악합니다. 기존의 보안 정책, 절차, 자산 목록 등을 검토합니다. 이를 통해 어떤 정보자산이 보호되어야 하는지, 현재의 보안 상태는 어떤지를 진단할 수 있습니다.
 
3.2 이해관계자와의 협의
정보보호 관리체계는 모든 부서와 관련이 있으므로, 이해관계자와 협의하는 것이 중요합니다. 각 부서의 책임자와 만나 정보자산과 프로세스에 대한 의견을 수렴합니다.
 
3.3 초안 작성
수집한 자료를 바탕으로 초안을 작성합니다. 각 요소를 충실히 반영하여 내용을 작성하고, 명확하고 간결한 문장을 사용합니다.
 
3.4 검토 및 수정
초안을 작성한 후, 관련 부서와 검토합니다. 피드백을 받아 수정하고, 최종안을 마련합니다.
 
3.5 승인 및 배포
최종안을 경영진에게 제출하고 승인을 받습니다. 이후 모든 직원에게 배포하여 ISMS의 중요성과 범위 정의서의 내용을 인식시킵니다.
 

4. 결론

ISMS-P 범위 정의서 작성은 중소기업의 정보보호 관리체계를 구축하는 데 매우 중요한 과정입니다. 명확한 범위 정의서는 조직의 정보자산을 효과적으로 보호하고, 법적 요구사항을 준수하는 데 기여합니다. 중소기업 보안 담당자는 이 가이드를 참고하여 체계적이고 효과적인 ISMS 범위 정의서를 작성하길 바랍니다.