[ISMS-P 인증기준 안내서] 1. 관리체계 수립 및 운영 (1.1.4 범위 설정)

안녕하세요. 황컴플라이언스 입니다.

[ISMS-P 인증기준 안내서] 1. 관리체계 수립 및 운영 (1.1.4 범위 설정)

 1. 관리체계 수립 및 운영

1.1 관리체계 기반 마련

1.1.4 범위 설정

---

[인증기준]

• 조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다.

---

[주요 확인사항]

• 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가?
• 정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의·책임자 승인 등 관련 근거를 기록·관리하고 있는가?
• 정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서 목록 등)이 포함된 문서를 작성하여 관리하고 있는가?

---

[운영방안]

→ 유·무형 자산 상세 (예시)

 

ISMS-P 인증범위 (예시)

 

조직의 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증범위에 포함된 유·무형 자산은 다음과 같이 세분화 할 수 있다.

 

① DMZ

• 웹 애플리케이션 서버(WAS), API 서버, 연계 서버, 스트리밍 서버, DNS 서버 등
• DMZ는 외부와의 접점을 관리하며, 외부로부터의 공격을 효율적으로 차단하고, 내부 네트워크를 보호하는 중요한 역할을 한다.

② 네트워크 및 보안시스템

• 라우터와 스위치 같은 네트워크 장비, 방화벽, 침입차단시스템(IPS), 침입탐지시스템(IDS), 웹방화벽(WAF) 등
• 위 시스템은 외부 위협으로부터 네트워크를 보호하고 안전한 데이터 통신을 보장한다.

③ 서버 존

• 조직의 주요 서버, 데이터베이스, 보안시스템
• 이 영역은 조직의 데이터와 서비스 운영의 핵심 인프라를 구성하며, 정보의 기밀성, 무결성, 가용성을 보장하기 위한 다양한 보안조치가 수행된다.

④ 정보통신서비스 관리시스템

• 관리시스템(Back Office System) 및 모니터링 시스템
• 조직의 운영 효율성과 서비스 안정성을 유지하는데 중요한 요소이다.

⑤ 개발 환경

• 개발 및 테스트 서버, 테스트 데이터베이스 등
• 개발 환경은 안전한 코드 개발과 테스트를 위한 보호대책이 적용되어, 보안취약점을 최소화한다.

⑥ 업무 환경

• 인증범위 내 인력, IT운영자, 정보통신 관리자, 개발자 등의 단말
• 업무 환경에서 사용되는 모든 장비와 단말이 보안 체계 내에서 관리되며, 보안사고를 예방할 수 있다.

⑦ 내부용 네트워크 및 보안시스템

• 내부에서 사용하는 라우터, 스위치, DRM, DLP, PMS 등
• 조직 내부에서의 정보보호를 강화하고, 보안 정책이 일관되게 적용될 수 있도록 한다.

⑧ 내부 업무용 인프라

• 그룹웨어, ERP(전사적 자원 관리) 시스템 등
• 조직의 효율적인 업무 수행을 지원하며, 정보보호를 위한 기본적인 환경을 제공한다.

⑨ 고객센터

• 고객응대에 사용되는 상담원 단말, 팩스시스템, 녹취시스템 등
• 고객정보 보호와 서비스 품질관리에 중요한 요소이며, 고객정보의 안전한 처리를 보장한다.

⑩ 물류센터

• 고객센터를 포함한 영업점, 개인정보 수탁사, 대리점, POS/KIOSK 등
• 물류와 관련된 모든 업무 및 비즈니스 프로세스를 관리한다. 물류센터는 재고 관리의 핵심이며, 보안 강화가 필수적이다.

→ ISMS-P 인증범위 내 예외 (예시)

정보보호 및 개인정보보호의 업무 범위를 벗어난 자산 및 조직은 제외함

• 조직의 정보보호 및 개인정보보호 관리체계가 적용되는 범위는 주로 서비스 제공과 직접적으로 관련된 업무 조직과 자산에 집중된다. 따라서, 서비스 제공을 위한 업무 범위에 포함되지 않는 자산 및 조직은 ISMS-P 인증범위에서 제외된다.

→ ISMS-P 인증범위 문서화 (예시)

정보보호 및 개인정보보호 관리체계 인증 시 범위 산정에 필요한 문서 현황은 다음과 같다.

정보서비스 및 업무현황	정보서비스 및 개인정보 처리 업무 현황을 문서화한다. 이 문서에는 조직이 제공하는 주요서비스의 개요와 각 서비스별로 정보 및 개인정보를 처리하는 흐름이 포함되어 있어야 한다.
서비스 제공과 관련된 조직 현황	조직도의 형태로 서비스 제공에 관련된 모든 조직과 부서의 현황을 표현한다. 이는 관리체계 내에서 각 부서의 역할과 책임을 명확히 규정하고, 자원의 배분과 조정을 원활히 할 수 있다.
정보보호 및 개인정보보호 조직 현황	정보보호 및 개인정보보호를 담당하는 전담조직의 현황을 문서화한다. 정보보호 최고책임자(CISO), 개인정보 보호책임자(CPO) 등의 주요 인력들과 역할 및 책임을 명시하여 조직 체계의 효율성을 확보한다.
주요 설비 목록	정보보호 및 개인정보보호와 관련된 주요 설비 목록을 현행화한다. 이 과정에서는 데이터센터, 서버룸, 네트워크 장비실 등 물리적 보안을 위한 주요 설비의 위치와 상태가 포함되어 있어야 한다.
정보시스템 목록 및 네트워크 구성도	조직 내에서 운영되는 모든 정보시스템의 목록과 네트워크 구성도를 문서화한다. 이를 통해 시스템 간의 상호작용과 데이터 흐름을 명확히 파악하고, 보안취약점을 식별해야 한다.
정보자산, 개인정보 자산식별 기준 및 자산현황	정보자산과 개인정보 관련 자산을 식별하고, 이를 기준으로 자산목록을 최신화한다. 또한, 자산의 용도와 중요도를 평가하고 적절한 보호조치를 적용한다.
정보보호 및 개인정보보호 시스템 목록	정보보호 및 개인정보보호를 위한 시스템 목록을 현행화한다. 방화벽, 웹방화벽, IPS, 접근제어시스템 등의 다양한 보안시스템이 포함된다.
서비스 구성도 및 개인정보 처리	서비스 구성도와 개인정보 처리 절차를 문서화한다. 개인정보의 Life Cycle 단계별 과정을 명확히 표현하고 각 단계에서 적용되는 서비스 흐름을 표현해야 한다.
문서 목록	정보보호 및 개인정보보호 정책, 지침, 매뉴얼, 가이드, 양식, 운영명세서 등 문서 목록을 작성하여 관리한다. 이를 통해 최신성을 유지하고 조직 내 모든 구성원이 해당 문서를 참조할 수 있도록 한다.
관리체계 수립 방법 및 절차	관리체계를 수립하는 방법과 절차를 문서화한다. 관련 법적 준거성 검토, 내부감사 등의 절차를 포함하여 관리체계의 적법성과 효과성을 확보한다.
외주업체 현황	고객센터, IDC, IT개발 및 운영 등 외주(위탁)업체 현황을 문서화한다. 이를 통해 외부와의 협력 관계를 명확히 하고, 외주 업체의 보안조치 이행여부를 관리한다.

---

[인증기준 취지]

• 1.1.4 범위 설정은 조직의 핵심 서비스와 개인정보 관련 정보자산을 관리체계 범위로 설정하는 것에 관한 인증기준이다. 이는 조직의 정보보호와 개인정보보호 목적으로 보호대상을 명확히 하고 이를 체계적으로 관리하기 위한 중요한 절차이다.
• 먼저 관리체계 범위에 포함하는 이유는 보호대상을 명확하게 한정하고, 이를 통해 조직은 보호해야 할 정보자산을 정확히 파악하여 효과적인 보호조치를 적용할 수 있다. 
• 또한, 범위를 명확히 설정함으로써 관리체계의 일관성과 신뢰성을 확보할 수 있으며, 보호대상의 변동이 발생할 때도 신속하게 대응이 가능하다.
• 범위 설정의 절차는 다음과 같다.

범위 설정 및 문서화	조직 내 관리체계 범위는 명확하게 설정하고, 이를 확인하기 위한 문서화를 해야 한다. 범위 설정은 조직의 정보보호 목표와 전략, 법적 요구사항, 리스크 평가 결과 등을 종합적으로 고려하여 수행된다.
기술적 관리적 물리적 보호대책 적용	기술적 보호대책은 암호화, 접근제어, 네트워크보안, 침입탐지/차단 시스템 등의 보안기술을 포함한다.  관리적 보호대책은 보안정책, 절차, 교육, 감사 등의 관리적 활동을 포함한다. 물리적 보호대책은 보안시설, 접근통제, 감시 시스템 등의 물리적 보안 조치를 포함한다.
위협 식별 및 접근통제	관리체계 범위 내에서 발생할 수 있는 다양한 위협을 식별하고 이를 효과적으로 통제하기 위한 접근통제 방안을 마련해야 한다. 이는 정보자산에 대한 접근권한을 엄격히 관리하고 불필요한 접근을 차단하는 것을 의미한다. 위협 식별은 정기적인 리스크 평가를 통해 이루어지며 새로운 위협이 발생할 경우 신속하게 대응할 수 있도록 한다.
결론	조직의 정보보호 및 개인정보보호를 위한 기본적인 절차로서, 보호대상을 명확히 정의하고 이를 체계적으로 관리함으로써 정보자산을 안전하게 보호하는데 중요한 역할을 할 수 있다. 이를 통해 조직의 정보보호 수준을 향상시키고 법적 요구사항을 충족하며, 신뢰성을 확보할 수 있다.

---

[유사한 인증통제 항목]

○ 1.2.1 정보자산 식별

• 조직의 정보자산을 체계적으로 관리하기 위해, 정보자산 분류기준을 수립하여 정보자산을 식별하고, 각 정보자산의 중요도를 산정한 후 최신화해야 한다. 이를 통해 조직은 정보자산의 보호 및 관리를 효율적으로 수행할 수 있다.

○ 1.2.2 현황 및 흐름분석

• 조직은 정보서비스와 개인정보 처리 현황을 체계적으로 분석하고, 이에 따른 업무 절차와 흐름을 문서화하며, 정기적인 검토를 통해 최신성을 유지해야 한다. 이를 통해 조직의 정보보호 및 개인정보보호 수준은 지속적으로 향상되고, 법적 요구사항을 준수하게 되며, 내부 통제 체계를 강화할 수 있다.

○ 1.3.3 운영현황 관리

• 조직은 관리체계 운영활동과 수행 내역을 체계적으로 기록하여 관리하고, 경영진은 정기적으로 운영활동의 효과성을 평가하여, 필요한 개선조치 내용을 신속하게 파악해야 한다. 이를 통해 운영 효과성을 지속적으로 확인하며 관리체계 운영 활동의 투명성과 신뢰성을 보장하며, 정보보호 수준을 향상시키는데 중요하게 작용된다.

○ 2.1.3 정보자산 관리

• 정보자산을 유형별로 분류하고, 각 자산의 용도와 중요도를 평가해야 한다. 이 과정에서 자산의 기밀성, 무결성, 가용성 측면을 고려하여 중요도 등급을 산정해야 한다. 이를 통해 적절한 취급 절차 및 보호대책을 수립하고 이행하여야 하며, 각 정보자산에 대한 책임을 명확히 정의하여 책임자를 지정하고 자산의 보호와 관리에 대한 책임을 수행하여야 한다.

---

[세부 설명]

• 1. 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하여야 한다.
• 1-1. 관리체계 범위에는 사업(서비스)과 관련된 임직원, 정보시스템, 정보, 시설 등 유·무형의 핵심자산을 누락 없이 포함
• 1-2. 특히 정보보호 관리체계 의무대상자의 경우 법적 요구사항에 따른 정보통신서비스 및 관련 정보자산은 의무적으로 포함되도록 범위 설정
• 2. 정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의·책임자 승인 등 관련 근거를 기록·관리하여야 한다.
• 2-1. 정보보호 관리체계와 개인정보보호 관리체계의 범위가 상이한 경우에는 인증범위 내의 정보자산 목록(개인정보, 시스템, 네트워크 등)을 정보보호 관리체계 및 개인정보보호 관리체계 관점에서 명확하게 식별하여 정의
• 2-2. 인증범위에서 제외되는 서비스, 정보시스템 등에 대해서는 내부 협의 및 책임자 승인을 거친 후 그 사유 및 근거에 대하여 기록하여 관리
• 3. 정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서 목록 등)이 포함된 문서를 작성하여 관리하여야 한다.
• 3-1. 주요 서비스 및 업무 현황(개인정보 처리 업무 현황 포함)
• 3-2. 서비스 제공과 관련된 조직 현황(조직도 등)
• 3-3. 정보보호 및 개인정보보호 조직 현황
• 3-4. 주요 설비 목록
• 3-5. 정보시스템 목록 및 네트워크 구성도
• 3-6. 정보자산, 개인정보 관련 자삭식별 기준 및 자산현황
• 3-7. 정보보호 및 개인정보보호 시스템 목록
• 3-8. 서비스(시스템) 구성도 및 개인정보(수집, 이용, 제공, 저장, 관리, 파기) 처리 흐름
• 3-9. 문서 목록(예 : 정책, 지침, 매뉴얼, 운영명세서 등)
• 3-10. 정보보호 및 개인정보보호 관리체계 수립 방법 및 절차, 관련 법적 준거성 검토, 내부감사
• 3-11. 고객센터, IDC, IT개발 및 운영 등 외주(위탁)업체 현황 등

---

[증적 필요사항 예시]

• 정보보호 및 개인정보보호 관리체게 범위 정의서
• 정보자산 및 개인정보 목록
• 문서 목록
• 서비스 흐름도
• 개인정보 흐름도
• 전사 조직도
• 시스템 및 네트워크 구성도

---

[인증심사원의 심사 관점]

인증심사원은 정보보호 및 개인정보보호 관리체계의 효과적인 운영을 확인하기 위해 다음의 사항을 확인한다.

 

① 인증범위 내 중요 의사결정 및 핵심 조직 확인

• 정보보호 및 개인정보보호 관리체계의 범위로 설정된 서비스 또는 사업에서 중요 의사결정자 역할을 수행하는 임직원과 사업부서 등의 핵심 조직(인력)이 인증범위에서 누락되어 있는지를 확인한다. 이 과정에서 주요 의사결정자와 핵심 조직이 정보보호 관리체계의 모든 측면에서 적절히 포함되었는지 확인한다.
• 인증범위 내 중요 의사결정자(이하 임직원, 사업부서, 핵심 조직 등)가 포함되어 있는지 확인하는 절차는 다음과 같다.

문서 검토	조직의 정보보호 및 개인정보보호 관리체계 문서, 정책, 조직도, 업무 분장표 등을 검토하여 정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업의 중요 의사결정자 및 핵심 조직(인력)이 인증범위에 포함되어 있는지를 확인한다. 문서검토를 통해 해당 조직과 임직원의 역할, 책임, 권한 등을 명확히 파악한다.
인터뷰	정보보호 최고책임자(CISO), 개인정보 보호책임자(CPO), 각 사업부서의 팀장 및 주요 의사결정권자, 정보보호 담당자 등과의 인터뷰를 통해 해당 서비스 또는 사업에 대한 의사결정 과정과 역할 분담에 대해 파악한다. 인터뷰를 통해 문서와 실제 운영 간의 일치 여부를 확인하고, 각 중요 의사결정자 및 핵심 조직의 인증범위 포함 여부를 평가한다.
역할 및 책임 분석	조직 내 각 부서의 역할 및 책임을 분석하여 정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업이 인증범위 내에서 적절히 관리되고 있는지를 검토한다. 이를 통해 각 부서의 주요 업무와 인증범위 간의 연관성을 파악하고 누락된 부분이 있는지를 평가한다.
현장 확인 및 실사	중요 의사결정자 및 핵심 조직이 실제로 활동하고 있는 현장을 실사하여 이들의 역할과 책임이 인증범위 내에서 충실히 수행되고 있는지를 확인한다. 현장실사를 통해 각 임직원과 부서가 정보보호 및 개인정보보호 관리체계 내에서 어떻게 기능하고 았으며, 이들이 인증범위에 포함되어 있는지를 세밀히 검토한다.
결론	조직의 정보보호 및 개인정보보호 관리체계 범위 내 모든 중요 의사결정자와 핵심 조직이 적절히 포함되고 있는지를 확인하여, 조직의 관리체계가 전반적으로 일관성 있게 운영됨을 보장하며, 중요 의사결정자와 핵심 조직의 역할이 제대로 수행될 수 있도록 한다.

② 내부 시스템 인증범위 포함 여부 확인

• 정보보호 및 개인정보보호 관리체계의 범위를 설정하였으나, 해당 서비스의 직접적인 운영 및 관리를 위해 사용하고 있는 내부 시스템이 인증범위에 포함되지 않고 있는지를 확인한다. 이처럼 내부 시스템의 적절한 인증범위 포함 여부를 평가함으로써, 모든 관련 시스템이 정보보호 및 개인정보보호 요구사항을 충족할 수 있도록 한다. (※ 정보보호 시스템 확인 절차 하기 표 참조)

③ 정보보호 시스템 배제 여부 확인

• 인증범위 내 조직 및 인력에 적용되고 있는 정보보호 시스템을 인증범위에서 배제하고 있는지를 확인한다. 또한 정보보호 시스템의 적절한 적용 여부와 인증범위에 포함된 조직 내 모든 요소에 대해 충분한 정보보호 조치가 이행되고 있는지를 평가한다.
• 정보보호 시스템이 인증범위 내에서 적절히 포함되어 있는지 확인하는 절차는 다음과 같다.

문서 검토	인증심사원은 조직의 정보보호 관리체계 문서, 정책서, 절차서, 운영 매뉴얼 등을 검토하여, 명시된 정보보호 시스템이 실제로 인증범위 내에 포함되어 있는지를 확인한다.
인터뷰	정보보호 최고책임자(CISO), 개인정보 보호책임자(CPO), 정보보호 담당자 등과의 인터뷰를 통해 정보보호 시스템의 운영 현황 및 적용 범위를 파악한다. 이를 통해 문서와 실제 운영 간의 일치 여부를 검토한다.
실사 및 현장 확인	정보보호 시스템이 실제로 운영되고 있는 현장을 실사하여 시스템이 적절히 운영되고 있는지를 확인한다. 이를 통해 배제된 시스템이 없는지, 모든 시스템이 인증범위 내에서 정상 운영되고 있는지를 검증한다.
테스트 및 검증	정보보호 시스템의 설정 및 구성, 접근제어, 침입탐지/차단, 위협감지 및 대응 기능 등을 테스트하여 시스템이 인증범위 내에서 역할을 문제 없이 수행하는지를 검증한다. 필요한 경우, 모의침투 테스트 등을 통해 시스템의 보안성검토를 추가로 평가할 수 있다.
결론	인증범위 내 조직 및 인력에 적용되고 잇는 모든 정보보호 시스템이 인증범위에서 배제되지 않았음을 확인할 수 있을 것이다. 이는 조직의 정보보호 관리체계가 전반적으로 적절히 구성되고 운영되고 있음을 보장하며, 정보 자산의 안전성을 강화하는데 중요한 역할을 한다.

조직의 정보보호 및 개인정보보호 관리체계의 완전성과 신뢰성을 보장하기 위해 법적 리스크를 최소화하고 사이버 위협에 효과적으로 대응할 수 있는 기반을 마련하여 조직의 정보 자산 보호와 신뢰성 향상에 중요한 기여를 할 수 있다.

---

[보안담당자의 관점]

정보보호 및 개인정보보호 담당자는 조직의 정보보호와 개인정보보호 관리체계의 성공적인 구현과 운영 활동을 위해 다음과 같은 역할을 수행한다.

 

① 유·무형의 핵심 자산 포함

• 정보보호 및 개인정보보호 관리체계 대상 서비스와 관련된 정보시스템, 정보, 시설, 조직 등 유·무형의 핵심 자산을 누락 없이 포함해야 한다. 이를 통해 보안담당자는 조직의 전반적인 관리체계의 완전성을 보장해야 한다. 이 과정은 조직 내에서 중요한 자산을 식별하고, 이를 안전하게 보호하기 위한 필수적인 절차이다.

정보시스템	조직의 전산시스템 및 소프트웨어, 하드웨어 등이 포함된다. 이는 데이터베이스, 네트워크 장비, 서버, 애플리케이션 등을 포함하여 조직 운영에 필요한 모든 정보시스템을 대상으로 한다.
정보	조직의 기밀 데이터 및 자료, 개인정보, 회사 내 중요한 중요한 문서 등 모든 형태의 정보를 포함한다.
시설	조직의 물리적 보안 대상이 되는 모든 시설이 포함된다. 이는 데이터센터, 사무실, 서버실, 저장소 등 조직의 운영을 지원하는 모든 물리적 시설을 포함한다.
조직	정보보호 및 개인정보보호 관리체계와 관련된 모든 조직 단위, 팀, 부서 등이 포함된다. 이는 각 조직 단위가 자신의 역할과 책임을 명확히 이해하고 이를 이행할 수 있도록 하는 것이 중요하다.

② 관리체계 범위 정의

• 정보보호 및 개인정보보호 관리체계 범위를 명확히 정의해야 한다. 이는 조직의 관리체계 범위 내에서 서비스, 업무, 조직, 정보시스템 등을 포함하여 정보보호 및 개인정보보호 관리체계 범위를 정의하는 것을 의미한다. 이 과정은 조직이 보호해야 할 모든 자산을 식별하고, 이를 체계적으로 관리하기 위한 필수적인 절차이다.

서비스	조직이 제공하는 모든 서비스가 포함된다. 이는 고객과 상호작용하는 온라인/오프라인 서비스, 내부 업무 지원 서비스 등을 포함하여 조직의 모든 서비스가 관리체계 내에서 적절히 포함되어야 하고 관리되어야 한다.
업무	조직의 정보보호 및 개인정보보호 관리 대상이 되는 모든 업무 프로세스가 포함된다. 이는 데이터 처리 절차, 정보 보관 절차, 정보 전달 절차 등 모든 업무 프로세스가 관리체계 내에서 일관되게 준수되도록 해야 한다.
조직	정보보호 및 개인정보보호 관리체계와 관련된 모든 조직 단위가 포함된다. 각 조직 단위는 자신의 역할과 책임을 명확히 이해하고, 이를 준수하기 위한 노력을 기울여야 합니다.
정보시스템	조직의 전산시스템 및 소프트웨어, 하드웨어 등이 포함된다. 이는 데이터베이스, 네트워크 장비, 서버, 애플리케이션 등을 포함하여 조직 운영에 필요한 모든 정보시스템을 관리체계 내에서 보호하는 것이 중요하다.

위와 같은 보안담당자의 역할로 정보보호와 개인정보보호 수준을 높이고, 정보 자산을 안전하게 보호하기 위한 기반을 마련할 수 있다. 이는 조직 내 모든 구성원이 정보보호의 중요성을 인식하고 이를 위한 정책과 절차를 충실히 준수할 수 있도록 하기 위함이다.

---

[결함사례]

• 사례 1 : 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 외주업체 직원, PC, 테스트용 단말기 등이 관리체계 범위에서 누락된 경우
• 사례 2 : 정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 인증범위에 포함하지 않은 경우
• 사례 3 : 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 개발자 PC, 테스트용 단말기, 개발조직 등이 관리체계 범위에서 누락된 경우