정보보안
ISO 27001/IEC 정보보안
ISO/IEC 27001 정보보안경영 인증이란?
ISO 27001은 국제표준화기구(International Organization for Standardization, ISO)가 제정한 정보보호 경영시스템(Information Security Management System, ISMS)에 대한 국제표준으로 조직의 정보 자산을 체계적으로 보호하기 위하여 정보보호 정책 수립, 위험관리, 보안 통제 및 지속적인 개선을 포함한 관리체계를 구축하고 운영하도록 요구하는 국제적인 경영시스템 기준입니다.
ISO 27001 인증은 정보 자체의 안전성을 평가하는 것이 아니라 조직의 정보보호 관리체계가 국제표준 요구사항에 따라 적절하게 구축되고 운영되고 있는지를 제3자 인증기관이 심사를 통해 확인하는 제도입니다.
ISO/IEC 27001 도입배경
최근 디지털 전환이 가속화됨에 따라 기업과 기관이 보유한 정보 자산의 중요성이 크게 증가하고 있으며, 해킹, 정보유출, 랜섬웨어 등 다양한 정보보호 위협이 지속적으로 발생하고 있습니다.
이에 따라 조직은 정보 자산을 보호하고 보안 사고를 예방하기 위한 체계적인 관리체계를 구축할 필요성이 더욱 강조되고 있습니다.
ISO 27001은 이러한 환경 변화에 대응하기 위해 조직이 정보보호 위험을 체계적으로 식별하고 관리하며, 지속적인 보안 수준 향상을 통해 정보 자산을 보호할 수 있도록 마련된 국제적인 정보보호 경영 기준입니다.
이를 통해 조직은 정보보호 역량을 강화하고 고객 및 이해관계자의 신뢰를 확보할 수 있습니다.
ISO/IEC 27001 인증취득의 효과
ISO 27001 인증을 통해 조직은 다음과 같은 효과를 기대할 수 있습니다.
- 정보 자산 보호 체계 구축
- 정보유출 및 보안 사고 예방
- 정보보호 위험관리 체계 확립
- 보안 프로세스의 표준화 및 효율성 향상
- 고객 및 이해관계자 신뢰 확보
- 법적·규제 요구사항 대응력 강화
- 조직의 대외 신뢰도 및 경쟁력 향상
ISO/IEC 27001 요구사항 구조
| 구분 | 표준 요구사항 |
|---|---|
| 4 | 조직 상황 |
| 4.1 | 조직 및 조직 상황의 이해 |
| 4.2 | 이해관계자의 요구와 기대 이해 |
| 4.3 | 정보보안경영시스템의 적용범위 결정 |
| 4.4 | 정보보안경영시스템 |
| 5 | 리더십 |
| 5.1 | 리더십과 의지 |
| 5.2 | 방침 |
| 5.3 | 조직의 역할, 책임 및 권한 |
| 5.4 | 서비스 이용자 중심 |
| 6 | 계획 |
| 6.1 | 위험과 기회를 다루기 위한 조치 |
| 6.2 | 정보보안목표와 그 외 달성 기획 |
| 7 | 지원 |
| 7.1 | 자원 |
| 7.2 | 역량 |
| 7.3 | 인지 |
| 7.4 | 의사소통 |
| 7.5 | 문서화된 정보 |
| 구분 | 표준 요구사항 |
|---|---|
| 8 | 운영 |
| 8.1 | 운영 기획 및 통제 |
| 8.2 | 정보보안 위험평가 |
| 8.3 | 정보보안 위험처리 |
| 9 | 성과평가 |
| 9.1 | 모니터링, 측정, 분석 및 평가 |
| 9.2 | 내부심사 |
| 9.3 | 경영검토 |
| 10 | 개선 |
| 10.1 | 지속적인 개선 |
| 10.2 | 부적합 및 시정조치 |
| 부속서(A) 정보보안 통제조항 | |
| 5 | 조직 제어 |
| 6 | 인원 제어 |
| 7 | 물리적 제어 |
| 8 | 기술적 제어 |