ISO/IEC 27001
ISO/IEC 27001(정보보안경영시스템) 인증제도
- 조직이 비즈니스 위험 접근법을 기본으로, 정보보안의 확립(establish), 구현(implement), 운용(operate), 모니터링(monitor), 검토(review), 유지(maintain)하며 개선(improve)하기 위한 경영시스템
- 조직이 보유한 정보자산의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability) 유지를 위한 모든 보안관리 활동을 체계화
- 조직에서의 업무(business),조 직(organization), 장소(location),자산(assets)과 기술(technology)적 특성을 고려하여 구현 범위 설정
ISO/IEC 27001(정보보안경영시스템) 모델
- 01. 계획 : 정보보안을 개선하거나 위기관리를 하기위한 ISMS 방침, 목적, 프로세스, 절차수립
- 02. 실행 : ISMS 방침, 통제, 프로세스, 절차의 실행 및 운영
- 03. 점검 : ISMS 방침, 목표, 실행에 대한 평가 및 측정
- 04. 조치 : 지속적 ISMS 개선을 위하여 내부심사, 경영검토 활동
인증취득의 필요성 및 기대효과
- ISO27001을 통해 정보 보안에 대한 법적 및 계약 요구사항에 대한 적합성 향상 기대
- 국제 표준에 따른 정보 보안 리스크 관리 체계 개선을 통한 실질적인 정보보안 수준 향상
- 정보보호 위험관리를 통한 비즈니스 안정성 제고
- 윤리 및 투명 경영을 위한 정보보호 법적 준거성 확보
- 침해사고, 집단소송 등에 따른 사회 · 경제적 피해 최소화
- 인증 취득시 정보보호 대외 이미지 및 신뢰도 향상
ISO/IEC 27001:2022 발행에 따른 인증전환안내
ISO/IEC 27001:2022 요구사항
1. 적용범위
2. 인용표준
3. 용어와 정의
4. 조직상황
2. 인용표준
3. 용어와 정의
4. 조직상황
4.1 조직과 조직의 상황 이해
4.2 이해관계자의 요구와 기대 이해
4.3 정보보안경영시스템의 적용범위 결정
4.4 정보보안경영시스템
5. 리더십
4.2 이해관계자의 요구와 기대 이해
4.3 정보보안경영시스템의 적용범위 결정
4.4 정보보안경영시스템
5.1 리더십과 의지
5.2 방침
5.3 조직의 역할, 책임 그리고 권한
6. 계획
5.2 방침
5.3 조직의 역할, 책임 그리고 권한
6.1 위험과 기회를 다루기 위한 조치
6.2 정보보안목표와 그의 달성 기획
7. 지원
6.2 정보보안목표와 그의 달성 기획
7.1 자원
7.2 역량
7.3 인식
7.4 의사소통
7.5 문서화된 정보
7.2 역량
7.3 인식
7.4 의사소통
7.5 문서화된 정보
8. 운용
8.1 운영 계획 및 통제
8.2 정보보안 위험평가
8.3 정보보안 위험처리
9. 성과 평가
8.2 정보보안 위험평가
8.3 정보보안 위험처리
9.1 모니터링, 측정, 분석 및 평가
9.2 내부심사
9.3 경영진 검토
10. 개선
9.2 내부심사
9.3 경영진 검토
10.1 지속적 개선
10.2 부적합 및 시정 조치
부속서 A(규범적) 정보보안 통제
10.2 부적합 및 시정 조치
A.5 조직 통제
A.6 인원 통제
A.7 물리적 통제
A.8 기술적 통제
A.6 인원 통제
A.7 물리적 통제
A.8 기술적 통제
ISO/IEC 27001:2013 요구사항
1. 적용범위
2. 인용표준
3. 용어와 정의
4. 조직상황
2. 인용표준
3. 용어와 정의
4. 조직상황
4.1 조직과 상황에 대한 이해
4.2 이해당사자의 요구와 기대에 대한 이행
4.3 정보보호 경영시스템의 범위 결정
4.4 정보보호 경영시스템
5. 리더십
4.2 이해당사자의 요구와 기대에 대한 이행
4.3 정보보호 경영시스템의 범위 결정
4.4 정보보호 경영시스템
5.1 리더십과 의지
5.2 정책
5.3 조직의 역할, 책임, 권한
6. 계획
5.2 정책
5.3 조직의 역할, 책임, 권한
6.1 위험과 기회에 따른 조치
6.2 정보보호 목표 및 달성 계획
7. 지원
6.2 정보보호 목표 및 달성 계획
7.1 자원
7.2 적격성
7.3 인식
7.4 의사소통
7.5 문서 정보
8. 운용
7.2 적격성
7.3 인식
7.4 의사소통
7.5 문서 정보
8.1 운영 계획 및 통제
8.2 정보보호 위험평가
8.3 정보보호 위험처리
8.2 정보보호 위험평가
8.3 정보보호 위험처리
9. 성과 평가
9.1 모니터링, 측정, 분석 및 평가
9.2 내부심사
9.3 경영진 검토
10. 개선
9.2 내부심사
9.3 경영진 검토
10.1 부적합 및 시정 조치
10.2 지속적 개선
부속서 A(규정) 참조 통제 목적과 통제
10.2 지속적 개선
A.5 정보보호 정책
A.6 정보보호 조직
A.7 인적자원 보안
A.8 자산관리
A.9 접근통제
A.10 암호화
A.11 물리적 및 환경적 보안
A.12 운영 보안
A.13 통신 보안
A.14 시스템 도입, 개발, 유지보수
A.15 공급자 관계
A.16 정보보호 사고 관리
A.17 업무연속성 관리의 정보보호 측면
A.18 준거성
A.6 정보보호 조직
A.7 인적자원 보안
A.8 자산관리
A.9 접근통제
A.10 암호화
A.11 물리적 및 환경적 보안
A.12 운영 보안
A.13 통신 보안
A.14 시스템 도입, 개발, 유지보수
A.15 공급자 관계
A.16 정보보호 사고 관리
A.17 업무연속성 관리의 정보보호 측면
A.18 준거성