ISO/IEC 27001 (정보보호)
-
- ISO/IEC 27001(정보보안경영시스템) 인증제도
-
- 조직이 비즈니스 위험 접근법을 기본으로, 정보보안의 확립(establish), 구현(implement), 운용(operate), 모니터링(monitor),
검토(review), 유지(maintain)하며 개선(improve)하기 위한 경영시스템 - 조직이 보유한 정보자산의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability) 유지를 위한 모든 보안관리 활동을 체계화
- 조직에서의 업무(business),조 직(organization), 장소(location),자산(assets)과 기술(technology)적 특성을 고려하여 구현 범위 설정
- 조직이 비즈니스 위험 접근법을 기본으로, 정보보안의 확립(establish), 구현(implement), 운용(operate), 모니터링(monitor),
ISO/IEC 27001(정보보안경영시스템) 모델
- 01. 계획 : 정보보안을 개선하거나 위기관리를 하기위한 ISMS 방침, 목적, 프로세스, 절차수립
- 02. 실행 : ISMS 방침, 통제, 프로세스, 절차의 실행 및 운영
- 03. 점검 : ISMS 방침, 목표, 실행에 대한 평가 및 측정
- 04. 조치 : 지속적 ISMS 개선을 위하여 내부심사, 경영검토 활동
-
- 인증취득의 필요성 및 기대효과
-
- ISO27001을 통해 정보 보안에 대한 법적 및 계약 요구사항에 대한 적합성 향상 기대
- 국제 표준에 따른 정보 보안 리스크 관리 체계 개선을 통한 실질적인 정보보안 수준 향상
- 정보보호 위험관리를 통한 비즈니스 안정성 제고
- 윤리 및 투명 경영을 위한 정보보호 법적 준거성 확보
- 침해사고, 집단소송 등에 따른 사회 · 경제적 피해 최소화
- 인증 취득시 정보보호 대외 이미지 및 신뢰도 향상
- ISO/IEC 27001:2022 발행에 따른 인증전환안내
ISO/IEC 27001(정보보안경영시스템) 모델
ISO/IEC 27001:2022 요구사항
-
1 적용범위
2 인용표준
3 용어와 정의
4 조직상황
4.1 조직과 조직상황의 이해
4.2 이해관계자의 니즈와 기대 이해
4.3 정보보안경영시스템의 적용범위 결정
4.4 정보보안경영시스템
5 리더십
5.1 리더십과 의지
5.2 방침
5.3 조직의 역할, 책임 그리고 권한
6 계획
6.1 위험과 기회를 다루기 위한 조치
6.2 정보보안목표와 그의 달성 기획
7 지원
7.1 자원
7.2 역량
7.3 인식
7.4 의사소통
7.5 문서화된 정보
-
8 운용
8.1 운용 계획 및 통제
8.2 정보보안 위험평가
8.3 정보보안 위험처리
9 성과 평가
9.1 모니터링, 측정, 분석 및 평가
9.2 내부심사
9.3 경영진 검토
10 개선
10.1 지속적 개선
10.2 부적합 및 시정 조치
부속서 A(규범적) 정보보안 통제
A.5 조직 통제
A.6 인원 통제
A.7 물리적 통제
A.8 기술적 통제
ISO/IEC 27001:2013 요구사항
-
1 적용범위
2 인용표준
3 용어와 정의
4 조직상황
4.1 조직과 상황에 대한 이해
4.2 이해당사자의 요구와 기대에 대한 이행
4.3 정보보호 경영시스템의 범위 결정
4.4 정보보호 경영시스템
5 리더십
5.1 리더십과 의지
5.2 정책
5.3 조직의 역할, 책임, 권한
6 계획
6.1 위험과 기회에 따른 조치
6.2 정보보호 목표 및 달성 계획
7 지원
7.1 자원
7.2 적격성
7.3 인식
7.4 의사소통
7.5 문서 정보
8 운용
8.1 운용 계획 및 통제
8.2 정보보안 위험평가
8.3 정보보안 위험처리
-
9 성과 평가
9.1 모니터링, 측정, 분석 및 평가
9.2 내부심사
9.3 경영진 검토
10 개선
10.1 부적합 및 시정 조치
10.2 지속적 개선
부속서 A(규범적) 정보보안 통제
A.5 정보보호 정책
A.6 정보보호 조직
A.7 인적자원 보안
A.8 자산관리
A.9 접근통제
A.10 암호화
A.11 물리적 및 환경적 보안
A.12 운영 보안
A.13 통신 보안
A.14 시스템 도입, 개발, 유지보수
A.15 공급자 관계
A.16 정보보호 사고 관리
A.17 업무연속성 관리의 정보보호 측면
A.18 준거성