ISO 27001 변화하는 세계에 한발 앞서가는 글로벌 기업

ISO/IEC 27001이란?

조직의 소중한 정보를 위협하는 요소들을 파악하고 관리하여 이를 최소화할 목적으로 정보보안 경영시스템의 개발, 수립 및 문서화에 대한 요구사항들을 정하여 규격으로서, 영국 통상산업부 (Department of Trade and Industry)가 1995년 영국표준으로 제정한 이래 1999년 개정을 거쳐 오늘날 이르고 있으며 지난해에는 국제표준화기구 (ISO)에 의해 국제표준으로도 제정된 바 있는 정보보안 분야의 가장 권위 있는 국제인증규격이다.

정보보안 경영시스템의 필요성

사회 각 분야 정보시스템에 의한 정보처리 의존도 증가
정보시스템의 보호 대책 미비로 인한 손실이 증가 추세
정보시스템의 발전 및 개방형 시스템 상호접속 등의 환경변화로 인하여 필요성이 더욱 고조
전자적 침해행위의 고도화·다양화로 각종 정보위협에 효과적으로 대응하기가 곤란
정보보호에 대한 이용자 요구사항(user requirement)의 증가
정보보호 관리에 관한 국제표준 제정 등 정보보호 국제표준이 향후 국제거래에 있어서 [보이지 않는 기술장벽]으로 작용할 소지가 있음

정보보안 경영시스템의 효과

사업에 필수적인 정보 자산의 보호
대외 경쟁력 유지 및 법규 준수
상업적 이미지
정보에 대한 위험의 체계적인 관리
낮은 수준의 기술적 보안의 한계를 극복
비즈니스 연속성 보장

정보보안 경영시스템의 중요 용어

정보(Information)	다른 중요자산과 같은 자산으로 조직에 가치를 제공하고 적절하게 보호될 필요성이 지속적으로 요구되는 것
기밀성(Confidentiality)	정보는 인가된 자만이 접근할 수 있다는 것을 보장
무결성(Integrity)	정보와 처리방법의 정확성과 완전성에 대한보호
가용성(Availability)	요구시 인가된 사용자가 정보와 관련된 자산에 접근할 수 있다는 것을 보장
취약성(Vulnerability)	약점/구멍, 취약성은 그 자체로는 해롭지 않으나 자산에 영향을 미치는 위협을 허용할 수 있다.
보호위험(SecurityRisk)	하나의 자산 또는 정보자산 그룹에 손상을 유발할 수 있는 취약성을 발생시키는 잠재적 위협요소
위험평가(RiskAssessment)	자산에 대한위협, 취약성과 조직에 영향을 식별하여, 위험의 정도를 결정하는 활동
위험관리(RiskManagement)	적절한 비용으로 정보시스템에 영향을 미칠 수 있는 보호위험을 식별, 관리 및 최소화하는 과정

정보보안 경영시스템의 구성요소

요건번호		제목
4. 조직상황	4. 1	조직과 조직상황의 이해
	4. 2	이해관계자의 니즈와 기대 이해
	4. 3	정보보안 경영시스템 적용범위 결정
	4. 4	정보보안 경영시스템
5. 리더십	5. 1	리더십과 의지표명
	5. 2	방침
	5. 3	조직의 역할, 책임 및 권한
6. 기획	6. 1	리스크와 기회를 다루는 조치
6. 기획	6. 2	정보보안 목표와 정보보안 목표 달성 기획
7. 지원	7. 1	자원
	7. 2	역량/적격성
	7. 3	인식
	7. 4	의사소통
	7. 5	문서화된 정보
8. 운용	8. 1	운용 기획 및 관리
	8. 2	정보보안 위험 평가
	8. 3	정보보안 위험 처리
9. 성과 평가	9. 1	모니터링, 측정, 분석 및 평가
	9. 2	내부심사
	9. 3	경영검토/경영평가(Management review)
10. 개선	10. 1	부적합 및 시정조치
10. 개선	10. 2	지속적 개선

인증규격