정보보호경영시스템(ISO / IEC 27001)
조직의 소중한 정보를 위협하는 요소들을 파악하고 관리하여 이를 최소화할 목적으로 정보보안 경영시스템의 개발, 수립 및 문서화에 대한 요구사항들을 정하여 규격으로서, 영국 통상산업부 (Department of Trade and Industry)가 1995년 영국표준으로 제정한 이래 1999년 개정을 거쳐 오늘날 이르고 있으며 지난해에는 국제표준화기구 (ISO)에 의해 국제표준으로도 제정된 바 있는 정보보안 분야의 가장 권위 있는 국제인증규격이다.
정보보호 정책, 물리적 보안, 정보 접근 통제 등 정보 보안 관련 11개 영역, 133개 항목을 다루고 있습니다.
정보보호경영시스템의 필요성
- 사회 각 분야 정보시스템에 의한 정보처리 의존도 증가
- 정보시스템의 보호 대책 미비로 인한 손실이 증가 추세
- 정보시스템의 발전 및 개방형 시스템 상호접속 등의 환경변화로 인하여 필요성이 더욱 고조
- 전자적 침해행위의 고도화·다양화로 각종 정보위협에 효과적으로 대응하기가 곤란
- 정보보호에 대한 이용자 요구사항(user requirement)의 증가
- 정보보호 관리에 관한 국제표준 제정 등 정보보호 국제표준이 향후 국제거래에 있어서 [보이지 않는 기술장벽]으로 작용할 소지가 있음
정보보호경영시스템의 효과
- 고객 정보를 안전하게 보호함으로써 고객만족 도모
- 리스크 관리, 법규 준수 및 미래 보안 이슈 및 우려사항에 대한 경계를 통해 사업의 안정성 확보
- 법적/규제적 요구 사항이 어떻게 귀사 및 고객에 영향을 끼치며, 법적 제재에 따른 리스크를 감소시키는 방법 이해
- 고객 기록, 회계 정보 및 지적재산권이 체계적인 프레임워크를 통해 손실, 절도 및 손상으로부터 보호됨을 보장
- 인정된 글로벌 산업 규격에 대한 독립적 검증으로 신뢰성 확보
- 고객은 종종 납품 조건으로 인증서를 요구하기 때문에 인증을 통한 사업 확대 가능
정보보호 경영시스템의 구성요소
| 요건번호 | 제목 | |
|---|---|---|
| 4. Context of the Organization | 4.1 | Understanding the organization and its context |
| 4.2 | Understanding the needs and expectations of interested parties | |
| 4.3 | 정보보호경영시스템 적용범위 결정 | |
| 4.4 | 정보보호경영시스템 | |
| 5. Leadership | 5.1 | Leadership and commitment |
| 5.2 | Policy | |
| 5.3 | Organizational roles, responsibilities, and authorities | |
| 6. Planning | 6.1 | Actions to address risks and opportunities |
| 6.2 | Quality objectives and planning to achieve them | |
| 7. Support | 7.1 | Resources |
| 7.2 | Competence | |
| 7.3 | Awareness | |
| 7.4 | Communication | |
| 7.5 | Documented information | |
| 8. Operation | 8.1 | Operational planning and control |
| 8.2 | 정보보호 위험 평가 | |
| 8.3 | 정보보호 위험 처리 | |
| 9. Performance Evaluation | 9.1 | Monitoring, measurement, analysis, and evaluation |
| 9.2 | Internal audit | |
| 9.3 | 경영진 검토 | |
| 10. Improvement | 10.1 | Nonconformity and corrective action |
| 10.2 | Continual improvement | |