정보보호경영시스템(ISO / IEC 27001)
조직의 소중한 정보를 위협하는 요소들을 파악하고 관리하여 이를 최소화할 목적으로 정보보안 경영시스템의 개발, 수립 및 문서화에 대한 요구사항들을 정하여 규격으로서, 영국 통상산업부 (Department of Trade and Industry)가 1995년 영국표준으로 제정한 이래 1999년 개정을 거쳐 오늘날 이르고 있으며 지난해에는 국제표준화기구 (ISO)에 의해 국제표준으로도 제정된 바 있는 정보보안 분야의 가장 권위 있는 국제인증규격이다.
정보보호 정책, 물리적 보안, 정보 접근 통제 등 정보 보안 관련 11개 영역, 133개 항목을 다루고 있습니다.
정보보호경영시스템의 필요성
- 사회 각 분야 정보시스템에 의한 정보처리 의존도 증가
- 정보시스템의 보호 대책 미비로 인한 손실이 증가 추세
- 정보시스템의 발전 및 개방형 시스템 상호접속 등의 환경변화로 인하여 필요성이 더욱 고조
- 전자적 침해행위의 고도화·다양화로 각종 정보위협에 효과적으로 대응하기가 곤란
- 정보보호에 대한 이용자 요구사항(user requirement)의 증가
- 정보보호 관리에 관한 국제표준 제정 등 정보보호 국제표준이 향후 국제거래에 있어서 [보이지 않는 기술장벽]으로 작용할 소지가 있음
정보보호경영시스템의 효과
- 고객 정보를 안전하게 보호함으로써 고객만족 도모
- 리스크 관리, 법규 준수 및 미래 보안 이슈 및 우려사항에 대한 경계를 통해 사업의 안정성 확보
- 법적/규제적 요구 사항이 어떻게 귀사 및 고객에 영향을 끼치며, 법적 제재에 따른 리스크를 감소시키는 방법 이해
- 고객 기록, 회계 정보 및 지적재산권이 체계적인 프레임워크를 통해 손실, 절도 및 손상으로부터 보호됨을 보장
- 인정된 글로벌 산업 규격에 대한 독립적 검증으로 신뢰성 확보
- 고객은 종종 납품 조건으로 인증서를 요구하기 때문에 인증을 통한 사업 확대 가능
정보보호 경영시스템의 구성요소
| 요건번호 | 제목 | |
|---|---|---|
| 4.조직상황 | 4.1 | 조직과 조직상황의 이해 |
| 4.2 | 이해관계자의 니즈와 기대 이해 | |
| 4.3 | 정보보호경영시스템 적용범위 결정 | |
| 4.4 | 정보보호경영시스템 | |
| 5.리더십 | 5.1 | 리더십과 의지표명 |
| 5.2 | 방침 | |
| 5.3 | 조직의 역할, 책임 및 권한 | |
| 6.기획 | 6.1 | 리스크와 기회를 다루는 조치 |
| 6.2 | 품질목표와 품질목표 달성 기획 | |
| 7.지원 | 7.1 | 자원 |
| 7.2 | 역량/적격성 | |
| 7.3 | 인식 | |
| 7.4 | 의사소통 | |
| 7.5 | 문서화된 정보 | |
| 8.운용 | 8.1 | 운용 기획 및 관리 |
| 8.2 | 정보보호 위험 평가 | |
| 8.3 | 정보보호 위험 처리 | |
| 9.성과평가 | 9.1 | 모니터링, 측정, 분석 및 평가 |
| 9.2 | 내부심사 | |
| 9.3 | 경영진 검토 | |
| 10.개선 | 10.1 | 부적합 및 시정조치 |
| 10.2 | 지속적 개선 | |