ISO 27001 취득

회사에서 이번에 ISO 27001 취득 과정을 진행하면서 키맨으로 조인하게되면서 학습한 내용을 정리했다.

ISO(International Organization for Standardization) 27001은 ISMS의 수립, 이행, 유지, 지속적인 개선을 위한 요건을 명시하는 국제 표준입니다.

ISMS(Information Security Management System) 이란 정보통신망의 안전성 확보를 위하여 수립하는 기술적, 물리적, 관리적 보호조치 등 종합적인 정보보호 관리체계에 대한 인증 제도입니다.

이는 제 3의 인증기관이 객관적, 독립적으로 관리체계를 평가하여, 관련 기준에 대한 적합 여부를 보증 합니다.

ISO 27001의 도입배경은 아래와 같습니다.

  • 인터넷 확산으로 인한 새로운 보안위협의 증가에 따라 정보보호에 관한 종합적이고, 체계적인 정보보호 관리 및 인증 필요성 대두
  • 미래의 시큐리티 라운드(Security Round)에 대비하여 기업의 대응역량 배양 필요성
  • 조직의 정보보호 대응 능력 전반을 심사하여 고객/이용자에게 올바른 정보를 제공할 수 있는 적절한 평가 메커니즘 제공

ISO 27001의 개념도 및 관리 요구사

ISO 27001의 개념도

process

ISO 27001의 구성요소

항목설명
Plan조직 전체의 정책과 목적에 부합하도록 정보 보안를 개선하거나 위기를 관리하기 위한 ISMS 정책, 목적, 프로세스, 절차 수립
DoISMS 정책, 컨트롤, 프로세스, 절차의 구현 및 운영
CheckISMS 정책, 목표, 실용적 경험에 대한 평가 및 측정, 경영진 리뷰를 위해 측정 결과를 보고
Act지속적인 ISMS의 향상을 위해 내부 ISMS의 감사, 관리 리뷰, 다른 정보들에 기반하여 수정적, 예방적 행동 수행

ISO 27001 관리 요구사항

단계설명
분석조직정보의 보안 위험, 위협, 취약점과 임팩의 체계적인 조사
설계,구현일관되고 종합적인 정보보안 제어 및 다른 종류의 위험처리 방법의 설계와 구현
유지보수지속적으로 정보보안 컨트롤이 조직의 정보 보호를 만족할수 있도록 관리 프로세스를 채택

About Me

Related Posts

What do you think?