이번 2022 개정판에는 위협 인텔리전스, 클라우드 서비스 이용을 위한 정보보안, 비즈니스 연속성을 위한 ICT 준비 등 신규 통제항목으로 비즈니스 변화에 발빠르게 대응하고 있습니다.
심사원, LRQA
사이버보안은 이제 모든 기업에게 있어 매우 중요합니다, 데이터 유출, 랜섬웨어 등의 사이버 보안사고가 하루가 멀다 하고 뉴스의 헤드라인을 장식하고 있으며, 이는 글로벌 정치적 긴장으로 인해 사이버전쟁으로 더욱 악화되고 있습니다. 또한 요즘 ESG경영의 "S"부문인 Social 측면에도 정보보안에 대한 내용이 포함되어 있는 것처럼 요즘의 중요한 이슈가 되고 있는 내용입니다.
정보보안경영시스템은 비즈니스 위험접근 방식을 기반으로 정보보안을 설정, 구현, 운영, 모니터링, 유지 및 개선하기 위한 전체 관리시스템의 일부입니다. 그래서 정보보안의 3요소인 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 조직에 효과적으로 적용하여 조직의 성공에 긍정적인 기여를 하도록 노력해야 할 것입니다.
2022년 10월, 새로운 ISO/IEC 27001 표준 문서가 발표되었습니다. 따라서 정보보호경영시스템(ISMS)에 대한 업데이트 및 정보보안에 대한 재정비가 필요합니다. 그렇다고 해서 기존 ISO/IEC 27001: 2013 대비 전혀 다른 정보보호경영시스템을 준비해야 하는 것은 아닙니다. 기존에 구축된 정보보호 관련 "Plan-Do-Check-Act 모델"(PDCA 모델)을 사용하여 새로운 통제항목을 추가적으로 적용하면 큰 문제없이 전환이 가능할 것으로 보여집니다.
개정된 ISO 27001:2022 버전은 조직이 중요 정보자산을 보호하기 위한 통제를 더욱 효과적으로 관리할 수 있도록 총 4가지 섹션인 조직적(Operational), 인적(People), 물리적(Physical), 기술적(Technical) 통제로 구분하고, 11개의 새로운 통제항목이 추가되었습니다. 기존의 통제항목을 포함하여 11개의 새로운 통제항목을 기준으로 SoA(적용성보고서) 작성, 위험평가/위험조치 계획 수립 및 ISMS의 기타 요소를 검토해야 할 필요성이 있습니다.
전 세계의 디지털 환경이 변화하면서, 이제 주요 비즈니스는 클라우드, 인공지능(AI) 없이 생각을 할 수 없을 정도로 클라우드 기반으로 업무환경이 이루어지고, 갈수록 디지털 의존도가 점점 높아지고 있습니다. 그리고 비즈니스 연속성을 보장하여 타사 대비 경쟁우위를 확보할 수 있도록 노력하고 있습니다.
그리하여 이번 개정판에는 위협 인텔리전스, 클라우드 서비스 이용을 위한 정보보안, 비즈니스 연속성을 위한 ICT 준비 등 신규 통제항목으로 비즈니스 변화에 발빠르게 대응하고 있습니다. 또한 조직의 관심이나 필요에 따라 ISO 27001 이외 ISO 27701(개인정보 경영시스템), ISO 27017(클라우드 서비스 정보보호), ISO 27018(클라우드 서비스 개인정보보호), ISO 42001(인공지능경영시스템) 다양한 정보보호인증을 통해서 기업의 경쟁력을 강화할 수 있습니다.
