ISO 27001 정보보안경영시스템

ISO 27001은 정보 보안 관리 시스템(ISMS)에 대한 요구 사항을 정의하는 국제 경영 시스템 표준입니다. 이 표준은 위험을 관리하고 완화하기 위한 통제를 식별, 분석 및 구현하는 모범 사례 프레임워크를 제공하여 정보 보안 침해 가능성을 줄입니다.

규모와 부문에 관계없이 모든 조직은 ISO 27001 내의 요구 사항과 통제를 활용하여 독립적으로 인증될 수 있는 효과적인 ISMS를 구현할 수 있습니다.

신망이 두터운 독립적인 인증 기관에서 제공하는 공인 ISO 27001 인증은 정보 보안에 대한 약속을 보여주고 ISMS의 견고성과 효율성에 대한 편견 없는 관점을 제공합니다. 이는 계약상 의무를 이행하는 데 도움이 되며 많은 경우 거래 허가증 역할을 합니다.

데이터 및 평판 보호

ISO 27001 인증은 다음과 같은 모범 사례를 보여주는 정보 보안에 대한 체계적이고 위험 기반 접근 방식을 수립했음을 보여줍니다.:

• 정보 및 사이버 보안 위험 식별
• 임팩트 및 가능성을 기반으로 위험 분석
• 위험을 평가하고 비즈니스와 관련된 요소를 기반으로 해결할 때 우선 순위 지정
• 리스크 해소에 대한 옵션 선택

법률, 규정 및 계약 요건 준수 입증

ISO 27001 인증을 취득하려면 EU GDPR 또는 HIPAA와 같은 규정과 같은 해당 법률을 식별해야 합니다. 이는 위험 관리 및 기업 거버넌스에 긍정적인 영향을 미치므로 규정 준수를 입증하고 계약 요구 사항을 충족하는 데 도움이 됩니다.

경쟁력

LRQA로 부터 인증은 고객과 이해 관계자에게 IT, 인력, 물리적 환경 및 비즈니스 연속성과 관련된 보안 위험이 정보를 보호하기 위해 적절하게 해결되었다는 확신을 줍니다.

ISO 27001 인증은 귀사의 능력에 대한 명확한 성명을 제공하고 귀사가 국제적으로 인정된 모범 사례에 따라 비지니스를 운영하고 있음을 보여줌으로써 새로운 비즈니스를 수행할 수 있도록 돕습니다.

ISO 27001 심사는 다른 Annex SL 기반 관리 시스템과 동일한 접근 방식을 따릅니다. 교육 및 갭분석으로 시작할 수 있지만 공식 프로세스에는 ISMS 설계 감사(1단계)와 운영 감사(2단계)가 포함됩니다. 이러한 심사 결과는 승인 위원회가 정의한 모범 사례에 대한 우리의 약속과 일관성과 일치를 보장하기 위해 LRQA의 자격을 갖춘 독립적인 사람이 기술적으로 검토합니다.

귀사의 인증서가 승인이 되면 ISO 27001 인증서가 발급되고 3년 주기의 사후 감사를 시작하여 다음 3년을 다시 설정하기 위한 갱신 심사로 이어집니다. 모니터링을 통해 LRQA와 귀사의 조직 모두 변경 사항을 관리하고 심사가 현재 업계 요구 사항과 관련이 있는지 확인할 수 있습니다.

승인된 후 인증은 모니터링 프로그램을 통해 입증된 효과적인 시스템 유지 관리에 따라 3년 동안 지속됩니다.

일반적인 ISMS 인증서 범위 설명에는 제품 및 서비스 제공과 관련된 활동이 포함됩니다. 내부 활동이나 ISMS 프로세스를 포함할 필요는 없습니다. 제품이나 서비스를 받을 때 제공된 정보가 보호된다는 것을 독자에게 확신시키는 것이 목적입니다.

적용 가능성(Applicability) 성명은 선택한 컨트롤 목록을 나타냅니다. 이러한 통제에 대한 세부 정보는 제공하지 않지만 마지막 ISO 27001 심사의 기초로 사용된 통제 설명에 대한 추적 가능한 참조를 제공합니다.

때때로 조직에는 ISO 27001 Annex A에서 선택한 컨트롤을 나열하는 공유 가능한 공개 버전이 있지만 필수 요구 사항은 아닙니다.

비용은 ISMS 범위 내 직원 수와 관련된 감사 일수를 기준으로 합니다. 심사일수는 ISO 27006 인정기준에 공시되어 누구나 볼 수 있습니다. LRQA와 같은 공인 인증 기관에 참여하면 다른 모든 공인 인증 기관과 비교할 수 있는 업계 모범 사례를 기반으로 제안된 심사 기간을 확보할 수 있습니다.

예를 들어, 100명의 FTE(Full-Time Equivalents)로 구성된 조직은 그들이 운영하는 부문, 작업 환경이 얼마나 복잡한지, 소프트웨어 개발에 참여하는 경우, 제품에 보안을 구축해야 하는 경우,  후속 모니터링 프로그램 등의 경우  약 3-4일/년이고 갱신은 6-8일 정도 소요 됩니다.

네, 가능합니다. -  ISO 9001 및 ISO 27001 모두 경영 시스템에 대한 일반적인 모범 사례 모델(Annex SL)을 기반으로 하므로 핵심 관리 프로세스는 두 표준의 요구 사항을 모두 충족하도록 최적화할 수 있습니다.

사실, 두 가지 모두를 다루는 시스템을 설계하면 조직 거버넌스의 효율성이 향상됩니다. 예를 들어, 성장과 같은 비즈니스 목표는 보안이 일반적으로 시장 기대에 부합하는 품질 표준으로 간주되는 신제품 개발을 요구하는 경우가 많습니다. 통합은 또한 중복을 최소화하여 감사 시간을 줄여 비용 효율적인 옵션을 제공할 수 있습니다.

조직이 ISO 27001 인증을 획득하기 위해 취하는 경로는 다른 요인들 중에서도 정보 보안 및 광범위한 위험 관리와 관련된 비즈니스 성숙도 수준에 따라 달라지는 경우가 많습니다. 그러나 ISO 27001 인증을 받기 위한 일반적인 프로세스에는 3가지 주요 단계가 포함됩니다.

• 심사 1 단계 – 문서 검토 및 계획:  LRQA 심사원은 귀사의 경영시스템의 설계 및 문서를 검토할 것입니다. 대부분의 경우 이 작업이 수행됩니다.
• 심사 2 단계 – 구현 능력 평가:심사원은 ISO 27001의 요구 사항에 따라 ISMS의 구현 및 효율성을 평가할 것입니다. 부적합 사항이 없으면 인증을 받게 됩니다. 이 단계는 원격으로 또는 현장에서 수행할 수 있습니다.
•  ISO 27001 인증 홍보: 귀사의 인증은 국제적으로 인정받는 모범 사례와 지속적인 개선에 대한 약속을 보여줌으로써 새로운 비즈니스를 성사시키고 고객 요구를 충족하도록 돕습니다.

ISO 27002:2022 간행물은 2013년으로 거슬러 올라가는 ISO 27001에 있는 통제(Control) 목록에 대한 업데이트를 제공합니다. 개정된 통제 부문은  위협 및 현재 모범 사례 모두와 관련된 개발을 반영하고 ISO 27002의 확장된 범위는 다음을 보장하는 데 도움이 됩니다. 위험 관리 조치는 광범위하고 효과적입니다. 조직은 포괄적인 제어 목록을 사용하여 식별한 위험을 처리하거나 잠재적 격차를 발견할 수 있으므로 오늘날 비즈니스가 직면하고 있는 복잡하고 진화하는 위협 환경에서 한 발 앞서 나갈 수 있습니다.

ISO 27001의 새 버전은 2022년 10월 25일 게시되었습니다. ISO 27002:2022에 따라 조직이 위험 평가를 재검토하고 새로운 위험 처리를 구현해야 하는지 여부를 결정하도록 요구하는 새로운 제어 기능이 포함되었습니다.