ISO 27001(정보 보호, 사이버 보호 및 개인 정보 보호 - 정보 보호 관리 시스템)
Information security, cybersecurity and privacy protection — Information security management systems — Requirements
정보보호 경영시스템 이란?
ISMS은 조직의 정보 자산을 보호할 목적으로 조직이 일괄적으로 관리하는 정책, 절차, 가이드라인 및 이와 관련된 자원과 활동으로 이루어져 있다. ISMS는 사업 목적을 달성하기 위해 조직의 정보보호, 사이버보호, 개인정보보호를 확립, 이행, 운영, 모니터링, 검토, 유지, 개선하는 체계적인 접근 방법이다. 이는 위험을 효과적으로 처리하고 관리하기 위해 고안된 위험 평가 및 조직의 위험수용 수준에 기초한다. 정보 자산의 보호에 대한 요구사항을 분석하고, 이러한 정보 자산의 보호를 보장하는 적절한 통제를 필요에 따라 적용하는 것
정보보호 적용 배경
정보보호 요구사항에 관한 조직의 필요를 파악하고 효과적인 정보보호 경영시스템(ISMS, Information Security Management System)을 수립하기 위해서는 정보보호 관리에 대한 체계적인 접근방법이 필요 하다. 이 접근방법은 조직의 환경에 적절하여야 하며, 특히 전반적인 조직 위험 관리(overall enterprise risk management)와 연계되어야 한다. 정보보호 노력은 필요한 경우에는 언제 어디서나 위험을 효과적이고 시기 적절한 방식으로 처리하여야 한다. 정보보호 위험 관리는 모든 정보보호 활동 의 통합된 일부가 되어야 하며, ISMS의 구현과 지속적인 운영 모두에 적용되어야 한다.
정보보호 도입 시 기대 효과
- - 정보보호의 필요성 인지
- - 정보보호 책임의 지정
- - 경영진 약속과 이해관계자들의 이익을 구체화
- - 사회적 가치 제고
- - 허용 가능한 위험 수준에 도달하기 위해 적절한 통제를 결정하는 위험 평가
- - 정보 네트워크와 시스템의 필수 요소로 보안을 포함
- - 정보보호 사고의 적극적 예방과 탐지
- - 포괄적인 정보보호 관리 방식의 확보
- - 정보보호의 지속적 재평가와 필요 시의 적절한 변경
- - 고객과 기타 이해관계자들의 정보보호 요구사항을 충족시킨다.
- - 조직의 계획과 활동을 개선한다.
- - 조직의 정보보호 목적을 달성한다.
- - 규정, 법률, 산업 기준을 준수한다.
- - 현 조직 목표의 지속적 개선과 조정을 촉진하는 조직화된 방식으로 정보 자산을 관리한다.
ISO 27001(정보보호 경영 시스템) 요구 사항
1 Scope
2 Normative references
3 Terms and definitions
4 Context of the organization
4.1 Understanding the organization and its context
4.2 Understanding the needs and expectations of interested parties
4.3 Determining the scope of the information security management system
4.4 Information security management system
5 Leadership
5.1 Leadership and commitment
5.2 Policy
5.3 Organizational roles, responsibilities and authorities
6 Planning
6.1 Actions to address risks and opportunities
6.1.2 Information security risk assessment
6.1.3 Information security risk treatment
6.2 Information security objectives and planning to achieve them
6.3 Planning of changes
7 Support
7.1 Resources
7.2 Competence
7.3 Awareness
7.4 Communication
7.5 Documented information
7.5.1 General
7.5.2 Creating and updating
7.5.3 Control of documented information
8 Operation
8.1 Operational planning and control
8.2 Information security risk assessment
8.3 Information security risk treatment
9 Performance evaluation
9.1 Monitoring, measurement, analysis and evaluation
9.2 Internal audit
9.2.1 General
9.2.2 Internal audit programmer
9.3 Management review
9.3.1 General
9.3.2 Management review inputs
9.3.3 Management review results
10 Improvement
10.1 Continual improvement
10.2 Nonconformity and corrective action
정보보호 통제(부속서)
- 조직적 통제 : 37 항목
- 인적 통제 : 8 항목
- 물리적 통제 : 14 항목
- 기술적 통제 : 34 항목
ISMS 위험관리 프로세스
ISMS 위험처리 활동 프로세스
