정보보안인증을 위한 시스템, ISO 27001 이란?

ISO 27001(정보보안경영시스템)인증이란

 

국제표준화기구(ISO)에서 제정한 정보보호 관리체계에 대한 국제 표준으로 정보는 기업의 가장 가치 있는 자산 중 하나이며 날이 갈수록 각종 위협에 직면하고 있고 정보보안의 실패는 곧 기업의 위기로 연결되는 시대입니다.

정보보안경영시스템은 비즈니스를 수행하고 이윤을 창출하기 위해 생성된 유형·무형 정보들의 기밀성 (Confidentiality), 무결성 (Integrity), 가용성 (Availability) 을 보장하여 기업의 리스크를 제거하고 지속적인 생존과 성공을 추구하고,       인터넷 확산으로 인해 보안 위협이 증가되는 상황에서 체계적으로 정보를 보호하고 관리하기 위해 필요한 부분이며 해킹에 의한 사고 증가, 내부 정보 유출자의 증가, 첨단 기술 및 중요 정보 유출 현상 증가 등과 같은 현상을 방지하기 위해 꼭 필요하다고 할 수 있습니다.

▲ ISO 27001 인증모델

 

ISO 27001 요구사항 구성

 

4. 조직환경 4.1 조직과 상황에 대한 이해 4.2 이해당사자의 요구와 기대에 대한 이해 4.3 정보보호 경영시스템의 범위 결정 4.4 정보보호 경영시스템 5. 리더십 5.1 리더십과 의지 5.2 정책 5.3 조직의 역할, 책임, 권한 6. 계획 6.1 위험과 기회에 따른 조치 6.2 정보보호 목표 및 달성 계획

7. 지원 7.1 자원 7.2 적격성 7.3 인식 7.4 의사소통 7.5 문서 정보 8. 운영 8.1 운영 계획 및 통제 8.2 정보보호 위험평가 8.3 정보보호 위험처리 9. 성과 평가 9.1 모니터링, 측정, 분석, 평가 9.2 내부 감사 9.3 경영진 검토 10. 개선 10.1 부적합 및 시정 조치 10.2 지속적 개선

 

 

ISO 27001 인증효과

 

ISO27001 인증을 받게 되면 경영하는 기업의 위험에 대해 올바르게 파악, 심사 및 관리하는 동시에 정보 보호 프로세스, 절차 및 문서를 체계화하고 있음을 객관적으로 입증할 수 있기 때문에 거래 요구 사항을 충족하고 고객 정보 보호가 최우선임을 보여주어 경쟁력을 높일 수 있습니다.

 

또한 정기적인 심사 프로세스를 통해 성과 및 개선 사항을 지속적으로 모니터링할 수 있기 때문에 경영진의 높은 정보 보호 의식을 입증하고 직원들의 윤리의식과 자부심 상승효과를 볼 수 있고 국제 표준이기에 해외 진출 시 이점이 있으며 회사조직에 직접적, 간접적으로 영향을 미치는 이슈에 대해 위험 관리를 할 수 있습니다.​ 

꾸준한 개선과 발전으로 다양한 사업영역 확장에 도움을 주게 되므로 정보보호 운영에 대한 체계를 잡고 지속적으로 관리, 유지하며 고객에게 신뢰와 안정성 입증으로 마케팅 효과 또한 가져올 수 있게 됩니다.

​

 

 

ISO 27001 인증절차

 

1. 인증절차                                      

인증기관 선정, 인증 신청서 작성 및 신청      

 

2. 심사계획 통보

신청기업과 협의 후 심사 일자 및 심사팀 배정, 심사계획통보.

 

3. 예비심사(선택)

희망하는 기업에 한해 예비 심사

 

4. 1단계심사(문서심사)

정보보안경영시스템 문서 검토 심사 기준 및 인증범위 확인

 

5. 2단계 심사(현장검사)

정보보안경영시스템 이행 실적,내부심사, 경영검토 및 결과 등 현장심사

 

6. 인증들록 심의

인증심의 위원회를 통해 1, 2단계 심사 결과 심의 후 인증 등록 결정

 

7. 인증서 발행

인증 등록 결정 후 한글, 영문 인증서 발행, 인증 등록 준수 사항 및 인증 마크 사용 지침

 

8. 사후 심사

시스템이 지속적으로 유지, 관리되고 있음을 확인하는 정기, 사후 심사 실시(최소 1년 주기)

 

9. 갱신 심사

인증 등록 후 3년마다 최초 심사와 동일한 절차로 갱신 심사 실시