ISO27001
태그 :
- 개념
- ISO 27001의 정의 - ISO 27001은 ‘정보보안경영시스템(ISMS : Information Security Management System)’에 대한 국제적인 표준으로써 전세계 선진기업이 합의한 Best Practice를 활용하여 해당 조직이 정보보호경영을 실행하기 위한 Framework을 확인하고 이를 자사에 적용 할 수 있는 지침을 제공함 - ISO 27001 인증은 ISO 27001 표준에 따라 정보자산의 기밀성, 무결성, 가용성을 실현하기 위하여 관련 프로세스를 체계적으로 수립, 문서화하고 이를 지속적으로 운영, 관리하여 이의 적합성을 제3자 인증기관에 의해 인증 받음
I. 정보보안경영시스템(ISMS)을 위한 국제 표준, ISO 27001
가. ISO 27001의 정의
- ISO 27001은 ‘정보보안경영시스템(ISMS : Information Security Management System)’에 대한 국제적인 표준으로써 전세계 선진기업이 합의한 Best Practice를 활용하여 해당 조직이 정보보호경영을 실행하기 위한 Framework을 확인하고 이를 자사에 적용 할 수 있는 지침을 제공함
- ISO 27001 인증은 ISO 27001 표준에 따라 정보자산의 기밀성, 무결성, 가용성을 실현하기 위하여 관련 프로세스를 체계적으로 수립, 문서화하고 이를 지속적으로 운영, 관리하여 이의 적합성을 제3자 인증기관에 의해 인증 받음
나.ISO 27001의 도입배경
- 인터넷 확산으로 인한 새로운 보안위협의 증가에 따라 정보보호에 관한 종합적이고, 체계적인 정보보호 관리 및 인증 필요성 대두
- 미래의 시큐리티 라운드(Security Round)에 대비하여 기업의 대응역량 배양 필요성
- 조직의 정보보호 대응 능력 전반을 심사하여 고객/이용자에게 올바른 정보를 제공할 수 있는 적절한 평가 메커니즘 제공
I. ISO 27001의 개념도 및 관리 요구사항
가. ISO 27001의 개념도
가. ISO 27001의 구성요소
항목 |
설명 |
Plan |
조직 전체의 정책과 목적에 부합하도록 정보 보안를 개선하거나 위기를 관리하기 위한 ISMS 정책, 목적, 프로세스, 절차 수립 |
Do |
ISMS 정책, 컨트롤, 프로세스, 절차의 구현 및 운영 |
Check |
ISMS 정책, 목표, 실용적 경험에 대한 평가 및 측정, 경영진 리뷰를 위해 측정 결과를 보고 |
Act |
지속적인 ISMS의 향상을 위해 내부 ISMS의 감사, 관리 리뷰, 다른 정보들에 기반하여 수정적, 예방적 행동 수행 |
다. ISO 27001 관리 요구사항
단계 |
내용 |
분석 |
조직정보의 보안 위험, 위협, 취약점과 임팩의 체계적인 조사 |
설계,구현 |
일관되고 종합적인 정보보안 제어 및 다른 종류의 위험처리 방법의 설계와 구현 |
유지보수 |
지속적으로 정보보안 컨트롤이 조직의 정보 보호를 만족할수 있도록 관리 프로세스를 채택 |
II. ISO 27001 구성 및 구성 도메인
가. ISO 27001 구성요소
구분 |
설명 |
0. 개요 |
일반사항, 프로세스 접근방법, PDCA 모델, 다른 경영시스템과의 범용성 기술 |
1. 적용 범위 |
요구사항의 적용 범위 기술 |
2. 인용규격 |
ISO9001, ISO17799, ISO Guide 73의 인용내용 기술 |
3. 용어 정의 |
가용성: 인가된 사용자가 필요 시 정보 및 관련 자산에 접근하는 것을 보장 기밀성: 접근이 인가된 사용자만 정보에 접근 가능함을 보장 무결성: 정보 및 처리 방법의 정확성, 완전성 보장 정보보안: 정보의 기밀성, 무결성, 가용성에 대한 보증 정보: 조직에 가치를 제공하고, 적절하게 보호될 필요성이 지속적으로 요구되는 것. 위험관리: 위험과 관련하여 조직을 관리하고 통제하기 위한 활동 |
4. 정보보안 경영 시스템(ISMS) |
ISMS(Information Security Management System)의 수립, 구현, 운영, 모니터링, 검토, 유지 및 개선에 대한 요구사항 및 문서화 요구사항 기술 |
5. 경영책임 |
경영자의 의지 강조, 자원관리 |
6. ISMS 경영 검토 |
경영검토 입력물 및 출력물 ISMS 내부심사 |
7. ISMS 개선 |
지속적인 개선,시정조치,예방조치 |
나. ISO 27001 구성도메인
- ISO 27001은 기존 BS7799를 기반으로 11개 보안 도메인과 총 133개의 통제항목으로 구성됨
다. ISO 27001 구성도메인의 주요 내용
요구사항도메인 |
주요내용 |
보안정책(Security Policy) |
정보보호에 대한 경영방침과 지원사항에 대한 통제구조 학인 |
정보보안조직 |
조직 내에서 보안을 효과적으로 관리하기 위한 보안 조직 구성 및 책임과 역할에 대한 규명 |
자산관리(Asset Management) |
조직의 자산에 대한 분류 및 이에 따른 적절한 보호 프로세스 검토 |
인원보안 |
인적오류, 절도, 사기, 시설의 오용에 따른 위험을 감소하기 위한 대응 방안 확인 |
물리적/환경보안 |
사업자의 비 인가된 접근 및 방해요인 예방을 위한 대응책 여부 |
통신및운영관리 |
정보처리 시설의 정확하고 안전한 운영을 보장하기 위한 대응방안 확인 |
접근통제 |
정보에 대한 접근을 통제하기 위한 대응책 여부 |
정보시스템 취득, 개발, 유지보수 |
정보시스템 내에 보안이 수립되어 있음을 보장하기 위한 대응방안 확인 |
보안사고관리 |
정보 시스템과 관련된 정보보안 사고와 취약점이 허용된 시기 이내에 적적한 교정 행동과 의사가 전달되는지 여부 |
사업연속성관리 |
비즈니스 활동에 대한 방해요소를 완화. 중대한 실패/재난으로부터 중요한 비즈니스 보호하기 위한 프로세스존재여부 |
준거성(Compliance) |
범죄 및 민형사상의 법률, 법규, 규정 또는 계약 의무사항 및 보안 요구사항의 불일치를 회피하기 위한 대응책 확인 |
III. ISO 27001 의 인증 추진 절차
단계 |
내용 |
프로젝트 계획 |
- 프로젝트 환경을 셋업하고, ISO 27001 인증 범위인 ISMS범위 정의 - 프로젝트 추진 조직을 구성하고 각 담당자 선정 및 핵심요원 양성교육 실시 - 프로젝트의 상세 계획을 확립함. |
현황 분석 |
- ISO 27001요구사항과 기존 보안 체계와의 Gap 분석 - 조직에 존재하는 보안 취약점 및 위험 파악 - 현황 분석을 토대로 구체적인 ISMS범위를 확정함. |
위험 분석 |
- 위험분석 범위 설정 및 위험 분석 진행 인력을 구성함 - 도출된 위험과 취약점을 평가/분석하고 위험도를 측정함 |
체계 설계 |
- 파악된 위험들을 관리하기 위한 적절한 통제항목들을 선택하고 관리적, 물리적, 기술적 측면의 상세 설계 실시 및 구현 계획을 수립 - 선택된 통제항목들과 선택되지 못한 통제 항목들에 대한 적용/미적용 사유를 기술함. |
절차 수립 및 구현 |
- 각 자산별 보안 절차 및 지침을 작성하여, 지속적으로 검토/개선, 교육/전파를 통한 보안 마인드 제고 |
모니터링 및 인증 심사 지원 |
- 수립된 보안관리 체계를 기업에 적용하면서 발생되는 각종 로그를 수집 정리하고, 적용성 보고서(SOA)를 작성함 - 인증 예비 심사를 실시하고, 본 심사를 준비함 |
인증 심사 |
- 적용성 보고서, 정보보호 정책 및 지침, 관련 이행기록등에 대한 문서심사 실시 - 문서심사 결과에 대한 이행여부검토를 위해 현장심사 실시, 심사결과 보고서 작성 및 결과 리뷰 - 인증서 발급 교부 - 유효심사 : 인증의 내용대로 운영되고 있는지 주기적(매 6개월단위)으로 확인 - 갱신심사 : 유효기간의 만료(3년)시 갱신심사 실시 |
IV. ISO 27001에 기초한 ISMS 구축 절차 및 도입시 고려사항
가. 정보보안경영시스템(ISMS) 구축 절차
단계 |
내용 |
1단계 |
정보 보안 정책 정의 |
2단계 |
정보보안 경영시스템의 범위 설정. 범위는 조직의 특성, 위치, 자산 및 기술 등의 용어로 정의 |
3단계 |
위험 평가 실시 : 자산에 대한 위협, 취약점 및 조직에 대한 영향도 식별하고 위험 수준을 결정 |
4단계 |
위험 관리 |
5단계 |
적절한 통제 목표 및 방안 선정, 선정의 정당화 |
6단계 |
적용성 보고서 작성 : 설정한 통제 목표 및 방안과 그것의 설정 사유를 적용성 보고서로 문서화. |
나. 정보 보호 관리 인증 ISO 27001의 도입 고려 사항
구분 |
내용 |
인증 범위의 선정 |
조작, 업무프로세스, 기술 분야를 고려하여 한 부분에 치우치지 않고 적절한 수준에서 관리 될 수 있는 범위를 선정 |
통제 항목의 선정 |
통제 항목의 의미를 해석하고 기업 환경에 적합하게 적용하여 이행 단계에서 혼선을 줄임 |
지속적인 프로세스 |
인증 획득은 관리 체계 수립 및 이행 과정에서 얻어지는 결과 이외에도 지속적으로 관리/관찰 계획을 수립하고 실행 하여 정보 보호 체계를 수립 |
사후 심사 |
인증 획득 후 사후관리 심사 등에 대비하여 부가적 업무에 대한 고려 필요 |
V. ISO 27001 인증 추진시 과제와 인증 획득의 기대효과
가. ISO 27001 인증 추진시 과제
- 최고 경영자의 적극적 지지 기반으로 정책 수립
- 인증 획득을 위한 전담팀 구성 필요
- IT적 접근이 아닌 조직 전체 관점에서 접근
- 인증의 중요성과 프로세스 준수 등에 대한 구성원 교육 필요
- 인증유지를 위한 사후관리 필요
나. ISO 27001 인증 획득의 기대효과
기대효과 |
내용 |
보안 사고 예방 |
-시스템,물리적,환경적 요인으로부터 기인 되는 보안 사고의 예방 가능 -보안 사고 예방을 위한 체계적인 관리 기준 수립 |
고객 신뢰도 향상 |
-인증 획득을 통한 대 고객 신뢰도 향상 -비즈니스 연속성 확보를 통한 신뢰도 향상 기여 |
보안 침해 사고 최소화 |
-보안 침해 발생 시 체계적인 대응 가능 -보안 침해 발생 시 비즈니스 영향도 및 민감도 기반의 리스크 관리 체계수립 |
전사적 측면의 보안 의식 제고 |
-전사적 측면의 능동적인 정보 보안 활동 -내부 정보 보호 체계 수립 |
[참고자료]
I. ISO 27001의 진화과정
II. ISO 27000시리즈
시리즈 |
상세 |
ISO 27000 |
- Principle and Vocabulary |
ISO 27001 |
- ISMS Requirements/ISMS에 대한 심사 및 인증 규격(BS7799 part2) * 정보보안관리시스템 문서화 수립 실행에 대한 요구사항 규정 * 기업에 대한 정보보안 관리규격을 정의하고 있으며 실제 심사/인증용으로 사용됨 * 11개 Domain에 총 133통제항목으로 구성되어 있음 |
ISO 27002 |
- 정보보안관리에 대한 실행 지침(B7799 part2) * ISO 27001에 대한 참조 문서로 사용될 수 있음 * ISO 27001의 정보보안관리에 대한 통제항목을 포함한 상세 실행 지침 제공 * 심사 및 인증 용으로 사용되지 않음 |
ISO 27003 |
-Risk Management (개발중) |
ISO 27004 |
-ISM Metrics & Measurements (개발중) |
ISO 27005 |
-ISMS Implementation Guidelines(2008) |
ISO 27006 |
-Disaster Recovery Services(2007) |
- 조직 내 정보자사에 대한 위험 관리를 모법적인 경영시스템인 PDCA모델을 적용하여 체계적으로 관리할 수 있도록 지원하는 관리시스템의 국제표준