ISO 27001 (Information Security Management System)

개요

국제표준 정보보호 인증으로 정보보호 분야에서 가장 권위있는 인증이다. 원래는 영국표준(BS, British Standard)이던 BS7799이었으나 2005년 11월에 ISO 표준으로 승격됐다. 인증범위는 정보보호정책, 통신 · 운영, 접근통제, 정보보호사고 대응 등 정보보호 관리 11개 영역, 133개 항목에 대해 얼마나 잘 계획하고 구현하며, 점검하고, 개선하는가를 평가하고 이에 대해 인증을 수여한다.

ISO 27001 배경

다양한 위협으로부터 중요 IT 서비스 및 정보를 보호하기 위해 최신의 하드웨어와 보안 소프트웨어 들이 도입되고 있으나, 이는 단편적인 해결책을 제공할 뿐 근본적인 해결방안을 제공할 수는 없다.
또한 많은 글로벌 기업들은 자사보안 정책 및 실행의 적절성, 보안 위협에 대한 적절한 보안 절차를 수립하여 ISMS (Information Security Management System)을 구현하고 있으며, 이는 공식적인 ISMS로 인식되고 있는 IS0/IEC 27001 도입의 시작이 되고 있다.

ISO 27001 구성

IS0/IEC 27001은 ISMS에 대한 기본요구사항과 통제목적(Control Objectives)과 통제수단(Controls)으로 구성되어 있다. ISO/IEC 27001 인증은 조직의 ISMS가 이 규격이 요구하는 기본 요구사항을 충족하고 있으며, 통제수단을 적용하여 실행하고 있는지를 심사하여 발행된다.

ISO 27001 평가항목

ISO 27001 도입의 효과

ISO 27001은 전 세계에서 유일한 정보보호 표준(global standard)으로, 어떤 국가나 조직 등에서도 표준을 수립 및 운영할 수 있도록 구성되어 있다. 따라서 ISO 27001 표준 요구사항을 기반으로 조직의 정보보호관리체계를 수립해 운영한다면, 해당 조직이 수립한 정보보호관리체계의 효과성은 전 세계 어느 곳에서도 일관된 인정을 받을 수 있을 것이다.