ISO/IEC 27001
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
1. 개요
ISO/IEC 27001은 조직의 정보 보안 위험을 관리하기 위한 국제 표준이다. 이 표준은 정보 보안 관리 시스템(ISMS)을 구축하고 운영하기 위한 요구 사항을 제시하며, 위협, 취약성 및 영향을 고려하여 정보 보안 위험을 검토하고, 일관된 보안 통제를 설계 및 구현하며, 지속적인 관리 프로세스를 채택하도록 요구한다. ISO/IEC 27001은 BS 7799 표준을 기반으로 개발되었으며, 정보 보안 위험 관리 및 보안 통제에 대한 지침을 제공한다. 인증을 통해 조직은 ISMS가 표준을 준수함을 입증할 수 있으며, 지속적인 개선을 통해 정보 보안 수준을 향상시킬 수 있다.
더 읽어볼만한 페이지
- IEC 표준 - ISO/IEC 646
ISO/IEC 646는 ASCII 기반의 7비트 문자 인코딩 표준으로, 국가별 변형이 존재했으나, 최종 개정판은 ASCII와 호환되도록 정의되었고, 현재는 ITU-T 권고 T.50 IRA가 현행 표준으로 유지되고 있다. - IEC 표준 - POSIX
POSIX는 유닉스 기반의 이식 가능한 운영체제 인터페이스를 표준화하기 위한 IEEE 표준군으로, 프로세스 관리, 파일 시스템 접근, 스레드 처리 등 핵심 서비스들을 규정하며 운영체제 간 호환성을 높이는 데 기여한다. - ISO 표준 - 국제 표준화 기구
국제 표준화 기구(ISO)는 167개국 국가 표준 기구를 회원으로 둔 비정부 기구로서, 상품 및 서비스 관련 국제 표준을 제정하며, 국제전기기술위원회(IEC)와 협력하고 대한민국은 기술표준원을 통해 정회원으로 활동한다. - ISO 표준 - ISO 3166-1
ISO 3166-1은 국가 식별을 위한 국제 표준으로 숫자 코드, 알파벳 두 글자(alpha-2), 세 글자(alpha-3) 코드 시스템을 제공하며, 유엔의 통계적 분류와 정치적 상황을 고려하여 코드가 할당되고 필요에 따라 업데이트된다.
| ISO/IEC 27001 | |
|---|---|
| 개요 | |
| 이름 | ISO/IEC 27001 |
| 종류 | 정보 보안 표준 |
| 발행 기관 | 국제 표준화 기구(ISO) / 국제 전기 표준 회의(IEC) |
| 최신 버전 | 2022년 |
| 이전 버전 | 2013년 (폐지) |
| 설명 | 정보 보안 관리 시스템(ISMS) 요구 사항을 명시하는 국제 표준 |
| 세부 정보 | |
| 범위 | 조직의 정보 보안 위험을 관리하기 위한 프레임워크 제공 |
| 목적 | 기밀성, 무결성, 가용성을 포함한 정보 자산 보호 |
| 구성 요소 | 정보 보안 정책 위험 평가 및 관리 보안 통제 구현 성과 측정 및 개선 |
| 규정 준수 | |
| 인증 | ISO/IEC 27001 인증 기관을 통해 획득 가능 |
| 이점 | 정보 보안 강화 고객 및 이해 관계자 신뢰도 향상 법규 준수 경쟁 우위 확보 |
| 적용 산업 | 모든 산업 분야 및 규모의 조직에 적용 가능 |
| 관련 표준 | |
| ISO/IEC 27002 | 정보 보안 통제 구현 지침 제공 |
| ISO/IEC 27005 | 정보 보안 위험 관리 지침 제공 |
| 역사 | |
| 초기 발행 | 2005년 |
| 주요 개정 | 2013년 2022년 |
| 기타 | |
| 중요성 | 조직의 정보 보안 관리 역량 강화 및 지속적인 개선 도모 |
2. 표준의 작동 방식
대부분의 조직은 다양한 정보 보안 통제를 갖추고 있다. 그러나 정보 보안 관리 시스템(ISMS)이 없으면 이러한 통제는 임시방편적이거나 일관성이 없는 경향이 있다. 일반적으로 운영 중인 보안 통제는 정보기술(IT) 또는 데이터 보안의 특정 측면을 다루며, IT가 아닌 정보 자산(예: 서류, 지식)은 덜 보호받는다. 또한 사업 연속성 계획 및 물리적 보안은 IT 또는 정보 보안과 독립적으로 관리될 수 있으며, 인적 자원 관행은 정보 보안 역할과 책임을 명확히 하지 않을 수 있다.
ISO/IEC 27001은 경영진이 다음을 수행하도록 요구한다.
- 위협, 취약성 및 영향을 고려하여 조직의 정보 보안 위험을 체계적으로 검토한다.
- 허용할 수 없는 위험을 처리하기 위해 일관되고 포괄적인 정보 보안 통제 및/또는 기타 위험 처리 방법(예: 위험 회피 또는 위험 전가)을 설계 및 구현한다.
- 정보 보안 통제가 지속적으로 조직의 정보 보안 요구 사항을 충족하는지 확인하기 위해 전반적인 관리 프로세스를 채택한다.
ISO/IEC 27001 인증 시, 인증 감사인은 ISMS 범위 내의 모든 통제를 테스트할 수 있으며, 통제의 구현 및 운영 효과를 평가한다. 경영진은 인증 범위를 결정할 수 있으며, 이는 특정 사업부 또는 위치로 제한될 수 있다. ISO/IEC 27001 인증이 범위 밖의 조직에 대한 정보 보안 관리를 보장하는 것은 아니다.
ISO/IEC 27000 패밀리 표준의 다른 표준은 ISMS 설계, 구현 및 운영에 대한 추가 지침을 제공한다. (예: ISO/IEC 27005는 정보 보안 위험 관리 지침을 제공한다.)
3. ISO/IEC 27001의 역사
BS 7799는 1995년 BSI 그룹[5]에서 처음 발행한 표준으로, 영국 정부의 통상산업부(Department of Trade and Industry, DTI)에서 작성되었으며 여러 부분으로 구성되었다.
1998년에 개정된 BS 7799의 첫 번째 부분은 정보 보안 관리에 대한 모범 사례를 담고 있었으며, 전 세계 표준 기구에서 오랜 논의를 거쳐 2000년에 ISO에 의해 ISO/IEC 17799, "정보기술 - 정보 보안 관리 실무 규범"으로 채택되었다. ISO/IEC 17799는 2005년 6월에 다시 개정되었으며, 2007년 7월에 ISO/IEC 27002로 ISO 27000 표준 시리즈에 통합되었다.
BS 7799의 두 번째 부분은 1999년 BSI에서 BS 7799 Part 2, "정보 보안 관리 시스템 - 사용 지침이 있는 사양"이라는 제목으로 처음 발행되었다. BS 7799-2는 정보 보안 관리 시스템(ISMS)을 구현하는 방법에 중점을 두었으며, BS 7799-2에 식별된 정보 보안 관리 구조 및 제어를 참조했다. 이는 나중에 ISO/IEC 27001:2005가 되었고, 2005년 11월에 ISO에 의해 ISO/IEC 27001로 채택되었다.
2005년에 발행된 BS 7799 Part 3는 위험 분석 및 관리를 다루었으며, ISO/IEC 27001:2005와 일치한다.
현재는 ISO/IEC 27001과 관련하여 BS 표준에 대한 언급이나 사용은 거의 이루어지지 않는다.
4. ISO/IEC 27001의 핵심 원칙
ISO/IEC 27001은 정보 보안 위험을 식별하고 평가하는 것을 중요하게 생각한다. 조직은 잠재적 위협을 식별하고, 그 영향을 평가하며, 적절한 완화 전략을 개발하기 위해 위험 관리 프로세스를 구현해야 한다.[1]
ISO/IEC 27001:2022는 부록 A에 4개의 도메인으로 분류된 포괄적인 보안 제어 집합을 개략적으로 설명한다. 이러한 제어는 접근 통제, 암호화, 물리적 보안 및 사고 관리를 비롯한 정보 보안의 다양한 측면을 다룬다.[1]
ISO/IEC 27001은 정보 보안 관행에서 지속적인 개선 문화를 장려한다. 정기적인 모니터링, 성과 평가 및 주기적인 검토는 조직이 진화하는 위협에 적응하고 ISMS (정보보안 관리체계)의 효과를 향상시키는 데 도움이 된다.[1]
5. 인증
ISMS는 전 세계 여러 인증 등록기관을 통해 ISO/IEC 27001 표준 준수 인증을 받을 수 있다.[6] 공인된 인증 기관을 통한 ISO/IEC 27001의 국가별 변형(예: 일본 버전인 JIS Q 27001)에 대한 인증은 ISO/IEC 27001 자체에 대한 인증과 기능적으로 동일하다.
일부 국가에서는 인증 기관을 "등록 기관", "평가 및 등록 기관" 등으로 부르기도 한다.
ISO/IEC 27001 인증은 일반적으로 ISO/IEC 17021[7] 및 ISO/IEC 27006[8] 표준에 정의된 3단계 외부 감사 프로세스를 포함한다.
- '''1단계'''는 ISMS의 예비 검토이다. 여기에는 조직의 정보 보안 정책, 적용 가능성 명세서(SoA) 및 위험 처리 계획(RTP)과 같은 주요 문서의 존재 여부와 완전성을 확인하는 작업이 포함된다. 감사인은 일부 직원과 간단한 회의를 통해 표준 요구 사항에 대한 지식이 허용 가능한 수준인지 검토하고 조직이 2단계 감사에 대한 준비가 되었는지 결정한다. 또한 2단계 감사 전에 모든 문제 또는 특정 상황에 대해 논의하고 감사 계획을 정의한다.
- '''2단계'''는 ISO/IEC 27001에 명시된 요구 사항에 따라 ISMS를 독립적으로 테스트하는 보다 자세하고 공식적인 감사이다. 감사인은 관리 시스템이 제대로 설계되고 구현되었으며 실제로 작동하고 있는지 증거를 찾는다. 인증 감사는 일반적으로 ISO/IEC 27001 수석 심사원이 수행한다. 이 단계를 통과하면 ISMS가 ISO/IEC 27001을 준수하는 인증을 받게 된다.
- '''지속적인''' 검토에는 조직이 표준을 계속 준수하는지 확인하기 위한 후속 검토 또는 감사가 포함된다. 인증 유지를 위해서는 ISMS가 지정되고 의도한 대로 계속 작동하는지 확인하기 위해 주기적인 재평가 감사가 필요하다. 이는 적어도 매년 수행되어야 하지만, ISMS가 아직 성숙해 가는 동안 특히 더 자주 수행되는 경우가 많다.
참조
[1]
웹사이트
ISO/IEC 27001 International Information Security Standard published
https://www.bsigroup[...]
BSI
2020-08-21
[2]
웹사이트
NEW VERSION OF ISO/IEC 27001 TO BETTER TACKLE IT SECURITY RISKS
https://www.iso.org/[...]
ISO
2013-08-14
[3]
웹사이트
ISO/IEC 27001:2022
https://www.iso.org/[...]
2022-11-29
[4]
웹사이트
ISO/IEC 27001:2013
https://www.iso.org/[...]
2020-07-09
[5]
웹사이트
Facts and figures
http://www.bsigroup.[...]
2018-01-10
[6]
서적
2013 47th International Carnahan Conference on Security Technology (ICCST)
IEEE
2013-10
[7]
문서
ISO/IEC 17021
http://www.iso.org/i[...]
[8]
문서
ISO/IEC 27006
http://www.iso.org/i[...]
본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.
문의하기 : help@durumis.com