ISO/IEC 27001 정보보안경영시스템

ISO/IEC 27001 배경

다양한 위협으로부터 중요 IT 서비스 및 정보를 보호하기 위해 최신의 하드웨어와 보안 소프트웨어 들이 도입되고 있으나, 이는 단편적인 해결책을 제공할 뿐 근본적인 해결방안을 제공할 수는 없습니다. 

많은 글로벌 기업들은 자사보안 정책 및 실행의 적절성, 보안 위협에 대한 적절한 보안 절차를 수립하여 ISMS (Information Security Management System)을 구현하고 있으며 이는 공식적인 ISMS로 인식되고 있는 ISO/IEC 27001도입의 시작이 되고 있습니다.

1995년에 BS7799로 발표된 ISMS 표준은 현재 국제적으로 ISO/IEC 27001로 명명되어 정보보안의 다양한 위험을 관리할 수 있는 유용한 도구로 인식되고 있습니다.

ISO/IEC 27001은 정보보안 의 위협을 효과적으로 인지하고 통제할 수 있는 BestPractice를 제공합니다. 세계적으로 공신력을 인정 받고 있는 LRQA를 통한 인증획득은 귀사의 정보보안경영시스템의 효율성을 더욱 높이는 계기가 될 것입니다.

 

ISMS(Information Security Management System)이란?

기업은 비즈니스를 수행하고 이윤을 창출하기 위해 다양한 유무형의 정보들을 생성하고 활용하고 있습니다. 이러한 중요한 정보들의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 보장하여 기업활동에 기여할 수 있도록 보장하기 위해 정보보안시스템을 수립하고 이행 및 운영하며 감시, 검토, 유지, 개선하기 위한 경영 시스템을 ISMS(Information Security Management System)라고 합니다.

 

정보보안경영시스템(ISO/IEC 27001)이란?

■ 정보보안경영을 위한 표준으로서 영국에서 제정된 기존 BS 7799를 기반으로 2005년 10월 국제표준화기구인 ISO에서 국제표준으로 채택하였으며 이는 ISO 17799:2000 국제표준인 Information Technology에 관한 시스템 실행 지침(Code of Practice for Information Security Management)과 ISO/IEC 27001:2005(Specification for Information Security Management System)인증 표준으로 구성되어 있습니다.

■ 조직이나 기업이 ISMS를 수립하여 이행하고 감시 및 검토, 유지, 개선하기 위해 필요한 요구사항을 명시한 국제표준으로서 Plan - Do - Check - Action (PDCA) 모델을 채택하여 ISMS실행을 위한 Framework를 구축할 수 있도록 도와줍니다.

 

 

ISO/IEC 27001 의 구성

ISO/IEC 27001 은 ISMS에 대한 기본요구사항과 통제목적(Control Objectives)과 통제수단(Controls)으로 구성되어 있습니다. ISO/IEC 27001인증은 조직의 ISMS가 이 규격이 요구하는 기본 요구사항을 충족하고 있으며, 통제수단을 적용하여 실행하고 있는지를 심사하여 발행됩니다.

  

ISO/IEC 27001 인증획득의 기대효과

1. 기업내부
 (1) 정보보안 리스크 관리체계 개선을 통한 실질적인 정보보안 수준 향상
    - 중요 정보자산 관리 효과 : 국제 표준에 의한 체계화된 방법론으로 관리 실시
    - 정례적인 위험평가 및 위험수준 구체적 대응
         : 국제 표준과 자체 운영기준 비교 및 손실가능성 정량적 예측 대응
         : 취약부분 파악 및 처리, 개선작업 실행기회 창출
         : 위험 발생가능성 우선순위, 비용 효과 측면을 고려한 보안대책 선정가능
 (2) 사고 예방 및 영향도 최소화
    - 사업상의 손실 최소화와 비즈니스 연속성을 보장
    - 직원의 정보보안에 대한 동기부여 및 참여도 향상
    - 전반적인 보안활동 개선, 지속적 개선에 기여, 수익 및 사업기회 증대

2. 기업외부
 (1) 객관적인 평가로 인한 고객/파트너사 신뢰감 향상
    - 정보보안 국제규격(ISO/IEC27001) 부합여부를 제3자가 독립적, 객관적 검증한 효과
    - 조직의 정보보안 수준을 지속적으로 개선하고 인증을 통한 안정성 증명 효과
    - ISO/IEC 27001인증 획득 홍보와 영업 경쟁력 강화
 (2) 정보보안에 대한 법적 및 계약 요구사항에 대한 적합성 향상
    - 국제표준 준수에 따른 고객 신뢰도 향상에 의한 Business 경쟁력 강화

 

LRQA를 통한 제3자 인증

인증기관의 선택은 고객에게 귀사가 정보보호를 위해 얼마나 심열을 기울이고 있는지에 대해 많은 것을 시사하게 됩니다. 정보보호경영시스템의 지속적인 발전과 잠재능력의 현실화에 도움이 될 수 있는 인증기관을 선택하는 것은 중요한 일입니다.

■ LRQA는 UKAS에 최초 등록된 인증기관으로서 현재 국제 기준의 IT표준을 포함한 전세계 모든 규격의 인증심사 자격을 갖춘 기관이며. 전세계 5대 인증기관 중 하나입니다.

■ LRQA는 전세계적으로 금융, 통신, 소프트웨어, 공공, 인터넷 서비스, 컨설팅등 다양한 산업섹터에 대해 고품질의 ISMS 심사 및 인증을 수행 하였습니다.

■ LRQA는 조직의 표준 이행뿐만 아니라 조직의 지속적인 시스템 개선을 위한 Business Assurance 방법론을 통해ISO/IEC 27001 인증 조직의 효과성 향상을 지원합니다.