정보 보호 경영시스템
(Information Security Management System)
ISO/IEC 27001 인증은 국제표준화기구(ISO)에서 제정한 정보보호관리체계에 관한 규격입니다.
업무 요구사항과 관련 법률 및 규제에 따라 정보보호를 수행하도록 경영방침에 대한 지원을 제공하기 위해,
위험관리와 보안정책, 자산 분류 등의 133개 항목에 대한 규격을 담고 있습니다.
ISO/IEC 27001 인증은 전 세계에서 인정하는 표준 기반 보안 접근 방식이며, 조직의 정보 보안 경영시스템(IMSM)이 갖추어야 할 요건을 제시합니다.
■ 필요성
-
위험관리를 기반으로 비용 효과적인 정보보호 대책 구현
-
개인, 국가 정보 유출을 사전 예방
-
합리적이고 효율적인 정보보호 관리체계 구축
-
각종 정보보호 관련 법적 요구사항에 대하여 체계적으로 대응
■ 기대효과
-
정보보호 관리체계의 객관적 검증으로 기관 이미지 제고, 신뢰성 향상
-
정보보호의 개선으로 기관 경쟁력 강화
-
기관의 정보보호 수준의 국제화
-
비즈니스의 지속가능성 보장 (BCP)
■ 경영시스템 모델
신뢰성 향상
서비스품질 향상
프로세스 최적화
■ 요구사항
1. 적용범위
2. 인용표준
3. 용어 및 정의
4. 조직 상황
4.1 조직과 상황에 대한 이해
4.2 이해당사자의 요구와 기대에 대한 이해
4.3 정보보호 경영시스템의 범위 결정
4.4 정보보호 경영시스템
5. 리더십
5.1 리더십과 의지
5.2 방침
5.3 조직의 역할, 책임, 권한
6. 계획
6.1 위험과 기회에 따른 조치
6.2 정보보호 목표 및 달성 계획
7. 지원
7.1 자원
7.2 역량 / 적격성
7.3 인식
7.4 의사소통
7.5 문서화된 정보
8. 운영
8.1 운영 계획 및 통제
8.2 정보보호 위험평가
8.3 정보보호 위험처리
9. 성과 평가
9.1 모니터링, 측정, 분석, 평가
9.2 내부 심사
9.3 경영 검토
10. 개선
10.1 부적합 및 시정 조치
10.2 지속적 개선