I. ISO 27001 인증 및 핵심 가치 이해
ISO27001 인증은 소위 정보보안 관리 시스템입니다. ISO 기구가 제정한 이 규정은 정보가 넘쳐나는 현대 사회에서 모든 사람을 위한 지침 원칙이 되었습니다.
ISO27001 규정을 통해 기업 조직은 정보 보안을 보장하고 관련 정책을 수립하는 방법을 알 수 있습니다. 지침을 통해 회사는 관련 관리 절차를 수립하는 방법을 알게 됩니다. 회사가 ISO27001 조항의 모든 요구사항을 충족하면 ISO27001 인증 기준에 도달한 것입니다. 이때, 검증기관(제3자 기관)은 이러한 조항들의 준수 여부를 점검하고, 조직구조가 완전한지 등을 검토합니다. 조항의 모든 기준을 충족하면 ISO27001 인증을 취득할 수 있습니다.
많은 국가도 국가 정책에 따라 이 구조에 대응하고 있으며, 기업 조직은 ISO27001 인증을 획득해야 하며, 홍보나 엄격한 규제를 통해 대응하고 있습니다.
II. ISO27001 인증을 획득하기 전에 정보 보안 관리 시스템의 핵심 원칙을 이해해야 합니다.
ISO27001 정보 보안도 조직의 자산으로 간주됩니다. 무형자산이기는 하지만, 조직 운영에 영향을 미칠 수 있는 다른 귀중한 자산과 마찬가지로 적절하게 보호할 필요가 있습니다. 정보는 다음과 같은 다양한 형태로 존재할 수 있기 때문입니다.
- 정보: 데이터베이스, 데이터 파일, 계약서, 합의서 등을 포함합니다.
- 소프트웨어 자산: 애플리케이션 소프트웨어, 시스템, 개발 도구, 라이브러리 등을 포함합니다.
- 하드웨어 자산: 컴퓨터 장비, 통신 장비, 이동식 미디어 등
- 서비스: 컴퓨터, 통신 서비스, 일반 공유 리소스 등을 포함합니다.
- 사람: 전문적 자격, 기술 및 경험을 갖춘 인력이 포함됩니다.
- 무형자산: 영업권, 이미지 등.
따라서 이러한 형태의 자산 관련 보안을 중심으로 정보 보안 관리 시스템이 구축되어야 하며 효과적으로 계획, 운영, 주도 및 통제되어야 합니다.
간단히 말해서, ISO27001 인증의 정보 보안 관리 목표는 주로 정보의 세 가지 중요한 측면을 보호하는 것입니다.
- 기밀성: 정보 유출을 방지합니다.
- 무결성: 정보가 변조되는 것을 방지합니다.
- 가용성: 필요할 때 정보를 사용할 수 있도록 보장합니다.
이러한 원칙은 정보 보안 관리에 있어 중요하고 중심적인 역할을 하는 소위 CIA 삼위일체를 구성합니다. 동시에 정보 보안도 관련 법률 및 규정을 준수해야 하며, 특히 공공 기관의 경우 더욱 그렇습니다.
이러한 목표를 달성하기 위해 조직은 ISO27001 정보 보안 관리 시스템을 구축해야 합니다. 이 시스템은 구축, 구현, 운영, 모니터링, 검토, 유지관리에서 지속적인 개선까지 일련의 단계를 포괄합니다. 목표는 조직이 다양한 정보 보안 위험에 적응할 수 있도록 보장하는 동시에 조직의 전반적인 거버넌스 작업을 위한 기반을 제공하는 것입니다.
3. ISO27001의 관리주기 및 구조
ISO27001의 장은 PDCA(계획, 실행, 확인, 조치)와 유사한 고수준 관리 프레임워크를 따릅니다.
원형 구조 이러한 순환은 정보 보안 관리 체계 내에서 지속적으로 순환하고 개선되는 반복적 루프와 같습니다. ISO27001은 4장과 5장에서 내부 및 외부 이해 관계자와 이슈를 논의하고, 6장에서는 위험 관리, 7장에서는 인사 교육 및 문서 관리, 8장, 9장 및 10장에서는 내부 감사, 경영 검토 및 개선에 대해 논의합니다.
이러한 순환은 반복적인 과정과 같으며, 각 단계는 서로 관련되어 있어 정보 보안의 지속성과 지속적인 개선을 보장합니다.
4.4. 내부 및 외부 이슈와 위험 관리
ISO27001:2013의 네 번째 장에서는 조직의 운영 환경을 논의하고 있으며, 그 안의 "내부 및 외부 문제"에 대해 더 논의할 가치가 있습니다.
- 내부 및 외부 문제의 식별 및 분석:
내부 문제는 조직 내부의 사람과 사물을 말하며, 외부 문제는 조직 외부의 사람과 사물이 논의해야 할 필요성, 기대 또는 사항을 말합니다. 가장 간단한 예로는 주주들이 돈을 벌고 싶어하고, 직원들이 배우고 싶어하는 것 등이 있습니다. - 내부 및 외부 문제 처리 및 대응:
내부 및 외부 문제를 나열하고, 영향과 위험 수준에 따라 결정을 내려야 합니다. 이러한 문제를 해결하는 것은 ISO 27001의 요구 사항 중 하나입니다. 특히 위험이 높은 문제의 경우 대응 계획을 고려하고 정보 보안 관리 시스템에서 구현해야 합니다. 내부 및 외부 문제는 조직이 운영되는 환경을 반영합니다. 이러한 사항을 이해해야만 회사 운영에 적합한 전략적 정책을 수립할 수 있습니다. - 위험 관리 검토 및 처리:
내부 및 외부 문제를 걸러낸 후, 일부 문제는 위험 관리에 있어 위협이 될 수 있습니다. 이러한 맥락에서 이러한 주제는 정기적으로 검토하고 조사할 필요가 있습니다.
동시에 이해관계자 목록과 그들의 요구 사항을 담은 문서를 작성해야 하며, 여기에는 법률 및 규정에 대한 명확하고 구체적인 요구 사항이 포함되어야 하며, 이는 정보 보안 관리 시스템에 구현되어야 합니다. - 정보 보안 관리 시스템의 범위를 결정합니다.
Các vấn đề nội bộ và bên ngoài, yêu cầu của bên liên quan, sản phẩm và dịch vụ được sử dụng để xác định phạm vi của hệ thống quản lý bảo mật thông tin. - 위험 분석 및 시스템 문서화 구축:
내부 및 외부 문제를 분석하여 위험을 식별하기 위한 위험 분석 양식을 만듭니다. 그리고 4단계(또는 3단계)의 시스템 문서를 작성하고 실행 양식에 대한 기록을 보관합니다. - 정보 보안 관리 정책 수립:
마지막으로 정보보안 관리 정책을 수립해야 합니다. 이 정책은 ISMS 관련 규정의 수립, 관련 관리 프로세스, 위험 평가 작업, 정보 보안 목표 설정, 위험 처리 계획에서 선택한 통제 조치의 구현, 감사 및 경영 검토 사양 등을 포함하는 최상위 가이드라인과 같습니다.
원스톱 솔루션 제공업체