ISO27001

ISO27001은 무엇인가?

ISO27001은 정보보안을 관리하는 시스템 이다. 개인의 정보 또는 기업의 정도는 모두 자산(Asset)이며, 이러한 가치들을 취급하는데 있어서, 가용성(Availability), 기밀성(Confidentiality) 및 무결성(Integrity)을 가지도록 관리하는 것이다.

적용범위

• 본 국제표준에는 조직 맥락(전후사정) 내에서 정보보안 관리 시스템을 수립, 이행, 유지 및 지속적으로 개선하기 위한 요구사항이 명시되어 있다.
• 본 국제표준에는 조직의 니즈에 맞춰 정보보안 위험을 평가 및 처리하기 위한 요구사항도 수록되어 있다.
• 본 국제표준에 명시된 요구사항은 일반적인 것으로서, 종류, 규모 혹은 성격에 상관없이 모든 조직에 적용하고자 고안되었다.
• 조직이 본 국제표준의 준수를 주장할 때에는 제4조(조직의 맥락)에서 제10조(개선)에 명시된 요구사항의 배제가 용인되지 않는다.

법적 요구사항(Requirement)

ISO 27001 : 2013은 아래의 요구사항으로 구성되어있으며, 정보보안 규격의 적용을 위하여

ISO31000 :2009 (Risk management - principles and guidelines) 규격을 참조하여야 한다.

1. 범위
2. 규범적 참고문헌
3. 용어 및 정의
4. 조직의 맥락 (Context of the organization)
   1. 4.1 조직과 그 맥락의 이해
   2. 4.2 이해당사자들의 니즈와 기대의 이해
   3. 4.3 정보보안 관리 시스템의 범위 결정
   4. 4.4 정보보안 관리 시스템
5. 리더십 (Leadership)
   1. 5.1 리더십 및 의무
   2. 5.2 정책
   3. 5.3 조직의 역할, 책임 및 권한
6. 계획 (Planning)
   1. 6.1 위험 및 기회에 대한 조치
   2. 6.2 정보보안 목적 및 그 달성을 위한 계획
7. 지원 (Support)
   1. 7.1 자원
   2. 7.2 역량
   3. 7.3 인식
   4. 7.4 의사소통
   5. 7.5 문서화된 정보
8. 운영 (Operation)
   1. 8.1 운영 계획 및 통제
   2. 8.2 정보보안 위험 평가
   3. 8.3 정보보안 위험 처리
9. 성과 평가 (Performance evaluation)
   1. 9.1 모니터링, 측정, 분석 및 평가
   2. 9.2 내부 감사
   3. 9.3 경영 검토
10. 개선 (Improvement)
    1. 10.1 부적합 및 시정 조치
    2. 10.2 지속적 개선