ISO/IEC 27001은 정보 보안 위험을 관리하는 구조적인 활동 정의로서 정보 보안 관리 시스템을 공식적으로 적용하는 단계로 ISMS를 통해 보안의 위협 및 취약성 및 조직의 비즈니스 활동의 영향을 미칠 수 있는 위협을 줄일 수 있습니다.
광범위한 모든 산업 분야(은행, 관공서, 학교, 사업체) 및 모든 조직체에 적용될 수 있습니다.
문서 Pack은 무단 배포가 불가하며 별도로 구매가 필요합니다.
ISO/IEC 27001 구조
0 Introduction(소개) - 프로세스 설명
1 Scope(범위) - 일반적인 ISMS 요구사항 지정
2 Normative references(표준 참조) - ISO/IEC 27000은 ISO/IEC 27001에 필수로 적용
3 Terms and definitions(용어 및 정의) - ISO/IEC 27000 참조
4 Context of the organization(조직의 맥락) - 조직의 이해관계자를 이해, 정의하며 ISMS 범위를 지정
5 Leadership(리더쉽) - 최고 경영진의 정책 위임 및 보안 역할 및 책임, 권한의 할당
6 Planning(계획) - 위험을 식별, 분석하며 보안 목표를 명확히 프로세스화
7 Support(지원) - 적절한 담당자 할당 및 인식을 높이며 문서화 준비
8 Operation(운영) - 정보 위험 평가 및 처리, 변경 문서 관리 및 문서화
9 Performance evaluation(성과 평가) - 정보 보안 제어, 프로세스 및 관리 시스템 모니터링, 측정, 분석 및 개선
10 Improvement(개선) - 부적합 및 시정조치를 진행하며, ISMS를 지속적으로 개선
인증의 필수 요구 사항
- ISMS에 대한 디자인을 구성하고 중요도 높은 부분에 대한 정의
- 아래의 문서 준비 필요
1. ISMS 범위
2. 정보 보안 정책
3. 정보 위험 평가 프로세스
4. 정보 위험 처리 프로세스
5. 정보 보안 목표
6. 정보 보안 분야에서 일하는 사람들의 능력에 대한 증거
7. 조직에서 필요하다고 간주하는 기타 ISMS 관련 문서
8. 운영 계획 및 관리 문서
9. [정보] 위험 평가의 결과
10. [정보] 위험 처리에 관한 결정
11. 정보 보안 모니터링 및 측정 증거
12. ISMS 내부 감사 프로그램 및 수행 된 감사 결과
13. ISMS의 최고 경영진 검토 증거
14. 식별 된 부적합의 증거 및 발생 시정 조치
인증의 효과
ISO/IEC 27001 준수를 통해 정보 보안 관리를 위해 조직이 노력한다는 홍보효과를 가질 수 있으나, 단지 ISMS를 준수한 보안관리 체계이며 완벽히 정보 보안에서 안전하다고 말할 수는 없습니다.
'보안 > ISO,IEC' 카테고리의 다른 글
| ISO/IEC 27000 정보 보안 관리 시스템 개요 (0) | 2021.05.11 |
|---|
댓글