ISO/IEC 27001
정보 보안 관리 시스템
(Information Security Management System, ISMS ISMS)에
대한 표준으로, 소프트웨어의 보안 측면을
관리하기 위한 국제 표준입니다.
이 표준은 원래 2005년에 국제 표준화 기구 (ISO)와 국제 전기 기술 위원회 (IEC) 가
공동으로 발표했으며 , 2013년에 개정되었고, 가장 최근에는
2022년에 다시 개정되었습니다. 또한 수많은 표준이 있습니다.
표준의 국가별 변형이 인정되었습니다.
ISMS(정보 보안 관리 시스템)를 수립, 구현, 유지 및 지속적으로 개선하기 위한
요구 사항을 자세히 설명합니다.
ISMS의 목적은 조직이 보유하고 있는 정보 자산을 더욱 안전하게 만드는 것입니다.
ISO/IEC 27001는 국제표준화기구 (ISO : International Organization for Standardization) 및
국제전기기술위원회 (IEC : International Electrotechnical Commission)에서 제정한
정보보호 관리체계에 대한 국제 표준이자 정보보호 분야에서 가장 권위 있는 국제 인증으로,
정보보호정책, 기술적 보안, 물리적 보안, 관리적 보안 정보접근 통제 등
정보보안 관련 11개 영역, 133개 항목에 대한 국제 심판원들의
엄격한 심사와 검증을 통과해야 인증된다.
ISO/IEC 27001은 정보보호 관리 시스템(Information Security Management System, ISMS)에
대한 국제 표준으로서, 정보 자산의 보안을 관리하고 유지하기 위한 프레임워크를 제공합니다.
이 규격은 조직이 정보 자산에 대한 위협으로부터 보호하고,
정보보호 활동을 지속적으로 관리하도록 돕습니다.
1. 정의
ISO/IEC 27001은 국제 표준화 기구(ISO)와 국제 전기통신 연합(IEC)이 공동으로
개발한 정보보호 관리 시스템 (Information Security Management System, ISMS)에
대한 국제 표준입니다. 이 규격은 조직이 정보 자산에 대한 보안을 효과적으로
관리하기 위한 프레임워크를 제공합니다.
2. 목적
ISO/IEC 27001의 주요 목적은 조직이 정보 자산을 보호하고 정보보안 관리 시스템을
구현하여 지속적으로 향상시키기 위함입니다. 이를 통해 조직은 정보 자산의 보안 위험을
식별하고 관리하여 비즈니스 연속성을 유지하고 정보 자산을 신뢰성 있게 보호할 수 있습니다.
3. 구성
ISO/IEC 27001은 여러 부분으로 구성되어 있습니다.
주요한 부분은 다음과 같습니다:
1) 범위 및 정의 (Scope and Definitions):
ISMS의 범위를 결정하고 필요한 용어와 정의를 제공합니다.
2) 조직의 연혁 (Organizational Context):
조직의 내부 및 외부 환경에 대한 이해를 제공합니다.
3) 리더십 및 관리 의지 (Leadership and Commitment):
최고 경영진의 참여와 지원을 확인하며, 정보보안에 대한 의지를 표명합니다.
4) 정보보안 정책 (Information Security Policy):
정보보안 정책의 개발과 유지에 관한 내용을 다룹니다.
5) 조직적 지원 (Organizational Support):
인적, 재무적, 물리적 자원을 관리하여 ISMS를 지원하는 방법을 다룹니다.
6) 전략 (Planning)
정 보보안 목표를 설정하고 리스크를 식별하여 대응하는 방법을 다룹니다.
7) 운영 (Operation)
정보보안 정책, 절차, 프로세스를 운영하는 방법을 다룹니다.
8) 성과 평가 (Performance Evaluation):
ISMS의 성과를 측정하고 평가하는 방법을 다룹니다.
9)개선 (Improvement):
ISMS의 성능을 지속적으로 개선하기 위한 방법을 다룹니다.
4. 내용
ISO/IEC 27001의 내용은 위에서 언급한 부분들을 상세히 다룹니다.
각 부분은 정보보안에 대한 원칙과 프로세스를 명확히 정의하고 있습니다.
지금까지 ISO/IEC 27001 정보 보안 관리 시스템(Information Security Management System, ISMS ISMS)에
대한 표준에 대해 알아보았습니다.
'IT Auditor Study > 시스템구조' 카테고리의 다른 글
ISO/IEC 12207 표준 : 소프트웨어 및 시스템 엔지니어링 프레임워크 (0) | 2024.03.08 |
---|---|
ISO/IEC 27001 : 정보 보안 관리 시스템 (ISMS) - ② (2) | 2024.03.06 |
ISO/IEC 27000 시리즈에 대해 알아보자. (0) | 2024.03.04 |
ISO/IEC 25000 : SQuaRE(소프트웨어 품질 요구사항 및 평가) (0) | 2024.03.04 |
ISO/IEC 25010의 주요 품질 특성 및 하위 특성 (0) | 2024.03.02 |