ISO/IEC 27001
정보 보안 관리 시스템
(Information Security Management System, ISMS ISMS)에
대한 표준으로, 소프트웨어의 보안 측면을
관리하기 위한 국제 표준입니다.
5. 절차
ISO/IEC 27001은 PDCA 사이클(Plan-Do-Check-Act)에 기반하여
다양한 단계를 수행합니다. 간단히 말해, 조직은 정보보안 정책을 계획하고,
이를 실시하며, 정책이 효과적으로 적용되는지 확인하고, 계속적으로 개선합니다.
1) 계획 (Plan)
정보보안 정책을 수립하고 정보보호 목표를 설정합니다. 리스크를 식별하고
이를 평가하여 적절한 대응 전략을 수립합니다. ISMS를 구현하고 운영하기 위한
계획을 수립합니다.
2) 실시 (Do)
계획 단계에서 수립한 정보보안 정책과 절차를 실행하고, 정보보호 대책을 실시합니다.
조직 내에서 정책을 소통하고 관리를 지원하는 구조를 구축하며,
리스크 대응 활동을 진행합니다.
3) 검토 (Check)
실시한 활동의 성과를 모니터링하고 검토합니다. 이를 통해 정보보안 정책과
절차가 적절히 실행되고 있는지를 확인하며, 성과 측정 및 감시를 수행합니다.
4) 개선 (Act)
검토 단계에서 식별한 문제점이나 기회를 기반으로 ISMS를 개선하는 조치를
수행합니다.
개선은 정기적인 회의나 검토를 통해 이루어지며, 조직은 지속적으로 성능을
향상하도록 노력합니다.
=> 이 사이클은 지속적으로 반복되어 정보보안 정책과 프로세스를 조직에 적응시키고,
변화하는 환경에 대응하며, 실제 위험과 조직의 필요에 맞게 조치를 조정합니다.
PDCA 사이클을 따르면 조직은 지속적인 개선과정을 통해 정보보호를 강화하고,
새로운 위험에 대응할 수 있는 유연성을 확보할 수 있습니다.
6. 인증
ISO/IEC 27001 인증은 조직이 국제 표준을 준수하고 있는지를 확인하고 검증하는
과정을 의미합니다.
인증은 독립된 제삼자 기관에 의해 수행되며, 조직이 ISO/IEC 27001 표준을
충족하고 있는지를 평가합니다.
6. 1. 심사 (Assessment)
1) 선정된 인증 기관 선택
조직은 ISO/IEC 27001 인증을 수행할 수 있는 신뢰할 수 있는
제3자 인증 기관을 선택합니다.
2) 문서 검토 및 평가
인증 기관은 조직의 문서, 프로세스, 절차 등을 검토하여 ISO/IEC 27001 표준을
준수하는지를 평가합니다.
3) 실사 (On-site Audit)
조직의 시설을 방문하여 현장에서 인증 프로세스를 진행합니다.
이 과정에서 조직의 정보보안 관리 시스템의 실제 운영 상태를 확인합니다.
4)보고서 작성
인증 기관은 심사 결과에 대한 보고서를 작성하고, 이를 기반으로 조직에게
향후 개선 사항이나 권고 사항을 전달합니다.
6.2.인증 (Certification)
1)인증 신청
조직은 인증을 받기 위해 선택한 제3자 인증 기관에게 신청서를 제출합니다.
2)인증 심사 및 결정
제3자 인증 기관은 인증 심사를 수행하고, 조직이 ISO/IEC 27001 표준을
충족하는지를 확인한 후 결정을 내립니다.
3)인증서 발급
조직이 ISO/IEC 27001 표준을 성공적으로 통과하면, 인증 기관은
조직에게 ISO/IEC 27001 인증서를 발급합니다.
4)유지 및 갱신
인증은 특정 기간 동안 유효하며, 이후에는 정기적으로 갱신을
위한 평가가 필요합니다.
조직은 지속적으로 정보보안 관리 시스템을 유지하고 개선하여
인증을 유지해야 합니다.
ISO/IEC 27001 인증을 통해 조직은 정보보안에 대한 높은 수준의 표준을
충족하고 있다는 신뢰성을 얻을 수 있습니다. 인증은 이해관계자들에게
조직의 정보보안 노력에 대한 입증을 제공하고 시장에서의 신뢰도를
향상시킬 수 있습니다.
'IT Auditor Study > 시스템구조' 카테고리의 다른 글
인터넷의 역사 : 초기부터 현재까지 (0) | 2024.03.12 |
---|---|
ISO/IEC 12207 표준 : 소프트웨어 및 시스템 엔지니어링 프레임워크 (0) | 2024.03.08 |
ISO/IEC 27001 : 정보 보안 관리 시스템 (ISMS) - ① (0) | 2024.03.05 |
ISO/IEC 27000 시리즈에 대해 알아보자. (0) | 2024.03.04 |
ISO/IEC 25000 : SQuaRE(소프트웨어 품질 요구사항 및 평가) (0) | 2024.03.04 |