홈 > ISO 인증 > 시스템인증 분야 > ISO 27001
 

 

 
ISO/IEC 27001

ISO/IEC27001은 정보보안경영시스템(ISMS)의 표준 규격입니다. 정보는 조직의 운영과 핵심으로서아마도 조직의 생존과도 직결되어 있을 것입니다. ISO/IEC27001에 대한 인증은 가치있는 정보 자산을 운영하는데 도움이 될 것입니다.

ISO/IEC27001은 심사 가능한 유일한 국제 표준 기준으로서 적절하고 균형 보안 관리방법의 선택을 보증하도록 고안되었습니다. 본 규격은 조직의 정보 자산을 보호할 뿐만 아니라, 이해 관계자들, 특히 고객에게 신뢰를 줄 수 있습니다.
본 규격은 조직이 처한 전반적인 위험 요소를 고려하여 문서화된 ISMS를 수립하고, 이행하고, 운영하며, 모니터링하고 검토하고, 유지 관리하는데 필요한 요구사항들을 지정하고 있습니다. 또한 본 규격은 개별 조직의 요구사항에 맞춘 보안관리를 이행할 것을 요구사항으로 지정하고 있습니다.

본 규격은 2005년도에 개정되었고, ISO9001, ISO14001과 마찬가지로 계획-실행-점검-조치 모델을 바탕으로 하고 있으며, 정보의 기밀성, 완전성과 가용성에 대한 위험을 색별하고 관리하기 위하여 위험평가(Risk Assessment)와 사업영향분석(Business Impact Analysis)을 실시합니다.

 ISO/IEC 27001 규격은 아래의 주제들을 다루고 있습니다.

  • 보안정책 – 정보 보안을 위한 경영 방향과 지원을 제공합니다.
  • 자산 및 자원의 조직화 – 조직 내에서 정보보안을 관리할 수 있도록 도와줍니다.
  • 자산 분류 및 통제 – 자산을 식별하고 적절하게 보호할 수 있도록 도와드립니다.
  • 인적 보안 – 인적 과오, 절도, 도구의 잘못된 사용위험을 감소시킵니다.
  • 물리적 환경적 보안 –사업장 및 정보에 대한 승인되지 않은 접근, 손상 및 간섭을 막아줍니다.
  • 커뮤니케이션과 운영 관리 – 정보 처리 시설의 정확하고 안전한 작동을 보증합니다.
  • 접근 관리– 정보에 대한 접근을 관리할 수 있습니다.
  • 시스템 개발과 유지 – 보안이 정보 시스템 내에서 이루어질 수 있도록 보증합니다.
  • 사업 지속성 관리 – 사업 활동의 방해에 대응하고 주요 결함이나 재해의 영향으로부터 중요한 비즈니스 프로세스를 보호합니다.
  • 준수평가 - 모든 보안 요구사항과 계약 조건 또는 형사 및 민사 법률, 규제의 위반을 피합니다.

 해당 규격은 어떤 조직에 적용할 수 있습니까?

ISO/IEC27001은 조직의 크기에 상관없이 넓은 범위에 상업 및 산업 시장 부문 대부분에 적용할 수 있습니다. 본 규격은 특히 정보의 보안이 중요한 곳, 금융, 의료, 공공 및 IT 부문에 적합합니다.
또한 ISO/IEC27001은 다른 IT 외주업체와 같은 다른 이들을 대신해서 정보를 관리하는 조직에게 정보 보안을 보장할 수 있어 대단히 효과적입니다.

 ISO/IEC27001의 이점

ISO/IEC27001 인증은 정보 보호를 관리하는 해당 조직의 강력한 증거입니다. 또한 본 규격은 체계적인 틀을 만들어, 그 안에서 조직 스스로 지속적인 개선을 이끌어내고, 소속 조직의 경쟁우위적 이익을 제공합니다.
그 이유는 다음과 같습니다.

  • 본 인증은 귀사가 해당 산업분야에서 보안을 위한 best practices를 적용하고 있다는 것을 인증합니다.
  • 마케팅 상품으로서, 본 인증은 현재와 잠재 고객들에게 신뢰를 제공합니다.
  • 준수평가를 통하여, 윤리에 대한 보다 나은 작업지침과 윤리가 세워집니다.
  • 본 규격은 귀사가 규정/제약에 대한 요구사항을 준수할 수 있는 틀을 제공합니다.
  • 본 규격은 귀사의 IT 시스템이 안전하다는 것을 귀사의 보안 프로세스를 드러내거나 귀사의 시스템을 이해 관계자에게 노출하지 않고도 증명할 수 있습니다.
  • 본 규격은 귀사가 잠재적인 보안 위험을 최소화하면서 지속적 사업경영을 위한 계획을 개발하는데 도움이 될 것입니다.

 


담당자 : 서정민
Tel : 82 2 26369003  l  Fax : 82 2 26369070  l  Emall : iampm@urs.co.kr