ISO/IEC 27001 (정보보호)

ISO/IEC 27001(정보보안경영시스템) 인증제도
- 조직이 비즈니스 위험 접근법을 기본으로, 정보보안의 확립(establish), 구현(implement), 운용(operate), 모니터링(monitor),
  검토(review), 유지(maintain)하며 개선(improve)하기 위한 경영시스템
- 조직이 보유한 정보자산의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability) 유지를 위한 모든 보안관리 활동을 체계화
- 조직에서의 업무(business),조 직(organization), 장소(location),자산(assets)과 기술(technology)적 특성을 고려하여 구현 범위 설정

ISO/IEC 27001(정보보안경영시스템) 모델

01. 계획 : 정보보안을 개선하거나 위기관리를 하기위한 ISMS 방침, 목적, 프로세스, 절차수립
02. 실행 : ISMS 방침, 통제, 프로세스, 절차의 실행 및 운영
03. 점검 : ISMS 방침, 목표, 실행에 대한 평가 및 측정
04. 조치 : 지속적 ISMS 개선을 위하여 내부심사, 경영검토 활동

인증취득의 필요성 및 기대효과
- ISO27001을 통해 정보 보안에 대한 법적 및 계약 요구사항에 대한 적합성 향상 기대
- 국제 표준에 따른 정보 보안 리스크 관리 체계 개선을 통한 실질적인 정보보안 수준 향상
- 정보보호 위험관리를 통한 비즈니스 안정성 제고
- 윤리 및 투명 경영을 위한 정보보호 법적 준거성 확보
- 침해사고, 집단소송 등에 따른 사회 · 경제적 피해 최소화
- 인증 취득시 정보보호 대외 이미지 및 신뢰도 향상
- ISO/IEC 27001:2022 발행에 따른 인증전환안내

ISO/IEC 27001(정보보안경영시스템) 모델

ISO/IEC 27001:2022 요구사항

1 적용범위

2 인용표준

3 용어와 정의

4 조직상황

4.1 조직과 조직상황의 이해

4.2 이해관계자의 니즈와 기대 이해

4.3 정보보안경영시스템의 적용범위 결정

4.4 정보보안경영시스템

5 리더십

5.1 리더십과 의지

5.2 방침

5.3 조직의 역할, 책임 그리고 권한

6 계획

6.1 위험과 기회를 다루기 위한 조치

6.2 정보보안목표와 그의 달성 기획

7 지원

7.1 자원

7.2 역량

7.3 인식

7.4 의사소통

7.5 문서화된 정보
8 운용

8.1 운용 계획 및 통제

8.2 정보보안 위험평가

8.3 정보보안 위험처리

9 성과 평가

9.1 모니터링, 측정, 분석 및 평가

9.2 내부심사

9.3 경영진 검토

10 개선

10.1 지속적 개선

10.2 부적합 및 시정 조치

부속서 A(규범적) 정보보안 통제

A.5 조직 통제

A.6 인원 통제

A.7 물리적 통제

A.8 기술적 통제

ISO/IEC 27001:2013 요구사항

1 적용범위

2 인용표준

3 용어와 정의

4 조직상황

4.1 조직과 상황에 대한 이해

4.2 이해당사자의 요구와 기대에 대한 이행

4.3 정보보호 경영시스템의 범위 결정

4.4 정보보호 경영시스템

5 리더십

5.1 리더십과 의지

5.2 정책

5.3 조직의 역할, 책임, 권한

6 계획

6.1 위험과 기회에 따른 조치

6.2 정보보호 목표 및 달성 계획

7 지원

7.1 자원

7.2 적격성

7.3 인식

7.4 의사소통

7.5 문서 정보

8 운용

8.1 운용 계획 및 통제

8.2 정보보안 위험평가

8.3 정보보안 위험처리
9 성과 평가

9.1 모니터링, 측정, 분석 및 평가

9.2 내부심사

9.3 경영진 검토

10 개선

10.1 부적합 및 시정 조치

10.2 지속적 개선

부속서 A(규범적) 정보보안 통제

A.5 정보보호 정책

A.6 정보보호 조직

A.7 인적자원 보안

A.8 자산관리

A.9 접근통제

A.10 암호화

A.11 물리적 및 환경적 보안

A.12 운영 보안

A.13 통신 보안

A.14 시스템 도입, 개발, 유지보수

A.15 공급자 관계

A.16 정보보호 사고 관리

A.17 업무연속성 관리의 정보보호 측면

A.18 준거성

<div class="iso_icon_box">
 <ul>
 <li class="iso_icon_list">
 <img src="https://ksa.or.kr/sites/ksa_kr/images/renewal/cert/iso_icon1.png" alt="">
 <dl>
 <dt>ISO/IEC 27001(정보보안경영시스템) 인증제도</dt>
 <dd>
 <ul class="list_style2">
 <li>조직이 비즈니스 위험 접근법을 기본으로, 정보보안의 확립(establish), 구현(implement), 운용(operate), 모니터링(monitor), 
 검토(review), 유지(maintain)하며 개선(improve)하기 위한 경영시스템</li>
 <li>조직이 보유한 정보자산의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability) 유지를 위한 모든 보안관리 활동을 체계화</li>
 <li>조직에서의 업무(business),조 직(organization), 장소(location),자산(assets)과 기술(technology)적 특성을 고려하여 구현 범위 설정</li>
 </ul>
 </dd>
 </dl>
 </li>
 </ul>
 </div>

</div>

<div class="section cert2_2_1_2_2 mb50">
 <h2 class="title_2">ISO/IEC 27001(정보보안경영시스템) 모델</h2>
 <div class="img_pc tC">
 <img src="https://ksa.or.kr/sites/ksa_kr/images/renewal/cert/iso_27001_img1_pc.jpg" alt="" style="max-width:686px;">
 </div>

<ul class="list_style2 mt50">
 <li>01. 계획 : 정보보안을 개선하거나 위기관리를 하기위한 ISMS 방침, 목적, 프로세스, 절차수립</li>
 <li>02. 실행 : ISMS 방침, 통제, 프로세스, 절차의 실행 및 운영</li>
 <li>03. 점검 : ISMS 방침, 목표, 실행에 대한 평가 및 측정</li>
 <li>04. 조치 : 지속적 ISMS 개선을 위하여 내부심사, 경영검토 활동</li>
 </ul>
 </div>

<div class="iso_icon_box mt100">
 <ul>
 <li class="iso_icon_list">
 <img src="https://ksa.or.kr/sites/ksa_kr/images/renewal/cert/iso_icon3.png" alt="">
 <dl>
 <dt>인증취득의 필요성 및 기대효과</dt>
 <dd>
 <ul class="list_style2">
 <li>ISO27001을 통해 정보 보안에 대한 법적 및 계약 요구사항에 대한 적합성 향상 기대</li>
 <li>국제 표준에 따른 정보 보안 리스크 관리 체계 개선을 통한 실질적인 정보보안 수준 향상</li>
 <li>정보보호 위험관리를 통한 비즈니스 안정성 제고</li>
 <li>윤리 및 투명 경영을 위한 정보보호 법적 준거성 확보</li>
 <li>침해사고, 집단소송 등에 따른 사회 · 경제적 피해 최소화</li>
 <li>인증 취득시 정보보호 대외 이미지 및 신뢰도 향상</li>
 <li>ISO/IEC 27001:2022 발행에 따른 인증전환안내</li>
 </ul>
 </dd>
 </dl>
 </li>
 </ul>
 </div>

<div class="section cert2_2_1_2_3">
 <h2 class="title_2">ISO/IEC 27001(정보보안경영시스템) 모델</h2>
 <div class="img_pc tC">
 <img src="https://ksa.or.kr/sites/ksa_kr/images/renewal/cert/iso_27001_img2_pc.jpg" alt="" style="max-width:940px;">
 </div>

</div>

<div class="section iso_require mt100">
 <h3 class="title_2">ISO/IEC 27001:2022 요구사항</h3>
 <ul class="_flex iso27001_require1 mb100">
 <li>
 
 1
 적용범위
 
 
 2
 인용표준
 
 
 3
 용어와 정의
 
 
 4
 조직상황
 
 
 4.1
 조직과 조직상황의 이해
 
 
 4.2
 이해관계자의 니즈와 기대 이해
 
 
 4.3
 정보보안경영시스템의 적용범위 결정
 
 
 4.4
 정보보안경영시스템
 
 
 5
 리더십
 
 
 5.1
 리더십과 의지
 
 
 5.2
 방침
 
 
 5.3
 조직의 역할, 책임 그리고 권한
 
 
 6
 계획
 
 
 6.1
 위험과 기회를 다루기 위한 조치
 
 
 6.2
 정보보안목표와 그의 달성 기획
 
 
 7
 지원
 
 
 7.1
 자원
 
 
 7.2
 역량
 
 
 7.3
 인식
 
 
 7.4
 의사소통
 
 
 7.5
 문서화된 정보
 
 </li>
 <li>
 
 8
 운용
 
 
 8.1
 운용 계획 및 통제
 
 
 8.2
 정보보안 위험평가
 
 
 8.3
 정보보안 위험처리
 
 
 9
 성과 평가
 
 
 9.1
 모니터링, 측정, 분석 및 평가
 
 
 9.2
 내부심사
 
 
 9.3
 경영진 검토
 
 
 10
 개선
 
 
 10.1
 지속적 개선
 
 
 10.2
 부적합 및 시정 조치
 
 
 부속서 A(규범적) 정보보안 통제
 
 
 A.5
 조직 통제
 
 
 A.6
 인원 통제
 
 
 A.7
 물리적 통제
 
 
 A.8
 기술적 통제
 
 </li>
 </ul>
 </div>

<div class="section iso_require mt100">
 <h3 class="title_2">ISO/IEC 27001:2013 요구사항</h3>
 <ul class="_flex iso27001_require2 mb100">
 <li>
 
 1
 적용범위
 
 
 2
 인용표준
 
 
 3
 용어와 정의
 
 
 4
 조직상황
 
 
 4.1
 조직과 상황에 대한 이해
 
 
 4.2
 이해당사자의 요구와 기대에 대한 이행
 
 
 4.3
 정보보호 경영시스템의 범위 결정
 
 
 4.4
 정보보호 경영시스템
 
 
 5
 리더십
 
 
 5.1
 리더십과 의지
 
 
 5.2
 정책
 
 
 5.3
 조직의 역할, 책임, 권한
 
 
 6
 계획
 
 
 6.1
 위험과 기회에 따른 조치
 
 
 6.2
 정보보호 목표 및 달성 계획
 
 
 7
 지원
 
 
 7.1
 자원
 
 
 7.2
 적격성
 
 
 7.3
 인식
 
 
 7.4
 의사소통
 
 
 7.5
 문서 정보
 
 
 8
 운용
 
 
 8.1
 운용 계획 및 통제
 
 
 8.2
 정보보안 위험평가
 
 
 8.3
 정보보안 위험처리
 
 </li>
 <li>
 
 
 9
 성과 평가
 
 
 9.1
 모니터링, 측정, 분석 및 평가
 
 
 9.2
 내부심사
 
 
 9.3
 경영진 검토
 
 
 10
 개선
 
 
 10.1
 부적합 및 시정 조치
 
 
 10.2
 지속적 개선
 
 
 부속서 A(규범적) 정보보안 통제
 
 
 A.5
 정보보호 정책
 
 
 A.6
 정보보호 조직
 
 
 A.7
 인적자원 보안
 
 
 A.8
 자산관리
 
 
 A.9
 접근통제
 
 
 A.10
 암호화
 
 
 A.11
 물리적 및 환경적 보안
 
 
 A.12
 운영 보안
 
 
 A.13
 통신 보안
 
 
 A.14
 시스템 도입, 개발, 유지보수
 
 
 A.15
 공급자 관계
 
 
 A.16
 정보보호 사고 관리
 
 
 A.17
 업무연속성 관리의 정보보호 측면

A.18
 준거성
 
 </li>
 </ul>
 </div>

</div>