ISO 27001

Contents

ISO/IEC 27001은 ISO/IEC 27000 표준 그룹의 일부로 정보 보안 표준(information security standard)을 다루고 있다. 표준이 만들어진 이후로 몇가지 사소한 업데이트 후 2013년에 마지막 버전이 배포됐다. ISO 270001은 ISO(Organization for Standardization)와 IEC(International Electrotechnical Commission)에 의해서 관리되고 있다.

ISO/IEC 27001은 정보보호 관리체계에 있어서 가장 권위 있는 국제인증으로, 정보보호정책, 물리적 보안, 정보접근 통제등 정보보안 관련 11개 영역, 133개 항목에 대한 국제 심판원들의 엄격한 심사와 검증을 통과해야 인증 된다. 한국에서는 KFQ(한국품질재단)과 같은 인증기관이 ISO/IEC 27001 인증을 제공하고 있다.

해당 프로세스는 영국의 보안 표준이었다. 2005년 11월에 ISO 표준으로 승격됐으며, (2018년)현재 가장 최신 버전은 ISO 27001 2013 이다.

27001은 ISO 9000에서의 품질관리표준인 PDCA(Plan-Do-Check-Act)주기를 도입해서 ISMS의 모든 프로세스에 적용하고 있다.

• Plan (ISMS 수립) : 위험관리 및 정보보안 향상과 관련된 정책, ISMS 목표, 프로세스 및 절차를 수립하여 조직의 글로벌 정책과 목표에 부합하는 결과를 제공한다.
• Do (ISMS의 구현 및 작동) : ISMS 정책, 통제, 프로세스를 구현한다.
• Check (ISMS 모니터링 및 검토) : 적용 가능한 경우 정책을 평가하고, 목표 및 실제 경험에 대한 프로세스의 성과를 측정한다. 측정 결과는 경영진에게 보고된다.
• Act(ISMS의 갱신 및 개선) : ISMS 내부 감사 및 경영 검토 결과를 토대로 구축한 정보보안 시스템을 지속적으로 개선하기 위한 시정 및 예방조치를 실행한다.

ISMS는 KISA(한국인터넷진흥원)이 실시하는 "정보보호관리체계인증"이다. 기본적으로 ISMS는 ISO27001의 국제표준을 모두 포함하며, 국내상황에 맞게 보안요건을 강화한 정보보호관리 체계다. 보통 K-ISMS라고 부른다.

둘의 차이는 아래와 같다.

구분	KISA ISMS	ISO 27001
인증주체	KISA: 국내표준	ISO/IE: 국제표준
인증기관	KISA 기업보안관리팀	BSI Korea, DNV, SGS, 한국품질보증원
인증현황	국내기업(찾아봐야 함)	전세계 7000여 업체,국내 100여 업체(확인 필요)
통제항목	정보보호 5단계 관리과정 요구사항 14개 필수항목, 문서화 요구사항 3개 필수항목, 정보보호대책 15개 분야 120개 세부항목 등 총 137개 항목	정보보호 관리과정 4개 도메인과 Annex 11개 도메인 133개 세부 통제항목으로 구성
사후심사	1년 주기 사후심사, 3년 주기 재심사	6개월 주기 사후심사, 3년 주기 재심사
인증대상	제품을 생산하는 또는 서비스를 제공하는 기관의 조직 전체 또는 조직 단위 별, 지역별로 구분된 일부를 대상으로 함
인증절차	수립단계(인증 기반작업), 이행단계(최소3개월), 심사단계(문서심사, 본 심사) 3단계로 구분

ISMS 의무대상은 인터넷접속 서비스와 인터넷전화서비스 등 전기통신사업법의 전기통신사업자로 전국적으로 정보통신망 서비스를 제공하는 사업자와 서버호스팅, 코로케이션 서비스등 타인의 정보통신서비스 제공을 위해 집적된 정보통신시설을운영/관리하는 사업자들이 해당된다.

또한 연간 매출액 혹은 세입이 1,500억원 이상이거나 정보통신서비스 매출액 100억원 또는 이용자수 100만 명 이상인 사업자도 해당된다. 여기에는 인터넷 쇼핑몰, 포털, 게임, 예약, 재학생수가 1만명 이상인 대학교와 상급병원이 여기에 해당한다.

꽤 큰 비용이 들 수 있다. 예를 들어 직원수가 100명에서 500명 규모라면 컨설팅 비용만 5,000만원에서 1억원 정도가 소요될 수 있다.

• ISMS 인증기준 세부점검항목-2013.5.15 보기
• 국내외 다양한 정보보호인증, 알기 쉽게 정리해 드립니다.