ISO27001은 무엇인가?

ISO27001은 정보보안을 관리하는 시스템 이다. 개인의 정보 또는 기업의 정도는 모두 자산(Asset)이며, 이러한 가치들을 취급하는데 있어서, 가용성(Availability), 기밀성(Confidentiality) 및 무결성(Integrity)을 가지도록 관리하는 것이다.

적용범위

본 국제표준에는 조직 맥락(전후사정) 내에서 정보보안 관리 시스템을 수립, 이행, 유지 및 지속적으로 개선하기 위한 요구사항이 명시되어 있다.
본 국제표준에는 조직의 니즈에 맞춰 정보보안 위험을 평가 및 처리하기 위한 요구사항도 수록되어 있다.
본 국제표준에 명시된 요구사항은 일반적인 것으로서, 종류, 규모 혹은 성격에 상관없이 모든 조직에 적용하고자 고안되었다.
조직이 본 국제표준의 준수를 주장할 때에는 제4조(조직의 맥락)에서 제10조(개선)에 명시된 요구사항의 배제가 용인되지 않는다.

법적 요구사항(Requirement)

ISO 27001 : 2013은 아래의 요구사항으로 구성되어있으며, 정보보안 규격의 적용을 위하여 ISO31000 :2009 (Risk management - principles and guidelines) 규격을 참조하여야 한다.

• 1. 범위
• 2. 규범적 참고문헌
• 3. 용어 및 정의
• 4. 조직의 맥락 (Context of the organization)
  • 4.1 조직과 그 맥락의 이해
  • 4.2 이해당사자들의 니즈와 기대의 이해
  • 4.3 정보보안 관리 시스템의 범위 결정
  • 4.4 정보보안 관리 시스템
• 5. 리더십 (Leadership)
  • 5.1 리더십 및 의무
  • 5.2 정책
  • 5.3 조직의 역할, 책임 및 권한
• 6. 계획 (Planning)
  • 6.1 위험 및 기회에 대한 조치
  • 6.2 정보보안 목적 및 그 달성을 위한 계획
• 7. 지원 (Support)
  • 7.1 자원
  • 7.2 역량
  • 7.3 인식
  • 7.4 의사소통
  • 7.5 문서화된 정보
• 8. 운영 (Operation)
  • 8.1 운영 계획 및 통제
  • 8.2 정보보안 위험 평가
  • 8.3 정보보안 위험 처리
• 9. 성과 평가 (Performance evaluation)
  • 9.1 모니터링, 측정, 분석 및 평가
  • 9.2 내부 감사
  • 9.3 경영 검토
• 10. 개선 (Improvement)
  • 10.1 부적합 및 시정 조치
  • 10.2 지속적 개선