“ISO 27001은 정보보호경영시스템(ISMS)에 대한 요구사항을 규정하여 BSI가 제정한 국제표준입니다. 이를 통해 정보가 직면하게 되는 일반적인 위협을 파악하고 관리하며 이를 최소화하는데 유용한 규격입니다
ISO/IEC 17799:2005(BS 7799-1:2005)은 기업이 정보보호에 영향을 끼칠 수 있는 요소들을 파악해내는 것을 도와줄 133여 개의 정보보호 통제항목을 포함한 정보보호 실행지침이며, ISO/IEC 27001:2005 (BS 7799-2:2002)는 기업이 심사, 인증 받는데 필요한 세부사항입니다.
BS ISO/IEC 27001:2005 부속서 A에서 규정하는 통제항목은 다음의 11개 Section으로 구성되어 있습니다:
정보보호방침 – 정보보호에 대한 경영방침과 지원을 제공하기 위함
자산 및 자원의 조직 – 조직 내에서 정보보호를 관리하는데 활용함
자산 분류 및 통제 – 자산을 파악하고 이를 적절히 보호하는데 활용함
인력 관리 – 인적 오류, 절도, 사기 또는 시설의 오용에 따른 위험을 저감함
물리 및 환경 보안 – 사업 경계(사업장) 및 정보에 대한 비인가된 접근, 피해 및 방해요인을 예방함
통신 및 운영관리 – 정보 처리 시설의 정확하고 안전한 운영을 보장함
접근 통제 – 정보에 대한 접근을 통제함
시스템 도입, 개발 및 유지보수 – 정보시스템 내에 보안이 수립되어 있음을 보장함
정보보호 사고관리 - 정보시스템과 관련된 정보보호 사건 및 취약점들이 적절히 조치되기 위함
업무 연속성 관리 - 비즈니스 활동에 대한 방해요인에 대응하며 중대한 실패 또는 재난의 영향으로부터 중요한 비즈니스 프로세스를 보호하기 위함
준거성 - 형법과 민법, 법령, 규정 또는 계약 의무 및 보안 요구사항에 대한 위반을 피하기 위함
ISO 27001을 정보보호경영시스템의 근간으로 하는 조직은 BSI로부터 인증을 획득할 수 있으며, 이를 통해 기업은 주주 등의 이해관계자에게 자사의 정보보호경영시스템이 국제표준의 요구사항을 만족하고 있음을 보여줄 수 있습니다.
국내에서는 2003년 5월 현재, 거의 모든 제1금융권의 은행이 인증을 기 획득 또는 추진하고 있고 보험, 증권사, 전자상거래 기반의 쇼핑몰 등 고객의 정보가 자사의 핵심 자산이 되는 산업을 중심으로 ISO 27001 인증이 활발하게 도입되고 있으며, 삼성전자 반도체의 전사적 인증획득을 계기로 제조분야에도 관심이 증폭되고 있습니다. 아울러, 다양한 서비스분야로 그 인증 추진의 폭이 넓어지고 있습니다.
ISO 27001인증을 획득한다는 것은 자사의 정보보호경영시스템이 국제적인 표준에 기반하고 있으며 이의 유효성이 BSI와 같은 국제적인 제3의 공인기관으로부터 인정 받게 되는 것이므로, ISO 27001 인증기업은 비즈니스 파트너와 최종 고객의 신뢰도 제고를 통해 글로벌 시장의 경쟁력 제고를 기대할 수 있는 것입니다.
한국의 정보통신부도 ISO/IEC 27001:2005를 기반으로 정보보호관리체계(ISMS) 인증제도를 도입, 운영하고 있습니다.
[ 정보보호경영시스템 인증준비 ]
BSI는 기업의 원활한 ISO 27001 인증추진을 위하여 다음 서비스를 제공합니다.
규격보급
인증신청을 준비하기에 앞서, 규격 및 보조문서를 충분히 숙지하고, 이해하는 것은 인증추진의 핵심 사항입니다. BSI는 BS ISO/IEC 17799:2005 (BS 7799-1:2005), BS ISO/IEC 27001:2005 (BS 7799-2:2005) 및 PD 3000 Series 등의 관련 규격과 지침을 영국 본사로부터 실비로 기업에 제공합니다.
교육훈련
BSI는 ISO 27001 선임심사원과정, 실무추진자과정, 전환과정 및 각종 세미나, 컨퍼런스 등 정보보호경영시스템 구축, 이행 및 인증심사에 필요한 영국 BSI의 공인과정을 국내에 독점 개발, 보급하고 있습니다.
BSI의 ISO 27001 인증을 준비하는 기업에서는 먼저, BS ISO/IEC 17799:2005, BS ISO/IEC 27001:2005 를 참조하여 다음의 단계에 걸쳐 인증을 준비할 수 있습니다.
1단계: 정보보호경영시스템(ISMS)의 범위를 설정한다. 이때 비즈니스, 조직, 조직의 위치, 자산 및 기술의 특성을 고려하여야 합니다.
2단계: 정보보호경영시스템의 방침을 설정합니다.
3단계: 위험평가를 위한 체계적인 접근방법을 설정합니다.
4단계: 위험을 파악합니다.
ISMS 범위 내에 있는 자산과 해당 자산의 소유자를 파악합니다.
이러한 자산에 대한 위협을 파악합니다.
위협에 의해 공격될 수 있는 취약성을 파악합니다.
기밀성, 무결성 및 가용성의 손실에 따라 자산에 미칠 영향을 파악합니다.
5단계: 위험을 평가합니다.
6단계: 위험의 처리를 위한 대안을 파악하고 평가합니다.
7단계: 위험의 처리를 위한 통제목표 및 통제항목을 선택합니다.
8단계: 적용성보고서(SoA)를 준비합니다.
인증 획득을 위한 주요추진 단계에서는 다음의 사항이 면밀히 고려되어야 합니다.
1) 추진팀 구성 및 전략 합의
최고경영자와 전사적 전략을 준비하여 전반적인 실행 프로세스에 착수해야 합니다. 이 단계에서 시스템이 회사 전체에 적용될 지 아니면 하나 혹은 그 이상의 부문에 적용될 지 인증 범위를 결정해야 합니다.
2) 컨설팅의 필요성 검토
정보보호경영시스템의 효과적인 구축 및 실행 방법에 대하여 회사 외부의 독립적인 컨설턴트로부터 조언의 수렴이 권장됩니다.
3) 위험평가 수행
이 단계에서는 모든 잠재적 보안위반에 대한 검토가 수행되어야 한다. 이는 IT 시스템에만 국한하는 것이 아니라 조직 내부의 모든 민감한 정보를 포함해야 합니다.
4) 방침문서 개발
여기에는 정보보호경영시스템 절차에 경영진의 지원과 의지를 표현하게 됩니다.
5) 지원문서 개발
보안 방침을 지원할 수 있도록 적용성 보고서(SoA) 및 절차들을 개발합니다. 여기에는 자산 분류 및 통제항목, 인사 보안, 물리적 환경적 보안 및 비즈니스 연속성 관리 등의 영역을 다루게 됩니다.
6) 정보보호경영시스템 실행
정보보호경영시스템의 실행에 있어 중요한 점은 의사소통 및 교육훈련입니다. 실행단계에서, 모든 인원은 절차에 따라 업무를 수행하고 수행한 업무의 증거로써 기록을 남깁니다.
7) 인증등록
인증기관과 협의를 통하여 최초인증심사 시기를 조율해야 합니다. 이 단계에서, 인증기관은 기업의 정보보호경영시스템을 검토하고 인증등록 추천 여부를 결정합니다.
8) 사후관리심사
인증을 획득하면, 인증의 성공적 획득 사실을 광고하고 사업홍보에 활용할 수 있습니다. 인증유지를 위해서 정보보호경영시스템이 규격의 요구사항을 지속적으로 만족시키고 있음을 보증하기 위한 주기적 사후관리심사가 수행됩니다.
“ |
