ISO 27001 총정리

1. ISO 27001의 개념

공식적으로 ISO/IEC 27001:2022로 알려진 ISO 27001은 국제 표준화 기구(ISO)에서 만든 정보보안 표준으로 , 정보보안 관리 시스템(ISMS)을 수립, 구현 및 관리하기 위한 프레임워크와 지침을 제공하는 것이다.

ISO 27001은 '정보보안 관리 시스템의 구축, 구현, 운영, 모니터링, 검토, 유지 관리 및 개선을 위한 모델을 제공'하기 위해 개발되었다고 정의된다.

물론, 문서화, 관리 책임, 내부 감사, 지속적인 개선, 시정 및 예방 조치에 대한 모든 세부 정보가 포함된다. 조직에서 모든 부서 간의 협력을 요구하는 것은 물론이고 말이다.

ISO 27001의 목표는 조직이 중요한 정보 자산을 보호 하고 해당 법률 및 규제 요구사항을 준수하도록 (강제적으로) 돕는 것이다.

이 ISO 27001은 ISMS-P와도 자주 붙어다니는데, 둘의 공통점과 차이점은 간단하다. 우선 차이점은 그저 국내 대상이나, 글로벌 대상이냐의 차이일 뿐이다. 그리고 둘의 공통점이자 핵심은 결국, '너희들의 보안을 위해 이런 이런 지침을 다 정해놨으니, 지켜라.'가 된다. 넓은 영역에 걸쳐 상세한 지침이 정해져 있으니, 이것들을 준수하는 것은 기업과 조직의 보안을 위한 분명한 첫 걸음이 될 것이다.

 

2. ISO 27001의 14단계

ISO 27001은 현재 가장 널리 채택된 국제 정보 보안 표준이며, 전 세계 조직에서 사용되고 있다. ISO 27001을 따르면, 조직은 ISMS가 최신 상태이고 현재 모범 사례를 준수한다는 확신을 가질 수 있을 것이다.

이를 위해 ISO 27001은 조직이 안전한 ISMS를 개발하고 유지하는 데 도움이 되는 포괄적인 프레임워크를 제공한다. 그리고 그런 ISO 27001은 14단계로 구분된다.

① 정보보호정책
② 정보보호 조직
③ 위험 평가 및 개선
④ 자산 관리
⑤ 액세스 제어
⑥ 암호화
⑦ 물리적 보안
⑧ 운영 보안
⑨ 통신 보안
⑩ 시스템 획득, 개발 및 유지 관리
⑪ 공급업체 관리
⑫ 법적 요구 사항 및 산업 표준 준수
⑬ 정보 품질 관리
⑭ 위험 모니터링 및 검토

 

3. ISO 27001 인증 준비

ISO 27001은 조직이 안전한 ISMS를 만들 때 사용할 수 있는 강력한 도구이지만, ISO 27001은 고정된 규칙 집합이 아니라 프레임워크라는 점을 기억하는 것이 중요하다. 언제나 핵심은 '지침을 지키는 것'이다.

이는 각 조직의 고유한 요구사항과 상황에 맞게 연구, 조정 및 적용되어야 함을 의미한다. ISO 27001은 모범 사례와 지침을 제공하지만, 자체 ISO 27001 준수 정보 보안 시스템을 개발하는 것은 결국 인증을 받기 위한 조직의 몫이 될 것이다.

조직은 ISO 27001 규정 준수를 평가하고 위험 평가, 액세스 제어, 암호화, 물리적 보안, 통신 보안 등과 같은 주제에 대한 교육을 제공하기 위해 ISO 공인 인증 기관을 찾아야 한다. 또한, 조직은 ISO 27001 준수 프로세스 및 제어를 계획하고 구현하기 위한 리소스를 확보해야 할 것이다.

 

아래의 단계를 사용하여 조직은 ISO 27001 인증을 위해 적절하게 준비되었는지 확인할 수 있을 것이다.

① ISO 27001을 준수하는 ISMS를 구축한다.
② 위험을 식별하고 위험 처리 전략을 개발한다.
③ ISO 27001 준수 프로세스 및 제어를 구현한다.
④ ISO 공인 인증 기관으로부터 준수 여부를 평가받는다.
⑤ ISO 27001 준수 여부를 정기적으로 모니터링한다.

ISO 27001을 준수함으로써 조직은 데이터 침해 및 기타 보안 사고의 위험을 줄이고, 중요한 정보 자산을 보호하며, 해당 법률 및 규제 요구 사항을 준수할 수 있을 것이다. 이것은 보안을 위한 최소한의 가이드라인을 지킨다고 할 수 있을 것이다.

 

4. 27000 제품군의 기타 표준

27000 제품군에는 몇 가지 다른 표준이 개발되고 있다. 따라서 27001을 차치하더라도 다른 제품군에 대해 알아보고, 그것의 내용을 조직에 이식하는 것도 좋은 선택이 될 수 있을 것이다.

ISO/IEC 27003 - 구현 지침
ISO/IEC 27031 - 탄력성
ISO/IEC 27005 - 위험 관리 지침
ISO/IEC 27032 - 사이버 보안 지침
ISO/IEC 27033 - 네트워크 보안 지침
ISO/IEC 27034 - 애플리케이션 보안 지침
ISO/IEC 27035 - 사고 관리 지침
ISO/IEC 27036 - 클라우드 및 기타 아웃소싱 서비스에 대한 정보 교환 보호 지침
ISO/IEC 27037 - 디지털 증거 처리 지침

 

다만, 잊지만 않으면 된다. ISO는 결국 상세 지침에 대한 꾸준하고 성실한 준수이다. 그것을 확실히 할 준비가 되었을 때 받아들이는 것이 중요할 것이다.