반응형
1️⃣ ISO/IEC 27001이란?
ISO/IEC 27001은
“정보보호경영시스템(ISMS, Information Security Management System)”에 대한 **국제 표준(International Standard)**입니다.
즉, 기업이 정보 자산을 안전하게 보호하기 위해 운영하는 관리 체계의 국제 표준 모델을 정의한 것입니다.
- 공식 명칭: ISO/IEC 27001:2022
- 관리기관: ISO(국제표준화기구) + IEC(국제전기기술위원회)
- 목적: 조직의 정보 보안, 기밀성·무결성·가용성을 체계적으로 관리
2️⃣ ISO27001의 핵심 개념
| 개념 | 설명 |
| 정보보호경영시스템(ISMS) | 조직의 정보보호 정책, 절차, 통제 수단을 포함한 전체적인 관리 체계 |
| 리스크 기반 접근(Risk-based approach) | 조직의 정보보호 리스크를 식별·평가하고, 이에 맞는 통제(controls)를 적용 |
| PDCA 사이클 | Plan(계획) → Do(실행) → Check(점검) → Act(개선)의 지속적 개선 프로세스 |
| Annex A 통제항목 | ISO27002에 근거한 93개 세부 보안 통제 항목 (2022 버전 기준) |
3️⃣ ISO27001의 구조 (10개 조항)
ISO27001은 **10개의 상위 조항(Clauses)**으로 구성되어 있습니다.
(Clause 4~10이 실제 인증 심사의 핵심 부분입니다.)
| 조항 번호 | 조항명 | 주요 내용 |
| 0~3 | 서론, 적용범위, 참조, 용어 | 문서 서두부 |
| 4 | 조직 상황(Context of the Organization) | 내부·외부 이슈, 이해관계자, ISMS 범위 정의 |
| 5 | 리더십(Leadership) | 최고경영자의 역할, 정책 수립, 조직의 책임 명확화 |
| 6 | 기획(Planning) | 리스크 평가, 리스크 처리 계획, 목표 설정 |
| 7 | 지원(Support) | 자원, 역량, 인식, 의사소통, 문서화된 정보 관리 |
| 8 | 운영(Operation) | 리스크 대응, 통제 실행 및 운영 계획 수립 |
| 9 | 성과 평가(Performance Evaluation) | 모니터링, 내부 감사, 경영검토 수행 |
| 10 | 개선(Improvement) | 부적합 사항, 시정조치, 지속적 개선 수행 |
4️⃣ Annex A (ISO 27002 기반 93개 통제 항목)
2022 개정판에서는 기존 114개 통제를 93개로 통합 및 재분류했습니다.
4개의 테마로 구성됩니다.
| 테마 | 주요 내용 |
| A.5 조직적 통제 (Organizational Controls) | 정책, 인적자원, 공급망 보안, 접근통제, 프로젝트 보안 등 (37개 항목) |
| A.6 인적 통제 (People Controls) | 인사 보안, 사용자 책임, 교육·훈련 (8개 항목) |
| A.7 물리적 통제 (Physical Controls) | 물리적 접근통제, 장비보호, 환경보안 (14개 항목) |
| A.8 기술적 통제 (Technological Controls) | 암호화, 네트워크보안, 로그관리, 악성코드방어, 백업 (34개 항목) |
5️⃣ ISO27001 인증 절차 (단계별)
ISO27001 인증은 보통 6단계 과정을 거칩니다.
| 단계 | 내용 | 산출물 |
| 1단계: 준비 및 범위 설정 | 정보보호 범위, 자산, 리스크 정의 | ISMS 범위 문서 |
| 2단계: 리스크 평가 및 통제 선정 | 자산, 위협, 취약점, 리스크 수준 평가 | 리스크 평가 보고서, 통제선정표(SOA) |
| 3단계: 정책 및 절차 수립 | 정보보호정책, 접근통제정책, 물리보안정책 등 수립 | 정책 문서 세트 |
| 4단계: 실행 및 운영 | 정책에 따라 실제 운영(보안 점검, 로그관리 등) | 운영 기록 |
| 5단계: 내부 감사 및 경영 검토 | 내부 감사 수행 및 개선 | 감사 보고서, 경영검토 회의록 |
| 6단계: 외부 인증 심사 (1단계+2단계) | 인증기관 심사(서류 및 현장 확인) | 인증서 발급 |
6️⃣ ISO27001과 관련된 주요 문서
- 정보보호정책서 (Information Security Policy)
- 리스크 평가 보고서 (Risk Assessment Report)
- 적용성 선언서 (SOA, Statement of Applicability)
- 운영 절차서 (Procedures / Work Instructions)
- 내부 감사 계획 및 보고서
- 시정 및 예방조치(CAPA) 기록
7️⃣ ISO27001 vs 국내 ISMS / ISMS-P 비교
| 구분 | ISO27001 | ISMS (한국) | ISMS-P |
| 관리기관 | ISO/IEC (국제) | KISA (한국인터넷진흥원) | KISA + 개인정보보호위원회 |
| 적용범위 | 정보보호 전반 | 국내 정보통신서비스 | 정보보호 + 개인정보보호 |
| 통제항목 수 | 93개 (2022) | 80여개 | 100여개 |
| 국제인증 여부 | 국제표준 | 국내표준 | 국내표준 |
| 활용도 | 글로벌기업, 수출기업 | 국내 서비스사업자 | 개인정보처리기업 |
8️⃣ ISO27001 인증의 효과
✅ 국제 신뢰도 확보 – 글로벌 파트너사와 계약 시 필수요건으로 작용
✅ 보안 리스크 감소 – 자산 식별과 통제 적용을 통해 사고 예방
✅ 경영진의 보안 인식 제고 – 보안을 ‘기술’이 아닌 ‘경영 요소’로 인식
✅ 규제 및 감사 대응 용이 – 금융, 공공, 클라우드 인증(KISA CSAP 등)과 연계 용이
9️⃣ ISO27001 실무 준비 체크리스트 (요약)
| 구분 | 핵심 점검 항목 |
| 정책 수립 | 정보보호정책, 접근통제정책, 로그정책, 암호정책 등 |
| 리스크 관리 | 자산·위협·취약점 분석, 리스크 매트릭스 |
| 문서관리 | 문서 버전관리, 승인 절차 수립 |
| 인적 보안 | 입·퇴사 절차, 교육 이력 |
| 물리보안 | 출입통제, CCTV, 장비보호 |
| 기술보안 | 방화벽, IDS/IPS, 패치관리, 백업체계 |
| 모니터링 | 로그관리, 이벤트 분석, 정기점검 |
| 개선관리 | 시정조치, 재발방지대책 |
🔟 ISO27001 2022 개정판 주요 변경점
| 항목 | 2013판 | 2022판 |
| 통제 항목 수 | 114개 | 93개 |
| 구조 개편 | 14개 도메인 | 4개 도메인 |
| 신규 통제 추가 | - | 위협정보 공유, 클라우드 서비스 사용, 보안 모니터링 등 |
| 용어 단순화 | 기술 중심 용어 → 관리 중심 표현 | 문서화 → 문서화된 정보 |
✅ 요약 정리
- ISO27001 = 정보보호를 위한 국제경영시스템 표준
- 핵심 키워드: 리스크 관리, PDCA, Annex A 93개 통제
- 도입 목적: 정보자산 보호 + 신뢰성 확보 + 인증 경쟁력
- 적용 대상: 기업, 기관, 클라우드 서비스, 제조, 금융 등 전 산업 분야
- 성과: 국제 신뢰 확보 + 내부 보안 체계 정립 + 고객/감사 대응 효율화
반응형
'[AWS-FRF] > 정보보안' 카테고리의 다른 글
| [정보보호 관리체계] ISMS, ISMS-P, ISO 비교 분석!! (1) | 2025.10.28 |
|---|---|
| [Executive-Level Policy Draft] 전사 정보보호 기본정책 초안 !! (0) | 2025.10.28 |
| [보안 거버넌스] 기업 전사 정보보호 전략과 정책 수립방안 !! (1) | 2025.10.28 |
| [WEB 3.0] 블록체인·암호자산·분산 프로토콜 기반!! (1) | 2025.10.28 |
| [국내 주요 암호화폐 거래소] 업비트(Upbit) vs 빗썸(Bithumb) vs INEX(인엑스) !! (0) | 2025.10.28 |
| [CISSP] Certified Information Systems Security Professional 완벽 정리!! (1) | 2025.10.26 |
| [KISA CSAP] 클라우드서비스 보안인증 체크리스트!! (1) | 2025.10.18 |
| [KISA] 클라우드서비스 보안인증(CSAP) – SaaS(Software as a Service) 부문!! (0) | 2025.10.18 |
댓글