[ISO27001] ISO27001이란?

목차



ISO27001이란?

기업의 정보보호 경영 시스템(Information Security Management System)을 만들고 유지하기위해 정의된 국제표준으로 ISO27001:2013이 가장 최신 버전임.


ISO27001은 다음과 같은 항목으로 구성되어 있다.

  1. 범위(Scope)
  2. 인용 규격(Normative references)
  3. 용어 및 정의(Terms and definitions)
  4. 조직의 상황
    1. 조직과 상황에 대한 이해(Understanding the organization and its context)
    2. 이해당사자의 요구와 기대에 대한 이해(Understanding the needs and expectations of interested parties)
    3. 정보보호 경영시스템의 범위 결정(Determining the scope security management system)
    4. 정보보호 경영시스템(Information security management system)
  5. 리더쉽(Leadership)
    1. 리더쉽과 의지(Leadership and commitment)
    2. 정책(Policy)
    3. 조직의 역할, 책임, 권한(Organizational roles, responsibilities and authorities)
  6. 계획(Planning)
    1. 위험과 기회에 따른 조치(Actions to address risks and opportunities)
      1. General
      2. 정보보호 위험평가(Information security risk assessment)
      3. 정보보호 위험처리(Information security risk treatment)
    2. 정보보호 목적 및 달성 계획(Information security objectives and planning to achieve them)
  7. 지원(Support)
    1. 자원(Resources)
    2. 역량(Competence)
    3. 인식(Awareness)
    4. 의사소통(Communication)
    5. 문서 정보(Documented information)
      1. General
      2. 생성 및 갱신(Creating and updating)
      3. 문서 정보의 통제(Control of documented information)
  8. 운영(Operation)
    1. 운영 계획 및 통제(Operational planning and control)
    2. 정보보호 위험평가(Information security risk assessment)
    3. 정보보호 위험처리(Information security risk treatment)
  9. 성과 평가(Performance evaluation)
    1. 모니터링, 측정, 분석, 평가(Monitoring, measurement, analysis and evaluation)
    2. 내부 감사(Internal audit)
    3. 경영진 검토(Management review)
  10. 개선(Improvement)
  11. 부적합 및 시정 조치(Nonconformity and corrective action)
  12. 지속적 개선(Continual improvement) [별첨] 부속서 A. 참조 통제 목적과 통제


ISO27001은 Plan, Do, Check, Act의 싸이클에 따라 운영되며 다음 그림과 같이 나타낼 수 있다.