[ISO27001] 4. 조직의 상황

목차



4. 조직의 상황(Context of the organization)

4.1 조직과 상황에 대한 이해(Understanding the organization and its context)

정보보호 경영 시스템과 조직의 목적을 달성하는 과정에 영향을 줄 수 있는 조직의 내, 외부 이슈를 파악해야한다.

내부이슈로는 새로운 시스템 도입, 외부이슈로는 법의 개정이 있을 수 있다.


4.2 이해당사자의 요구와 기대에 대한 이해(Understanding the needs and expectations of interested parties)

조직은 정보보호 경영시스템과 관련된 조직의 이해당사자와 이해당사자의 요구사항을 결정해야한다.


4.3 정보보호 경영시스템의 범위 결정(Determining the scope security management system)

조직의 내, 외부 이슈 및 이해당사자의 요구사항을 고려해 정보보호 경영시스템의 범위와 적용 가능성을 결정해야 한다.

이때, 조직에서 수행하는 활동과 타 조직에서 수행하는 활동간의 인터페이스와 의존성 범위는 문서 정보로 존재해야한다.


4.4 정보보호 경영시스템(Information security management system)

조직은 본 표준의 요구사항에 따라 정보보호 경영시스템을 수립, 구현, 유지, 지속적 개선해야한다.