[ISO27001] 7. 지원

목차



7. 지원(Support)

7.1 자원(Resources)

조직은 정보보호 경영시스템의 수립, 구현, 유지, 지속적 개선에 필요한 자원을 파악하고 제공해야한다.


7.2 역량(Competence)

조직은 정보보호 성과에 영향을 미치는 통제 하에서 작업을 수행하는 인력이 필요한 역량을 갖추고 있는지 파악해야하며, 교육이나 훈련, 경험을 근거로 역량을 갖춘 인력인지 파악해야한다.

교육이나 훈련을 통해 필요한 역량을 습득할 수 있도록 하여 효과성을 문서 정보로 남겨야한다.


7.3 인식(Awareness)

조직에서 업무를 보는 인력은 정보보호 정책과 정보보호 성과의 개선에 따른 이점 및 정보보호 경영시스템의 효과성에 대한 기여, 정보보호 경영시스템을 준수하지 않았을 경우 발생할 수 있는 영향을 인식하고 있어야 한다.


7.4 의사소통(Communication)

조직은 정보보호 경영시스템에 관련해 어떤 내용으로, 언제, 누구와, 누구의 주체로 의사소통을 했는지 그리고 효과적인 의사소통 프로세스란 무엇인지에 대하여 내부 및 외부와 의사소통 필요성을 파악해야한다.


7.5 문서 정보(Documented information)

7.5.1 General

조직의 정보보호 경영시스템은 ISO27001에서 요구하는 문서정보, 정보보호 경영시스템의 효과성을 위해 조직에서 필요하다고 판단한 문서 정보를 포함해야한다. 정보보호 경영시스템에서 문서 정보의 범위는 조직마다 다를 수 있다.


7.5.2 생성 및 갱신(Creating and updating)

문서 정보를 생성하고 갱신할 때 조직은 제목, 일자, 작성자, 참조번호와 같은 식별(identification) 및 설명(description)과 언어, 소프트웨어 버전, 그래프와 같은 형식(format), 종이인지 전자인지 같은 매체(media), 문서 정보에 대한 적절성과 타당성에 대한 검토 및 승인사항이 적합한지 보장해야한다.


7.5.3 문서 정보의 통제(Control of documented information)

정보보호 경영시스템과 ISO27001이 요구하는 문서 정보는 필요한 장소와 시점에 적절하게 사용 가능해야하며, 적절한 보호(기밀성과 무결성으로부터의 보호 및 부적절한 사용에 대한 보호)가 수행되어야 한다.

조직은 문서 정보의 통제를 위하여 배포, 접근, 검색, 사용, 저장 및 보존, 변경 통제(버전 관리), 유지 및 폐기에 대한 활동을 해야한다.

정보보호 경영시스템의 계획과 운영에 필요한 것으로 조직에서 판단한 외부 출처의 문서 정보를 식별하고 통제해야한다.