[ISO27001] 8. 운영

목차



8. 운영(Operation)

8.1 운영 계획 및 통제(Operational planning and control)

조직은 정보보호 요구사항을 만족시키고 6.1(위험과 기회에 따른 조치)에서 파악한 활동을 구현하는데 필요한 프로세스를 계획, 구현, 통제해야한다. 또한 6.2(정보보호 목표 및 달성계획)에서 파악한 정보보호 목적에 도달하기 위한 계획을 수립해야한다.

이때, 계획에 따른 변경을 통제하고 의도되지 않은 변경의 결과를 검토하여 악영향을 감소시키기 위한 조치를 해야한다.

조직은 프로세스가 계획대로 수행되었음을 보여주기 위해 필요한 문서 정보를 유지해야한다.

조직은 외주 프로세스를 파악하고 통제해야한다.


8.2 정보보호 위험평가(Information security risk assessment)

조직은 계획된 주기에 따라 또는 중대한 변경이 예상되거나 발생한 경우 6.1.2에서 수립한 기준을 감안하여 정보보호 위험평가를 수행해야한다. 이때, 위험 평가의 결과를 문서 정보로 유지해야 한다.


8.3 정보보호 위험처리(Information security risk treatment)

조직은 정보보호 위험처리 계획을 구현해야 하며, 이를 문서 정보로 유지해야 한다.