[ISO27001] 9. 성과 평과

목차



9. 성과 평가(Performance evaluation)

9.1 모니터링, 측정, 분석, 평가(Monitoring, measurement, analysis and evaluation)

조직은 정보보호 경영시스템의 성과와 효과성을 평가해야한다.

  1. 정보보호 프로세스와 통제를 포함한 측정 및 모니터링 대상
  2. 가능한 경우 유효한 결과를 보장하기 위한 모니터링, 측정, 분석, 평가 방법(이때, 유효한 방법으로 간주되기 위해서는 비교 가능하고 재현 가능한 결과를 산출해야 한다.),
  3. 모니터링 및 측정 수행 시점주체,
  4. 결과에 대한 분석과 평가 시점평가 주체를 파악해야한다.


9.2 내부 감사(Internal audit)

조직은 정보보호 경영시스템에 대한 조직 자체의 요구사항과 ISO27001의 요구사항을 준수하고 있는지, 정보보호 경영시스템이 효율적으로 구현되었고 유지되고 있는지에 대하여 계획된 주기에 따라 내부 감사를 수행해야한다.

감사는

  1. 대상 프로세스의 중요성과 이전에 수행한 감사 결과를 감안해야 하며,
  2. 감사시에는 개별 감사에 대한 감사 기준 및 범위를 정의하고,
  3. 감사인 선정 및 감사 프로세스의 객관성과 공정성을 보장해 감사를 수행해야하며,
  4. 감사 결과가 관련 경영진에게 보고되도록 보장해야한다.

감사 프로그램과 결과는 증적으로서 문서 정보로 유지되어야 한다.


9.3 경영진 검토(Management review)

최고 경영진은 조직의 정보보호 경영시스템에 대한 지속적인 적정성, 정확성, 효과성을 보장하기 위하여 계획된 주기로 검토해야한다.

  1. 경영진은 검토시 이전에 수행한 검토에 따른 조치 상태,
  2. 정보보호 경영시스템과 연관된 내, 외부 이슈의 변화,
  3. 정보보호 성과에 대한 피드백(부적합 및 시정 활동, 모니터링 및 측정 결과, 감사 결과, 정보보호 목적의 충족),
  4. 이해관계자로부터의 피드백,
  5. 위험평가의 결과와 위험처리 계획의 상태,
  6. 지속적인 개선 기회를 고려해야한다.

경영진 검토의 산출물은 지속적인 개선 기회에 관련된 의사결정과 정보보호 경영시스템의 변경을 위한 요구를 포함해야 하며, 경영진 검토의 결과에 대한 증적으로 문서 정보를 유지해야 한다.