ISO 27001

ISO 27001

정보보안 관리체계(ISMS)의 국제 표준으로, 조직의 정보 자산 보호를 위한 체계적 관리 프레임워크

특징: 글로벌 인정, 지속적 개선(PDCA), 인증 제도, 위험 기반 접근

구성요소: 조직의 맥락, 리더십, 계획, 지원, 운영, 성과 평가, 개선 (ISO HLS 구조)

기술요소: 위험평가(Risk Assessment), 위험처리(Risk Treatment), SOA(Statement of Applicability/통제 선택 근거), 내부감사, 경영검토

Annex A: 93개 통제 항목(조직/인적/물리/기술 통제) - ISO 27002 기반

PDCA 사이클: Plan(위험평가/정책수립) → Do(통제 구현) → Check(모니터링/내부감사) → Act(시정조치/개선)

인증 절차: 1단계 심사(문서 검토) → 2단계 심사(현장 심사) → 인증서 발급 → 사후 심사(연 1회) → 갱신 심사(3년)

적용사례: 글로벌 기업 인증, 공급업체 평가, 클라우드 서비스, 컴플라이언스

비교: ISO 27001(ISMS 인증) vs ISO 27002(통제 가이드/비인증) vs SOC 2(감사 보고서)

연관: ISMS, 컴플라이언스, 보안 거버넌스, 위험관리