ISO 27001

ISO 27001

정보보안 관리체계(ISMS)의 국제 표준 (ISO/IEC 27001:2022)

목적: 글로벌 정보보안 관리체계 수립, 인증을 통한 국제 신뢰 확보

특징: 글로벌 인정, PDCA 사이클, 위험 기반 접근

구성요소(본문, ISO HLS 구조)

• •4. 조직의 맥락: 내외부 이슈 파악, 이해관계자 요구사항, ISMS 범위 결정
• •5. 리더십: 경영진 의지/책임, 정보보안 정책 수립, 역할/책임/권한 부여
• •6. 계획: 위험 평가/위험 처리 계획, 정보보안 목표 수립, 변경 계획
• •7. 지원: 자원(인력/예산), 역량/인식, 의사소통, 문서화 정보 관리
• •8. 운영: 위험 평가 실행, 위험 처리 계획 실행, 운영 계획 및 통제
• •9. 성과 평가: 모니터링/측정/분석, 내부 감사(연 1회 이상), 경영진 검토
• •10. 개선: 부적합 시정조치, 지속적 개선

Annex A 통제항목(93개, 4개 도메인, ISO 27002:2022 기반)

• •A.5 조직 통제(Organizational, 37개): 정보보안 정책, 역할/책임, 자산관리, 접근통제 정책, 공급자 관계 보안, 사업 연속성, 컴플라이언스, 클라우드 서비스 이용 보안(신규), 위협 인텔리전스(신규)
• •A.6 인적 통제(People, 8개): 채용 전 심사, 고용 조건, 보안 인식/교육/훈련, 징계 절차, 고용 종료/변경, 원격 근무(신규), 보안 이벤트 보고
• •A.7 물리적 통제(Physical, 14개): 물리적 보안 경계, 출입 통제, 사무실/시설 보호, 물리적 보안 모니터링(신규), 장비 보호, 케이블 보안, 장비 유지보수, 자산 반출, 매체 관리, 반출입 통제
• •A.8 기술 통제(Technological, 34개): 사용자 단말 장치, 특권 접근 관리, 정보 접근 제한, 소스코드 접근, 안전한 인증, 용량 관리, 악성코드 방지, 취약점 관리, 형상관리, 정보 삭제(신규), 데이터 마스킹(신규), 데이터 유출 방지(DLP, 신규), 모니터링, 웹 필터링(신규), 보안 코딩(신규), 암호화, 네트워크 보안, 로깅, 시계 동기화

2022 버전 주요 변경: 114개→93개 통제항목 재구성, 11개 신규 통제 추가(위협인텔리전스/클라우드보안/DLP/데이터마스킹/보안코딩 등), 14개 도메인→4개 도메인으로 단순화

PDCA 사이클: Plan(위험평가/정책수립) → Do(통제 구현) → Check(모니터링/내부감사) → Act(시정조치/개선)

인증 절차: 1단계 심사(문서) → 2단계 심사(현장) → 인증 → 사후심사(연 1회) → 갱신(3년)

적용사례: 글로벌 기업 인증, 공급업체 평가, 클라우드 서비스

비교: ISO 27001(ISMS 인증/93개 통제) vs ISO 27002(통제 구현 가이드) vs SOC 2(감사 보고서/5원칙) vs ISMS-P(국내/101개 기준)

연관: ISMS, 컴플라이언스, 보안 거버넌스, 위험관리