메뉴

문서정보

ISO/IEC 27001 정보보안경영시스템

ISO/IEC 27001은 ISO/IEC 27000 표준 그룹의 일부로 정보 보안 표준(information security standard)을 다루고 있다. 표준이 만들어진 이후로 몇가지 사소한 업데이트 후 2013년에 마지막 버전이 배포됐다. ISO 270001은 ISO(Organization for Standardization)와 IEC(International Electrotechnical Commission)에 의해서 관리되고 있다.

ISO/IEC 27001은 정보보호 관리체계에 있어서 가장 권위 있는 국제인증으로, 정보보호정책, 물리적 보안, 정보접근 통제등 정보보안 관련 11개 영역, 133개 항목에 대한 국제 심판원들의 엄격한 심사와 검증을 통과해야 인증 된다.

한국에서는 KFQ(한국품질재단)과 같은 인증기관이 ISO/IEC 27001 인증을 제공하고 있다.

PDCA 사이클

27001은 ISO 9000에서의 품질관리표준인 PDCA(Plan-Do-Check-Act)주기를 도입해서 ISMS의 모든 프로세스에 적용하고 있다.

ISMS와 ISO 27001

ISMS는 KISA(한국인터넷진흥원)이 실시하는 "정보보호관리체계인증"이다. 기본적으로 ISMS는 ISO27001의 국제표준을 모두 포함하며, 국내상황에 맞게 보안요건을 강화한 정보보호관리 체계다. 보통 K-ISMS라고 부른다.

둘의 차이는 아래와 같다.

구분 KISA ISMS ISO 27001
인증주체 KISA: 국내표준 ISO/IE: 국제표준
인증기관 KISA 기업보안관리팀 BSI Korea, DNV, SGS, 한국품질보증원
인증현황 국내기업(찾아봐야 함) 전세계 7000여 업체,국내 100여 업체(확인 필요)
통제항목 정보보호 5단계 관리과정 요구사항 14개 필수항목, 문서화 요구사항 3개 필수항목, 정보보호대책 15개 분야 120개 세부항목 등 총 137개 항목 정보보호 관리과정 4개 도메인과 Annex 11개 도메인 133개 세부 통제항목으로 구성
사후심사 1년 주기 사후심사, 3년 주기 재심사 6개월 주기 사후심사, 3년 주기 재심사
인증대상 제품을 생산하는 또는 서비스를 제공하는 기관의 조직 전체 또는 조직 단위 별, 지역별로 구분된 일부를 대상으로 함
인증절차 수립단계(인증 기반작업), 이행단계(최소3개월), 심사단계(문서심사, 본 심사) 3단계로 구분

참고