ISO 27001 이란?

1. ISO 27001이란?

• 정보보호 : 정보흐름 전체의 보호

• 물리적 보안 : 보안위협으로 대비하기 위한 물리적 수단 (Ex : CCTV, 출입통제)

• 관리적 보안 : 보안위협 대비를 위한 조직 내 정보보호 절차 및 규정 (Ex : 인력관리, 보안감사)

• 기술적 보안 : 보안위협 대비를 위해 사용할 수 있는 모든 보안 시스템 (Ex : 네트워크 보안, 시스템 보안)

2. 인증 필요여부

1. 필요여부
💡
ISO(International Organization for Standardization)란 ? 세계의 수 많은 표준화 제정 단체와 국가들로 구성된 국제 표준화 기구로서, 현재 163개국 이상이 가입하여 참여하고 있는 기구입니다. 현재 우리나라도 참여하고 있습니다. 강제력은 없지만 유럽 연합에서도 ISO에서 새로운 규정이 제정되면 법규로 만들정도로 국제적인 영향력이 상당히 큰 기관입니다.
• 정보 보안에 대한 국제적 요구사항에 대하여 가장 적합하게 표준을 맞출 수 있는 인증이라는 평가가 지배적입니다.
• 국내외를 막론하고 정보보안 수준 향상과 위험관리를 통해 비즈니스적 안정성과, 해외의 집단 소송 혹은 침해사고에 대하여 피해를 최소화 시키는 도구입니다.
• 국제적으로 인정받는 표준이기 때문에 해외에 진출할 때 사업의 신뢰도와 고객의 요구치를 보장할 수 있습니다.
• 단적으로, ISO 27001을 인증받는 것으로 영국 데이터 보호법의 적용 가능한 법률 및 규정 준수를 보장할 수 있습니다.
• 조직의 국제적 보안 표준의식을 새울 수 있습니다.

1. GDPR과의 관계
💡
GDPR(General Data Protection Regulation) 이란? 유럽연합의 일반 데이터 보호 규정(GDPR)은 조직이 개인 데이터를 처리하는 방법을 규제하는 법률입니다.
브렉시트 이후에는 이제 EU GDPR과 영국 GDPR이라는 두 가지 GDPR이 있습니다.
EU GDPR은 EU 데이터 보호 지침 1995 및 이를 기반으로 하는 모든 회원국 법률을 대체합니다. 이는 조직의 소재지에 관계없이 EU 거주자의 개인 정보 처리를 처리하거나 통제하는 조직에 적용됩니다. 일반적으로 유럽연합에 진출하기 위해 반드시 준수해야하는 필수 규정입니다.
• ISO 27001은 국제표준의 보안 뿐만 아니라, 다른 ISO 9001이나 27701과 같은 다른 경영시스템 인증과도 호환되도록 구성되있습니다.
• ISO 27001을 구현한 조직은 ISO 27701을 통하여 데이터 처리를 포함한 개인정보 관리를 다룰 수 있게 되는데, 두 표준을 모두 구현하는데 성공한다면 유럽연합의 정보보안 규정 체계인 GDPR의 요구사항을 충족하고 준수 여부를 입증하는데 큰 도움이 됩니다.

3. 신청절차

1. 인증 절차
• 인증기관 선정 / 인증 신청서 작성
• 심사계획 통보
• 신청기업과 협의 후 심사 일자 심사팀 배정 / 심사계획통보
• 예비심사(선택)
• 희망하는 기업에 한해 예비심사

2. 인증 심사
• 정보보안경시스템 인증을 위한 준비 상태 점검 및 인증범위 확인(문서심사)
• 경영시스템 실행 상태 및 적합성 현장 평가(현장검사)
• 부적합 사항 발견시 시정 조치
• 인증 승인 여부 심의(인증등록 심의)
• 인증 결정 인증서 발행(인증등 준수 사항 및 인증 마크 사용 지침 등)

3. 사후 심사
• 정기 사후 심사를 통해 인증유지상태 확인(1년 주기)

4. 갱신 심사
• 최초 심사와 동일한 절차 재실행(3년 주기)

ISO 27001 안내 가이드라인

최근 인증 업체 현황