* ISO27001 : 정보보호관리체계에 대해 국제 인증 시 필요한 요구사항의 국제 인증 규격
* ISO27001 개념도
- BS7799 Part2(영국 모범사례)를 참고, 지속적 발전이 가능한 PDCA(Plan-Do-Check-Act)의 사이클을 반복, 보안 수준을 향상시키기 위한 국제인증 표준 규격
* ISO 27001:2013(최신 기준) 인증 요구 사항 : 총 14개 도메인 구성
1. 보안 정책 (Information security policies) : 정보보호에 대한 경영 방침과 지원 사항에 대한 통제 구조
2. 정보보안 조직 (Organization of Information security) : 보안 조직 구성/책임/역할
3. 인적 자원 보안 (Human resource security ) : 인적 오류, 절도 등의 위험 감소를 위한 대응 방안
4. 자산 관리 (Asset management) : 조직 자산 분류 및 적절한 보호 프로세스
5. 접근 통제 (Access Control) : 문서화된 접근 통제 정책, 비밀번호 사용, 권한 관리
6. 암호 통제 (Cryptography ) : 기밀성, 인증, 무결성을 보호하도록 암호화
7. 물리적/환경적 보안 (Physical and environmental security) : 비인가된 접근 및 방해 요인 예방
8. 운영 보안 (Operations security) : 정보 처리 시설의 정확하고 안전한 운영 보장을 위한 대응
9. 통신 보안 (Communications security) : 네트워크 상 정보와 정보 처리 시스템 보호
10. 정보 시스템 취득, 개발, 유지보수 (System acquisition, Development, and Maintenance) : 변경 관리 절차, 인증, 변경 제한
11. 공급자 관계 (Supplier Relationships) : 공급자가 접근할 수 있는 조직 자산에 대한 보호
12. 정보보안 사고 관리 (Information security incident management) : 보안 사고에 대한 대응 절차 수립 및 이행
13. 비즈니스 연속성 관리의 정보 보안 측면 (Information security aspect of business continuity management) : BCP 위협 예방 및 재난 복구 실행 전과 실행 중에 지속적인 운영
14. 준거성 (Compliance) : 소프트웨어 복제 통제, 조직 기록의 보호, 데이터 보호
* 국제 정보보호관리체계 표준 세트
| 기준 | 설명 | 비고 |
| ISO27001 | 정보보안관리체계에 대한 심사 및 인증 규격 | BS7799 Part2 |
| ISO27002 | 정보보안관리에 대한 실행 지침 | BS7799 Part1 |
| ISO27003 | 정보보안관리체계에 대한 실행 가이드 라인 | |
| ISO27004 | 정보보안관리체계에 대한 매트릭스와 평가방법 | |
| ISO27005 | 정보보안관리체계에 대한 위험 평가 |
* ISO27001 인증심사원 : 국제인증기관인 IRCA, SGS, BSI 등의 기관들과 함께 인증을 수행
'Information Security > Law' 카테고리의 다른 글
| GDPR (General Data Protection Regulation) (0) | 2021.02.06 |
|---|---|
| ISMS-P (Information Security Management System-Personal information, 정보보호 및 개인정보보호 관리체계 인증) (0) | 2021.02.06 |
| 정보통신망법 (정보통신망 이용 촉진 및 정보보호 등에 관한 법률) (0) | 2021.02.06 |
| 개인정보영향평가 (PIA - Privacy Impact Assessment) (0) | 2021.02.02 |
| 개인정보처리방침의 수립 및 공개 (0) | 2021.02.02 |
