ISO 27001
ISO 27001
-----
◈ 정보보안경영시스템(ISO 27001) 도입배경
기업에게 돌이킬 수 없는 경제적 손실과 기업 이미지를 손상을 초래하는 정보보안사고가 확산됨에 따라 체계적인 정보 관리의 필요성이 높아지고 있다. ISO/IEC27001은 원래는 영국표준(BS, British Standard)이던 BS7799이었으나 2005년 11월에 ISO 표준으로 승격됐다. ISO/IEC 27001 정보보안경영시스템은 기업의 정보자산과 고객정보의 보호 및 정보의 이용가치 제고를 통한 기업경쟁력 향상의 지름길로, 시스템 표준을 통한 정보의 체계적이고 지속적인 관리를 위한 해법을 제시하고 있다.
◈ 정보보안경영시스템(ISO 27001) 이란
ISO 27001은 조직이나 기업이 정보보안 경영시스템(Information Security Management System: ISMS)을 수립하여 이행하고 감시 및 검토, 유지, 개선하기 위해 필요한 요구사항을 명시한, 국제표준화기구 (International Organization for Standardization : ISO) 및 국제전기기술위원회 (International Electrotechnical Commission : IEC)에서 제정한 정보보호 관리체계에 대한 국제표준으로서 Plan - Do - Check - Action (PDCA, 구축-실행-유지-개선) 모델을 채택하여, ISO27001 표준에 따라 정보자산의 기밀성, 무결성, 가용성을 실현하기 위하여 관련 프로세스를 체계적으로 수립, 문서화하고 이를 지속적으로 운영, 관리하여 이의 적합성을 제3자 인증기관에 의해 적합성을 인증 받는 제도이다.
국제표준 정보보호 인증으로 정보보호 분야에서 가장 권위있는 인증이다.
- 기밀성(Confidentiality) : 접근이 인가된 사람만이 정보에 접근 가능함을 보장
- 무결성(Integrity) : 정보 및 처리 방법의 정확성 및 완전성을 보호
- 가용성(Availability) : 인가된 사용자가 필요시 정보 및 관련 자산에 접근하는것을 보장
◈ 정보보안경영시스템의 도입 필요성
■ 인터넷 확산으로 인한 새로운 보안위협의 증가에 따라 정보보호에 관한 종합적이고, 체계적인 정보보호 관리 및 인증 필요성 대두
■ 약3/4의 조직이 보안문제를 처리할 수 있는 시스템을 가지고 있지 않음
■ 30%이상의 조직이 정보의 중요성을 인식하지 못함
■ 관련 법규 및 규정에 대한 준수를 객관적으로 입증
■ 내부 정보 유출자의 증가
■ 해킹에 의한 침해 사고의 증가
■ 첨단 기술 및 중요 정보 유출
◈ 정보보안경영시스템의 도입 필요성
■ 조직의 위험에 대해 올바르게 파악, 심사 및 관리하는 동시에 정보 보호 프로세스, 절차 및 문서를 체계화하고 있음을 객관적으로 입증할 수 있음
■ 거래 요구사항을 충족하고 고객 정보 보호가 최우선임을 보여 줌으로써 경쟁력을 높일 수 있음
■ 이해관계자와 고객의 데이터 등 조직의 자산에 대하여 보호함으로써 안정성과 신뢰성 향상
■ 정기적인 심사 프로세스를 통해 성과 및 개선 사항을 지속적으로 모니터링할 수 있음
■ 경영진의 높은 정보 보호 의식을 입증 및 직원들의 윤리의식과 자부심 상승효과
■ 해외 진출 시 이점(ISO인증을 취득하라고 하는 기업들이 많아지고 있는 추세)
■ 조직에 직,간접적으로 영향을 미치는 이슈에 대해 위험 관리
■ 꾸준한 개선과 발전으로 다양한 사업영역 확장에 도움
■ 정보보호 운영에 대한 체계를 잡고 지속적으로 관리, 유지
■ 고객에게 신뢰와 안정성 입증으로 마케팅 효과
■ 정보시스템 보호 및 기업 비즈니스 연속성 보장
◈ 정보보안경영시스템의 도입 필요성