Why ISO/IEC 27001 ?!

ISO/IEC 27001이란 국제표준화기구(ISO: International Organization for Standardization) 국제전기기술위훤회(IEC: International Electrotechnical Commission)에서 제정한 정보보호 관리체계(ISMS)에 대한 국제인증이다.

 

일단 먼저 인증의 구조와 정보보호관리체계 운영을 위한 연관 조직을 간단히 정리해 보았다

정보보호관리체계 운영을 위한 연관조직은 제 경험에 비추어 작성된 것임을 밝혀둔다.

 

※ ISO/IEC 27001 구성(ISO/IEC 27001:2022)

  1. 정보보관리체계를 구성하기 위한 필수 조항(FrameWork) ("What to do")

      ▶ 기업이 안전한 정보보호관리체계(ISMS)를 구성하고 유지하기 위해 반드시 필요한 필수항목

       1) 제4항 - 조직 (Organization)

       2) 제5항 - 리더십 (Leadership)

       3) 제6항 - 계획 (Planning)

       4) 제7항 - 지원 (Support)

       5) 제8항 - 운용 (Operation)

       6) 제9항 - 성과평가 (Performance Evaluation)

       7) 제10항 - 개선 (Improvement)

     

   2. 부록 A (Annex A) (보안통제 목록) ("How to do it")

        ▶  4개 분야 93개로 구성된 구체적인 보안 통제 방법으로 기업의 조직의 특성에 맞게 필요한 통제들만 선택 적용 가능

        1) A.5 - 조직 통제 (Organizational Controls) (A.5.1 ~ A.5.37)

        2) A.6 - 인적 통제 (People controls) (A.6.1 ~ A.6.8)

        3) A.7 - 물리적 통제 (Physical controls) (A.7.1 ~ A.7.14)

        4) A.8 - 기술적 통제 (Technological controls) (A.8.1 ~ A.8.34)

 

   3. 정보보호관리체계 운영을 위한 연관 조직

      1) IT 조직(시스템/네트워크) : 인프라(서버/네트워크) 보안 설정

      2) 인사 조직 : 직원 보안 교육

      3) 경영진(C레벨) : 보안 정책 승인

      4) 시설 조직 : 물리적 보안 관리

      5) 법무 조직 : 규정 준수 확인

      6) 정보보호 조직 : (1) ~ (5) 조직의 업무 결과에 대한 감사(Audit)

 

 

ISO27001 및 ISMS 인증에서 가장 중요한 사항은 위에서 나열된 항목들이 정상적으로 지켜지고 수행되어 지는 것이다.

보통의 기업 담당자들은 인증을 받기 위해 수개월동안 전문가들을 통해 컨설팅을 받는다. 단지 인증을 획득하기 위한 컨설팅을 받는다.

 

평소에 인증에 필요한 업무 이외에 일들이 더 많아서 다 못챙긴다고 말하는 담당자들이 더 많을 것이다.

인증에서 요구하는 일들이 인증에서만 필요한 일들일까?

 

인증에서 필요하다고 하는 필수 혹은 선택적으로 해야 하는 일들은 사실 본인들이 해야 하는 일들이다.

솔직히 매일/매주/매월 해야 하는 일인 것이다. 혹자는 그건 다 아는 사실인데 구지 말할 필요가 있느냐 할 것이다.

내가 말하고자 하는 것은 그 당연하고 누구나 다 아는 사실을 왜 왜면하는가? 이다

 

매일이 쌓어서 매주가 되고, 그 매주가 매월이 되며 그 매월이 매년이 된다.

그러면 되는 것 아닌가? 그렇게 하면 되는 것 아닌가?

하지만 그에 대한 이유와 변명은 백만가지다.

 

그저 본인이 하고 싶지 않을 뿐~

 

 

#ISO27001 #ISMS #InfomationSecurity