close
프로필 배경
프로필 로고

IT RED OCEAN 에서 살아 남기(일흔까지만)

밥벌이/정보 보호 · 2010. 12. 13. fullscreen 넓게보기

ISO 27001 인증

반응형
  1. 개요
    1. 정보 보호 관리를 위한 국제 표준으로서 정보의 기밀성, 무결성, 가용성을 관리할 수 있는 의도된 방법을 설정
    2. 정보 보호 정책, 인적 자원 보안, 물리적 및 환경적 보호, 의사소통 및 운영 관리, 정보시스템 인수, 개발 및 유지보수 등을 관리하는 기업의 경영에 대한 인증, 즉 정보 보호 관리 체계(ISMS; Information Security Management System)에 대해 국제 인증시 요구사항을 정의
    3. 영국에서 제정된 BS 7799를 기반으로 구성되었는데, BS 7799의 Part 1과 Part 2가 각각 ISO 27002와 ISO 27001로 표준화
    4. ISO PDCA 모델에 따른 ISMS 구축과 실행,그리고 지속적 향상 달성을 위한 요구 사항으로 구성
    5. 11개의 통제 영역에 133개의 통제 항목으로 구성
         
  2. 통제 영역의 구성
통제 영역 항목개수 설명
정보 보호 정책
(Security Policy)		 2 정보 보안에 대한 경영 정책과 지원 사항에 대한통제 구조 확인
정보 보호 조직
(Organization of Information Security)		 11 조직 내에서 보안을 효과적으로 관리하기 위한 보안 조직 구성 및 책임과 역할에 대한 규명
자산 관리
(Assets Management) 		5 조직의 자산에 대한 분류 및 이에 따른 적절한 보호 프로세스 검토
인적 자원보안
(Human Resources Security)		 9 사람에 의한 실수, 절도, 부정 수단이나 설비의 잘못 사용으로 인한 위험을 감소 하기 위한 대응 방안 확인
물리 및 환경보안
(Physical and Environment Security)		 13 비 인가된 접근이나 정보 손상에 대한 영향을 방지하기 위한 대응책 여부
의사소통 및 운영관리
(Communication and Operations Management)		 32 정보처리 설비의 정확하고 안전한 운영을 보장하기 위한 대응방안 존재 여부
접근통제 (Access Control) 25 정보에 대한 접근 통제를 하기 위한 대응책 여부
정보시스템 인수, 개발 및 유지보수 (Information System Acquisition Development & Maintenance) 16 정보 시스템 내에 보안이 수립 되었음을 보장하기 위한 대응 방안 존재 여부
정보 보호 사고관리
(Information Security Incident Management)		 5 정보 시스템과 관련된 정보 보안 사고와 취약점이 허용된 시기 이내에 적절한 교정 행동과 의사가 전달 되는지 여부
비즈니스 연속성 관리
(Business Continuity Management)		 5 사업 활동에 방해 요소를 완화시키며 주요 실패 및 재해의 영향으로부터 주요 사업 활동을 보호하기 위한 프로세스 존재 여부 검토
준거성 (Compliance) 10 범죄 및 민사상의 법률, 법규, 규정 또는 계약 의무사항 및 보안 요구 사항의 불일치를 회피하기 위한 대응책 여부

   

ISO PDAC 모델

  • Plan(계획) : ISMS 확립
    • ISMS 범위 정책 정의 및 위험 식별
    • 제어 목표 및 제어를 통한 위험 관리
  • Do(실행) : ISMS 구현 및 운영
    • 위험 완화 계획 설계 및 구현
    • 제어 목표에 적합한 제어 구현
  • Check(점검) : ISMS 감시 및 검토
    • 정기적인 ISMS의 유효성 검토 수행
    • 계획에 따라 내부 ISMS 감사 수행
  • Act(조치) : ISMS 유지보수 및 향상
    • ISMS 개선안 구현 및 확인
    • 유지보수(교정 및 위험 예방)
         
  1. 인증 절차
업무 구분    수행업무 요구문서
인증준비단계 현황 분석
  • 인증 범위 정 및 정보 보호 관리 체계 기준으로 정보 보호 현황 분석
 인증 범위 정의서
정보 보호 현황 분석 보고서
   위험평가
  • 인증 범위 내 정보 자산 목록 작성
  • 자산의 중요도 평가
  • 위협 및 취약성 평가
  • 위험도 및 통제 항목 산정
  • 위험 처리 계획서 작성
 자산목록
위험 평가 보고서
시스템취약점 분석 보고서
모의 해킹 보고서
위험 처리 계획서
   정보 보호 체계 구현
  • 정보 보호 관리 체계에 따른 정책 및 지침 수립
  • 통제 항목별 정보 보호 관리 체계의 운영현황의 문서화
 정보 보호 정책 및 지침
적용성 보고서
   이행
  • 정보 보호 관리 체계의 이행 및 감사
 내부 감사 보고서
인증 심사   
  • 적용성 보고서, 정보 보호 정책 및 지침, 관련 이행 기록 등에 대한 문서 심사 실시
  • 문서 심사 결과에 대한 이행 여부 검토를 위해 현장 심사 실시
  • 심사 결과 보고서 작성 및 결과 검토
  • 인증서 교부
 인증 심사 신청서

 

반응형

'밥벌이 > 정보 보호' 카테고리의 다른 글

BS7799  (0) 2010.12.13
개인 정보 보호의 8원칙  (0) 2010.12.13
정보 보호 시스템의 평가 기준  (0) 2010.12.13
공통 평가 기준(CC; Common Criteria)  (0) 2010.12.13
암호 시스템  (0) 2010.12.10
밥벌이/정보 보호 관련 글
더 보기

티스토리툴바