ISO 27001이란?
IOS 27001 개요
ISO/IEC 27001은 국제표준화기구 (ISO : International Organization for Standardization) 국제전기기술위원회 (IEC : International Electrotechnical Commission)에서 제정한 정보보호 관리체계에 대한 국제 인증입니다.
- 정보보호 : 정보흐름 전체의 보호
- 물리적 보안 : 보안위협으로 대비하기 위한 물리적 수단 (Ex : CCTV, 출입통제)
- 관리적 보안 : 보안위협 대비를 위한 조직 내 정보보호 절차 및 규정 (Ex : 인력관리, 보안감사)
- 기술적 보안 : 보안위협 대비를 위해 사용할 수 있는 모든 보안 시스템 (Ex : 네트워크 보안, 시스템 보안)
등 정보보안 관련 11개 영역, 133개 항목에 대한 ISO 인증기관의 엄격한 심사와 검증을 통과해야 인증됩니다.
ISO27001이 필요한 이유
ISO 27001 vs ISMS
보안인증 제도가 ISO 27001만 있는 건 아닙니다. ISMS도 ISO 27001만큼 대표적이고 인정받는 보안 인증입니다.
여러 차이가 있지만 이 둘의 가장 대표적인 차이는 아래 2가지입니다.
1. 국제용 vs 국내용
ISO 27001은 국제 보안 인증제도로 인증 하나로 전 세계에서 자사의 보안 수준을 인정받을 수 있는 장점이 있습니다. 그래서 글로벌 비즈니스를 하고 있거나 글로벌을 사업을 확장하려는 기업들이 많이 찾고는 합니다. 반대로 ISMS는 국내에서 ISO27001을 본떠서 만든 보안 인증제도로 국내에서는 충분히 해당 회사의 정보보안 수준을 입증할 수 있는 공신력 있는 인증제도입니다!
2. 자발적 vs 강제적
ISO 27001은 법과 규제로 인증을 강제하지 않고 오로지 기업들의 정보보안 자발적인 니즈로 인증을 취득합니다. 하지만 ISMS는 특정분야 또는 규모의 비즈니스인 경우 정보통신망법에서 강제하고 있기 때문에 법적 요구사항을 충족하기 위한 이유로 취득하는 경우가 많습니다.
ISO 27001 도입 시 혜택
- 고객의 신뢰도 : 개인정보에 어느 때보다 민감한 시대에 고객의 정보를 안전하게 지키고 있음을 증명
- 경영 리스크 회피 : 고객정보, 민감정보, 기술정보 등 사내 중요한 정보를 안전하게 지킴
- 위법 리스크 회피 : 정보보호법이 요구하는 법적/규제적 사항을 지켜서 불법 발생을 예방
- 글로벌 신뢰도 획득 : 글로벌 산업에서 기업 안정성을 인정받을 수 있는 척도로 사용
- 세일즈 증대 : 특히 기업은 정보보안에 민감하기 때문에 B2B 서비스 및 제품을 제공하는 회사는 클라이언트에게 좋은 인상을 줄 수 있는 방법
ISO27001 인증방법
등록 신청은 ISO 27001 질의서 양식 작성을 통해 먼저 이루어집니다. 자사에 대한 정보 제공을 통해서 인증범위를 명확히 정의할 수 있으며 이후, ISO 27001 심사는 국내 심사 대행업체를 통해서 진행됩니다.
1. 자사의 품질경영시스템이 최소 3개월 이상 완전히 운영 중임을 보여야 하며,
2. 최소 1년 이내 내부 심사를 실시하였음을 보여야 합니다.
인증서는 심사 대행업체에 의해 발행되며 연간 사후심사와 3년에 1번 갱신심사 프로그램을 통해 유지하게 됩니다.
[용어/개념] ISO27701 인증 제도 - 개인 정보 보호 경영 시스템
[용어/개념] ISMS-P : 정보보호 및 개인정보보호 관리체계