인사이트

ISO 27001이란? 정의부터 인증 방법까지

ISO 27001이란? 정의부터 인증 방법까지

우리 회사가 정보보안을 잘하고 있다는 걸 어떻게 알 수 있을까요? 중요(민감)정보를 안전하게 보호하고 있어서 임직원도, 고객도 안심하고 우리 회사 서비스를 이용할 수 있다는 걸 증명할 방법이 없을까요? 있습니다!바로 정보보안 인증제도를 이용하는 겁니다.

오늘은 그 중에서 국제 정보보안 인증제도로 가장 인정받고 있는 ISO27001를 설명해보자 합니다. 먼저 ISO27001의 풀네임인 ISO/IEC27001을 통해서 ISO27001 어떤 인증인지 알아보도록 하겠습니다.

IOS 27001 개요

ISO 27001는 무엇일까요?

ISO/IEC 27001은 국제표준화기구 (ISO : International Organization for Standardization) 국제전기기술위원회 (IEC : International Electrotechnical Commission)에서 제정한 정보보호 관리체계에 대한 국제 인증입니다.

정보보호 : 정보흐름 전체의 보호

물리적 보안 : 보안위협으로 대비하기 위한 물리적 수단 (Ex : CCTV, 출입통제)

관리적 보안 : 보안위협 대비를 위한 조직 내 정보보호 절차 및 규정 (Ex : 인력관리, 보안감사)

기술적 보안 : 보안위협 대비를 위해 사용할 수 있는 모든 보안 시스템 (Ex : 네트워크 보안, 시스템 보안)

등 정보보안 관련 11개 영역, 133개 항목에 대한 ISO 인증기관의 엄격한 심사와 검증을 통과해야 인증됩니다.

ISO27001이 필요한 이유

ISO 27001 인증 필요할까요?

사실 필수는 아닙니다. 그리고 사실 필수입니다.
무슨 뜻이냐 하면 법으로 사용을 강요받는 것은 아니지만, 최근 코로나를 기점으로 기업의 사업과 업무환경이 대부분 인터넷·클라우드로 바뀌는 디지털 전환(Digital Transformation) 시대가 되어서 정보보안이 꼭 필요해졌기 때문입니다! (정보보안 도입이 없이 온라인 서비스를 이용하거나 제공하는 건 전쟁터에 방탄복 하나 없이 뛰어나가는 것과 같죠.)

ISO 27001 VS ISMS

ISO 27001 VS ISMS

보안인증 제도가 ISO 27001만 있는 건 아닙니다. ISMS도 ISO 27001만큼 대표적이고 인정받는 보안 인증입니다. 여러 차이가 있지만 이 둘의 가장 대표적인 차이는 아래 2가지입니다.

1. 국제용 vs 국내용

ISO 27001은 국제 보안 인증제도로 인증 하나로 전 세계에서 자사의 보안 수준을 인정받을 수 있는 장점이 있습니다. 그래서 글로벌 비즈니스를 하고 있거나 글로벌을 사업을 확장하려는 기업들이 많이 찾고는 합니다. 반대로 ISMS는 국내에서 ISO27001을 본떠서 만든 보안 인증제도로 국내에서는 충분히 해당 회사의 정보보안 수준을 입증할 수 있는 공신력 있는 인증제도입니다!

2. 자발적 vs 강제적

ISO 27001은 법과 규제로 인증을 강제하지 않고 오로지 기업들의 정보보안 자발적인 니즈로 인증을 취득합니다. 하지만 ISMS는 특정분야 또는 규모의 비즈니스인 경우 정보통신망법에서 강제하고 있기 때문에 법적 요구사항을 충족하기 위한 이유로 취득하는 경우가 많습니다.

ISO 27001 도입 시 혜택

ISO 27001 인증을 취득하면 어떤 장점이 있을까요?

ISO/IEC 27001은 국제표준화기구 (ISO : International Organization for Standardization) 국제전기기술위원회 (IEC : International Electrotechnical Commission)에서 제정한 정보보호 관리체계에 대한 국제 인증입니다.

고객의 신뢰도 : 개인정보에 어느 때보다 민감한 시대에 고객의 정보를 안전하게 지키고 있음을 증명
경영 리스크 회피 : 고객정보, 민감정보, 기술정보 등 사내 중요한 정보를 안전하게 지킴
위법 리스크 회피 : 정보보호법이 요구하는 법적/규제적 사항을 지켜서 불법 발생을 예방
글로벌 신뢰도 획득 : 글로벌 산업에서 기업 안정성을 인정받을 수 있는 척도로 사용
세일즈 증대 : 특히 기업은 정보보안에 민감하기 때문에 B2B 서비스 및 제품을 제공하는 회사는 클라이언트
에게 좋은 인상을 줄 수 있는 방법
ISO27001 인증방법

ISO 27001 인증 방법은?

등록 신청은 ISO 27001 질의서 양식 작성을 통해 먼저 이루어집니다. 자사에 대한 정보 제공을 통해서 인증범위를 명확히 정의할 수 있으며 이후, ISO 27001 심사는 국내 심사 대행업체를 통해서 진행됩니다.

이는 2단계에 걸쳐 이루어지며 이를 위해서

1. 자사의 품질경영시스템이 최소 3개월 이상 완전히 운영 중임을 보여야 하며,
2. 최소 1년 이내 내부 심사를 실시하였음을 보여야 합니다.

인증서는 심사 대행업체에 의해 발행되며 연간 사후심사와 3년에 1번 갱신심사 프로그램을 통해 유지하게 됩니다.

ISO 27001 정의부터 인증방법까지 소개해드렸는데요.
여러분의 소중한 정보자산을 잘 지켜내기 위해 고민인 분들에게 조금이나마 도움이 되었기를 바랍니다. :)
명심하세요! 정보는 지키면 자산이지만 뺏기면 부채 입니다.

인사이트
ISO 27001이란? 정의부터 인증 방법까지
ISO 27001이란? 정의부터 인증 방법까지
우리 회사가 정보보안을 잘하고 있다는 걸 어떻게 알 수 있을까요? 중요(민감)정보를 안전하게 보호하고 있어서 임직원도, 고객도 안심하고 우리 회사 서비스를 이용할 수 있다는 걸 증명할 방법이 없을까요? 있습니다!바로 정보보안 인증제도를 이용하는 겁니다.

오늘은 그 중에서 국제 정보보안 인증제도로 가장 인정받고 있는 ISO27001를 설명해보자 합니다. 먼저 ISO27001의 풀네임인 ISO/IEC27001을 통해서 ISO27001 어떤 인증인지 알아보도록 하겠습니다.
ISO 27001는 무엇일까요?
ISO/IEC 27001은 국제표준화기구 (ISO : International Organization for Standardization) 국제전기기술위원회 (IEC : International Electrotechnical Commission)에서 제정한 정보보호 관리체계에 대한 국제 인증입니다.
정보보호 : 정보흐름 전체의 보호
물리적 보안 :보안위협으로 대비하기 위한 물리적 수단 (Ex : CCTV, 출입통제)
관리적 보안 :보안위협 대비를 위한 조직 내 정보보호 절차 및 규정 (Ex : 인력관리, 보안감사)
기술적 보안 : 보안위협 대비를 위해 사용할 수 있는 모든 보안 시스템 (Ex : 네트워크 보안, 시스템 보안)
등 정보보안 관련 11개 영역, 133개 항목에 대한 ISO 인증기관의 엄격한 심사와 검증을 통과해야 인증됩니다.
ISO 27001 인증 필요할까요?
사실 필수는 아닙니다. 그리고 사실 필수입니다.
무슨 뜻이냐 하면 법으로 사용을 강요받는 것은 아니지만, 최근 코로나를 기점으로 기업의 사업과 업무환경이 대부분 인터넷·클라우드로 바뀌는 디지털 전환(Digital Transformation) 시대가 되어서 정보보안이 꼭 필요해졌기 때문입니다! (정보보안 도입이 없이 온라인 서비스를 이용하거나 제공하는 건 전쟁터에 방탄복 하나 없이 뛰어나가는 것과 같죠.)
ISO 27001 VS ISMS
보안인증 제도가 ISO 27001만 있는 건 아닙니다. ISMS도 ISO 27001만큼 대표적이고 인정받는 보안 인증입니다. 여러 차이가 있지만 이 둘의 가장 대표적인 차이는 아래 2가지입니다.


1. 국제용 vs 국내용

ISO 27001은 국제 보안 인증제도로 인증 하나로 전 세계에서 자사의 보안 수준을 인정받을 수 있는 장점이 있습니다. 그래서 글로벌 비즈니스를 하고 있거나 글로벌을 사업을 확장하려는 기업들이 많이 찾고는 합니다. 반대로 ISMS는 국내에서 ISO27001을 본떠서 만든 보안 인증제도로 국내에서는 충분히 해당 회사의 정보보안 수준을 입증할 수 있는 공신력 있는 인증제도입니다!

2. 자발적 vs 강제적

ISO 27001은 법과 규제로 인증을 강제하지 않고 오로지 기업들의 정보보안 자발적인 니즈로 인증을 취득합니다. 하지만 ISMS는 특정분야 또는 규모의 비즈니스인 경우 정보통신망법에서 강제하고 있기 때문에 법적 요구사항을 충족하기 위한 이유로 취득하는 경우가 많습니다.
ISO 27001 인증을 취득하면 어떤 장점이 있을까요?
ISO/IEC 27001은 국제표준화기구 (ISO : International Organization for Standardization) 국제전기기술위원회 (IEC : International Electrotechnical Commission)에서 제정한 정보보호 관리체계에 대한 국제 인증입니다.
고객의 신뢰도 : 개인정보에 어느 때보다 민감한 시대에 고객의 정보를 안전하게 지키고 있음을 증명
경영 리스크 회피 : 고객정보, 민감정보, 기술정보 등 사내 중요한 정보를 안전하게 지킴
위법 리스크 회피 : 정보보호법이 요구하는 법적/규제적 사항을 지켜서 불법 발생을 예방
글로벌 신뢰도 획득 : 글로벌 산업에서 기업 안정성을 인정받을 수 있는 척도로 사용
세일즈 증대 : 특히 기업은 정보보안에 민감하기 때문에 B2B 서비스 및 제품을 제공하는 회사는 클라이언트에게 좋은 인상을 줄 수 있는 방법
ISO 27001 인증 방법은?
등록 신청은 ISO 27001 질의서 양식 작성을 통해 먼저 이루어집니다. 자사에 대한 정보 제공을 통해서 인증범위를 명확히 정의할 수 있으며 이후, ISO 27001 심사는 국내 심사 대행업체를 통해서 진행됩니다.

이는 2단계에 걸쳐 이루어지며 이를 위해서

1. 자사의 품질경영시스템이 최소 3개월 이상 완전히 운영 중임을 보여야 하며,
2. 최소 1년 이내 내부 심사를 실시하였음을 보여야 합니다.


인증서는 심사 대행업체에 의해 발행되며 연간 사후심사와 3년에 1번 갱신심사 프로그램을 통해 유지하게 됩니다.

ISO 27001 정의부터 인증방법까지 소개해드렸는데요.
여러분의 소중한 정보자산을 잘 지켜내기 위해 고민인 분들에게 조금이나마 도움이 되었기를 바랍니다. :)

명심하세요! 정보는 지키면 자산이지만 뺏기면 부채 입니다.