ISO/IEC 27001:2022 정보보호경영시스템
페이지 정보
본문
ISO/IEC 27001:2022 정보보호경영시스템
ISO/IEC 27001:2022 란?
ISO/IEC 27001은 국제표준화기구 (ISO: International Organization for Standardization) 및 국제 전기기술 위원회 (IEC: International Electrotechnical Commission)에서 제정한 정보보호 관리체계에 대한 국제 표준이자 정보보호 분야에서 가장 권위 있는 국제 인증표준으로 정보 보안 정책 및 물리적 보안, 정보 접근 통제 등을 다룹니다.
ISO/IEC 27001을 통해 정보보호의 프로세스, 절차 및 문서를 체계화하고 있음을 객관적으로 입증할 수 있으며 고객 및 비즈니스 파트너에게 개인정보 관리 능력에 대한 신뢰를 줄 수 있습니다. 또한, 위험 관리 프로세스를 적용하여 정보의 기밀성, 무결성, 가용성을 보존하고 이해 당사자에게 위험이 적절하게 관리된다는 믿음을 제공합니다.
최근 정부기관 및 공공기관을 포함하여 금융, 교육, 의료, 통신, 포털과 같이 중요자산을 취급하는 기관이나 IT 경영평가, 신용평가, 회계감사 등 외부 평가 대상인 기업, 고객정보를 관리하거나 위탁 운영하는 기업 등에서 지속해서 인증을 취득하고 있습니다.
주요 개정사항
ISO는 지난 22년도 하반기에 ISO/IEC 27001:2022를 발표하였습니다. 기존에 ISO/IEC 27001:2013 인증을 유지하고 있는 기업은 25년도 10월까지 전환하여야 하며 ISO 27001:2013은 2024년 4월 이후 인증서 발행이 중단됩니다.
주요 개정사항은 아래와 같습니다.1. 규격명 변경
기존 ISO/IEC 27001: 2013은 Information security, cybersecurity and privacy protection — Information security management systems이였으나 ISO/IEC 27001:2022는 Information security, cybersecurity and privacy protection — Information security management systems으로 변경되었습니다.
2. 조항 추가 및 번호 변경
• ISMS를 통해 처리되는 이해관계자의 요구사항을 결정하기 위해 4.2 c)항이 추가되었습니다.
• ISMS의 대한 변경이 계획된 방식으로 조직에 의해 수행되어야 함을 정의하기 위해 6.3항(변경 계획)이 추가되었습니다.
• 10항 개선의 하위조항인 10.1항과 10.2항의 절의 순서가 변경되었습니다.
3. 용어 변경
잠재적 모호성을 지닌 용어를 변경 및 재구성하였습니다.
4. Annex A 변경
기존 ISO/IEC 27001:2013에서는 14개의 조항과 114개 통제(control)로 구성되었으나 ISO/IEC 27001:2022에서는 4개의 조항과 93개의 통제(control)로 감소하였습니다.
ISO/IEC 27001:2022 통제(control)의 경우 11개가 추가되었으며 24개의 통제가 기존 통제에서 병합되었으며 58개의 통제가 업데이트 되었습니다.
• Organizational controls(37)
• People controls(8)
• Physical controls(14)
• Technological controls(34)
ISO/IEC 27001:2022의 필요성
정보통신과 인터넷의 확산으로 개인의 생활양식 및 기업의 비즈니스 방식이 바뀌고 있으며 정보화 사회가 발전함에 따라 모든 주요 업무들이 정보시스템에 의존하게 되었습니다. 이러한 발전은 빠르고 편리한 생활과 비즈니스를 가능하게 하였으나 급속한 정보화의 부작용으로 개인정보 유출, 고객 정보 유출 및 산업기밀 유출 등이 늘어났습니다. 꾸준히 증가하는 사이버 위협에 대비하여 기업 스스로 사이버 위협에 대응이 필요 해졌습니다.
ISO/IEC 27001은 사이버 공격, 해킹, 데이터 유출 또는 도난으로 인한 데이터 손실 위험을 관리하는 문서화된 일련의 정책, 절차, 프로세스 및 시스템입니다. 인증 취득을 통해 조직은 다음과 같은 혜택을 얻을 수 있습니다.
< ISO/IEC 27001:2022의 필요성 >
1. 고객만족
고객 정보를 안전하게 보호함으로써 고객신뢰 획득, 고객만족 도모
2. 비즈니스 연속성
리스크 관리, 법규 준수 및 미래 보안 이슈 및 우려사항에 대한 경계를 통해 사업의 지속 가능성과 안정성 확보
3. 법규 준수
법적/규제적 요구사항이 어떻게 귀사 및 고객에 영향을 끼치며, 법적 제재에 따른 리스크를 감소시키는 방법을 이해
4. 리스크 관리 증대
고객 기록, 회계 정보 및 지적재산권이 체계적인 프레임워크를 통해 손실, 절도 및 손상으로부터 보호됨을 보장
5. 증명된 사업 신뢰도
인정된 글로벌 산업 규격에 대한 독립적 검증으로 신뢰성을 확보하여 정보보호에 대한 책임감과 신뢰성을 갖춘 기업으로 인식 가능
6. 사업 확대
고객은 종종 납품 조건으로 인증서를 요구하기 때문에 인증을 통한 사업 확대 가능
ISO/IEC 27001:2022 요구사항
- 4. 조직 환경
- 5. 리더십
- 6. 계획
- 7. 지원
- 8. 운영
- 9. 성과 평가
- 10. 개선
- Annex A Information security controls reference
더 자세한 정보는 IGC 인증원 > ISO/IEC 27001 개인 정보 보안 경영시스템에서 확인하실 수 있습니다.
- 이전글식품안전문화 23.04.04
- 다음글ISO 9001 인증 및 적합성 평가 23.03.13
댓글목록
등록된 댓글이 없습니다.