[ISO27001]국제 표준 정보보호 인증 항목 및 필요 업무 정리

이번에 인증을 받기 위한 내부 프로세스 개선 업무를 담당하면서 느낀 것이 참 많다. 

일단, 담당자가 뭘 좀 알아야 유관부서랑 업무 진행이 가능하다는 것. 순간순간 내 부족함을 느껴 공부도 많이 했었는데 그때 당시에 기록을 안해놓으니.. 흐릿하게 남아있다. 

아무래도 내부 프로세스를 전부 점검하는 업무이다 보니 다양한 파트를 알아야 했고, 이것을 정리하면 추후 사후심사나 갱신심사에서 잘 적용할 수 있을 것 같아 정리하고자 한다.

*단, 나의 주관적인 관점에서 작성하는 것이니 추후 수정 및 개선 작업이 필수적으로 이루어져야 함.

 

---

- ISO27001 인증 : 국제 표준 정보보호 인증으로 정보보호 분야에서 가장 권위 인증이자, 보안 프레임 워크. 모든 보안 관리체계의 기본이 되며 물리적, 기술적 정보보안과 더불어 법규 준수여부 등 종합적인 보호대책을 수립하고 운영을 확보할 수 있게 함. 

- ISO27001 인증을 획득했다 = ISO27001에서 제시한 프레임 워크에 따라 회사의 위험을 관리하고, 이를 개선해나가는 체계를 갖추었다는 의미. 대외적인 신뢰도 향상. (보안 수준의 향상과 항상 직결되지는 않음.)

- 조직의 정보보안 대응능력 전반을 심사하여 고객/이용자에게 올바른 정보를 제공할 수 있는 적합성을 평가하는 기준으로 삼을 수 있음. 

 

* ISO27001 : 조직의 정보보안 관리규격을 정의하고 실제 심사/인증용으로 사용

* ISO27002 : ISMS의 운영 및 유지에 참고할 수 있는 실무적 지침 및 일반 원칙

---

인증범위 : 정보보호 정책, 통신 및 운영, 접근통제, 정보보호 사고 대응 등 정보보호 관리 14개 영역, 114개 항목을 기준으로 함. 이에 대해 얼마나 잘 계획하고 구현하며 점검하고, 개선하는가를 평가하고 이에 대한 '인증'을 수여함. 

 

관리 영역		세부 항목	링크
A.5 정보보호 정책	A.5.1 정보보호를 위한 경영 방침	A.5.1.1 정보보호를 위한 정책 A.5.1.2 정보보호 정책의 검토
A.6 정보보호 조직	A.6.1 내부 조직	A.6.1.1 정보보호 역할 및 책임 A.6.1.2 직무 분리 A.6.1.3 관련 그룹과의 연계 A.6.1.4 전문가 그룹과의 연계 A.6.1.5 프로젝트 관리에서의 정보보호
	A.6.2 모바일 기기와 원격근무	A.6.2.1 모바일 기기 정책 A.6.2.2 원격 근무
A.7 인적자원 보안	A.7.1 고용 전	A.7.1.1 적격심사 A.7.1.2 고용 계약조건
	A.7.2 고용 중	A.7.2.1 경영진 책임 A.7.2.2 정보보호 인식, 교육, 훈련 A.7.2.3 징계 처분
	A.7.3 고용 종료 및 직무	A.7.3.1 고용 책임의 종료 또는 변경
A.8 자산관리	A.8.1 자산에 대한 책임	A.8.1.1 자산 목록 A.8.1.2 자산 소유권 A.8.1.3 자산 이용 A.8.1.4 자산 반환
	A.8.2 정보 등급화	A.8.2.1 정보 등급화 A.8.2.2 정보 표식 A.8.2.3 자산 취급
	A.8.3 매체 취급	A.8.3.1 이동식 매체 관리 A.8.3.2 매체 폐기 A.8.3.3 물리적 매체 이송
A.9 접근통제	A.9.1 접근통제 업무 요구사항	A.9.1.1 접근통제 정책 A.9.1.2 네트워크 및 네트워크 서비스 접근통제
	A.9.2 사용자 접근 관리	A.9.2.1 사용자 등록 및 해지 A.9.2.2 사용자 접근 권한 설정 A.9.2.3 특수 접근 권한 관리 A.9.2.4 사용자 비밀 인증정보 관리 A.9.2.5 사용자 접근권한 검토 A.9.2.6 접근권한 제거 또는 조정
	A.9.3 사용자 책임	A.9.3.1 기밀 인증정보 사용
	A.9.4 시스템 및 어플리케이션 접근통제	A.9.4.1 정보 접근제한 A.9.4.2 안전한 로그인 절차 A.9.4.3 패스워드 관리 시스템 A.9.4.4 특수 유틸리티 프로그램 사용 A.9.4.5 프로그램 소스코드 접근통제
A.10 암호화	A.10.1 암호 통제	A.10.1.1 암호 통제 사용 정책 A.10.1.2 키 관리
A.11 물리적 및 환경적 보안	A.11.1 보안구역	A.11.1.1 물리적 보안 경계 A.11.1.2 물리적 출입 통제 A.11.1.3 사무 공간 및 시설 보안 A.11.1.4 외부 및 환경위협에 대비한 보호 A.11.1.5 보안 구역 내 작업 A.11.1.6 배송 및 하역 구역
	A.11.2 장비	A.11.2.1 장비 배치 및 보호 A.11.2.2 지원 설비 A.11.2.3 배선 보안 A.11.2.4 장비 유지보수 A.11.2.5 자산 반출 A.11.2.6 구외 장비 및 자산 보안 A.11.2.7 장비 안전 폐기 및 재사용 A.11.2.8 방치된 사용자 장비 A.11.2.9 책상정리 및 화면정리 정책
A.12 운영보안	A.12.1 운영절차 및 책임	A.12.1.1 운영 절차 문서화 A.12.1.2 변경 관리 A.12.1.3 용량 관리 A.12.1.4 개발, 시험, 운영, 환경 분리
	A.12.2 악성코드 방지	A.12.2.1 악성코드 통제
	A.12.3 백업	A.12.3.1 정보 백업
	A.12.4 로그기록 및 모니터링	A.12.4.1 이벤트 로그기록 A.12.4.2 로그 정보 보호 A.12.4.3 관리자 및 운영자 로그 A.12.4.4 시각 동기화
	A.12.5 운영 소프트웨어 통제	A.12.5.1 운영시스템 소프트웨어 설치
	A.12.6 기술적 취약점 관리	A.12.6.1 기술적 취약점 관리 A.12.6.2 소프트웨어 설치 제한
	A.12.7 정보시스템 감사 고려사항	A.12.7.1 정보시스템 감사 통제
A.13 통신 보안	A.13.3.1 네트워크 보안 관리	A.13.1.1 네트워크 통제 A.13.1.2 네트워크 서비스 보안 A.13.1.3 네트워크 분리
	A.13.3.2 정보 전송	A.13.2.1 정보 전송 정책 및 절차 A.13.2.2 정보 전송 협약 A.13.2.3 전자 메시지 교환 A.13.2.4 기밀 유지 협약
A.14 시스템 도입, 개발, 유지보수	A.14.1 정보시스템 보안 요구사항	A.14.1.1 정보보호 요구사항 분석 및 명세 A.14.1.2 공중망 응용 서비스 보안 A.14.1.3 응용, 서비스 거래 보호
	A.14.2 개발 및 지원 프로세스 보안	A.14.2.1 개발 보안 정책 A.14.2.2 시스템 변경 통제 절차 A.14.2.3 운영 플랫폼 변경 후 어플리케이션 기술적 검토 A.14.2.4 소프트웨어 패키지 변경 제한 A.14.2.5 시스템 보안 공학 원칙 A.14.2.6 개발 환경 보안 A.14.2.7 외주 개발 A.14.2.8 시스템 보안 시험 A.14.2.9 시스템 인수 시험
	A.14.3 시험 데이터	A.14.3.1 시험 데이터 보호
A.15 공급자 관계	A.15.1 공급자 관계 정보보호	A.15.1.1 공급자 관계 정보보호 정책 A.15.1.2 공급자 협약 내 보안 명시 A.15.1.3 정보통신기술 공급망
	A.15.2 공급자 서비스 전달 관리	A.15.2.1 공급자 서비스 모니터링 및 검토 A.15.2.2 공급자 서비스 변경 관리

 

* 참고 서적

1. 최적합 ISMS-P 인증심사원 실무가이드

2. ISO27001 정보보안 경영 시스템