ISO 27001 인증은 조직의 정보자산이 적절히 보호되고 있는지 확인하는 인증으로, 각 통제 도메인 및 ISMS 프레임워크를 제공합니다.
이 포스팅에서는 ISO 27001 인증절차 및 세부 통제항목 그리고 현업 관점의 체크리스트 정보를 정리하였습니다. 현업에서 ISO 인증을 진행하는 경우 아래의 정보가 많은 참고가 될 것입니다.
ISO 27001 인증
기업 내 정보자산의 보안등급 분류 미비, 취급 절차 부재 미준수 및 사용자 계정관리 절차 부재 등의 여러 취약점으로 주요 자산의 유출 사고 발생빈도가 꾸준히 증가하고 있습니다.
KISA 발표 자료에 따르면 정보통신망 범죄는 매해 꾸준히 증가하는 반면에, 이를 위한 기업의 정보보호 관리는 매우 취약한 상태입니다. 가령, 50인 미만 기업의 경우 정보보호 관리 비율 10% 정도에 그친다고 합니다.
ISO 27001 vs ISMS-P 차이점
ISO 27001 인증은 기업의 정보보호 정책의 수립 및 운영에 대해서 수준을 평가하여 인증을 부여하는 것으로, 국내의 경우 유사한 ISMS 인증을 통해 강제하여 실행하도록 하고 있습니다.
정부에서는 일정 기준에 해당할 경우 ISMS 인증을 의무화하고 있기도 합니다. 인증을 위한 세부 절차 및 가이드라인에 대해서는 아래의 정보를 참고해주세요.
| ISO 27001 (국제) | ISMS-P (국내) |
| ISO 국제표준에 의한 인증관리 | 한국인터넷진흥원(KISA) 인증관리 |
| 전세계 5,000개 이상 업체 (국내 100여개 업체 인증취득) | 국내 100여 개 업체 인증취득 |
| 심사항목 14개 관리영역, 114개 세부항목 | ISMS 80개, ISMS-P 102개. (ISMS-P는 개인정보 보호 인증항목을 추가) |
| 의무대상 기업지정 없음 | 의무대상 기업 미인증시 과태료 부과 |
| 유효기간 3년 (사후관리 6개월~1년) | 유효기간 3년 (사후관리 1년 주기) |
하지만 위와 같은 가이드라인에 따라 인증을 받는다고 그것으로 완료되는 것이 아닙니다. 인증 후에도 주기적 사후 관리심사 및 유효기간 연장을 위한 지속적인 정보보안 관리프로세스의 개선을 수행해야 합니다.
ISO 27001 인증절차
ISO 27001 심사절차는 크게 아래의 6단계로 구분하여 진행합니다. 처음 보안 인증을 진행할 경우 단계별 진행내용을 파악하는 것도 중요합니다. 단계에 따른 인증레벨 및 진행 내용은 아래를 참고해주세요.
1. 사전심사 (선택사항)
심사원이 방문하여 현장의 현재 상황을 기록하고 평가를 수행합니다.
2. 인증심사 (레벨 1)
경영 시스템의 문서화 정도를 평가합니다.
3. 인증심사 (레벨 2)
경영 시스템의 실행방안 및 유효성을 검토합니다
4. 인증갱신
3년마다 인증갱신을 받습니다. 지속적인 개선 프로세스를 문서화합니다.
5. 사후 심사
6개월 또는 1년을 주기로 프로세스 최적화 및 표준 준수 여부에 대해 정기적으로 체크합니다.
6. 인증서발급
표준준수 상태를 체크하여 최종적으로 신뢰성에 대해 인증을 하고 DB에 등록이 완료됩니다. 단, 인증이 완료된 후에도 3년 마다 갱신심사를 진행해야 합니다.
통제항목
통제항목은 총 11개 도메인으로 구성되며 세부적으로 133개의 항목으로 구성됩니다. 아래 그림은 ISO 27001의 통제 도메인 구성을 나타낸 것입니다.
아래의 각 통제항목들은 인증을 위한 체크리스트와 연계된다는 측면에서 이해하시면 되겠습니다. 세부 체크리스트 항목은 아래를 참고해주세요.
| 통제항목 | 설명 |
| 정보보호정책 | 정보보호 정책에 대한 경영방침, 지원사항에 대한 통제가 적절히 진행되는지 체크 |
| 정보보호조직 | 보안 관리를 위한 보안조직의 구성 및 각 조직원의 책임과 역할이 지정되었는지 체크 |
| 자산관리 | 조직 내 자산에 대한 등급분류 및 적절한 보호되는지 체크 (프로세스 등) |
| 인적보안 | 인적정보의 변동 및 시설의 절도, 사기, 오용에 대한 위험관리가 잘 수행되는지 체크 |
| 물리적환경보안 | 허가되지 않은 사용자 및 그룹의 접근 및 통제가 물리적, 환경적으로 대응하고 있는지 체크 |
| 통신, 운영관리 | 정보 통신시설이 정확하고 안전하게 운영되는지에 대한 대응방안 확인 |
| 접근통제 | 정보에 대한 접근을 통제하기 위한 대응방안이 적절한지 체크 |
| 시스템도입,개발,유지보수 | 정보시스템의 도입, 개발 유지보수가 정보보호를 위해 잘 수립되어 진행되는지 체크 |
| 침해사고대응 | 침해사고의 탐지, 교정, 대응 등의 조치가 잘 진행되는지 체크 |
| 사업연속성관리 | 기업활동에 대한 방해요소의 최소화 및 시스템 실패 및 재난에 대해 사업의 연속성을 보호하는 프로세스가 있는지 체크 |
| 준거성 | 범죄 및 민형사상의 법률, 법규를 잘 준수하는지, 계약 의무사항 및 보안 요구사항에 불일치 및 회피 대응책 확인(법률위반, 계약의무 위반 등에 따른 피해를 피하기 위함) |
체크리스트
인증을 위해서는 위에 열거한 11개 통제항목에 대해 세부통제 내용에 대한 체크를 진행하게 됩니다. 아래의 총 133개의 ISO 27001 체크리스트를 참고하시면, 인증에 도움이 되시리라 생각됩니다.
참고로, 이는 실무기준으로 인증을 위해 체크가 필요한 항목들의 검토용도로 활용하시기 바랍니다.
이상으로 ISO 27001 인증절차 및 통제항목 (체크리스트) 에 대해서 알아보았습니다. 이외 관련 글은 아래를 참고해주세요.