안드레아 기 슬러 | 2019 년 6 월 3 일

ISO 27001 표준은 요구 사항과 정보 보안 관리 시스템 (ISMS) 구현에 대한 지침을 제공하는 구조. 관리 시스템으로서 ISO 27001은 지속적인 개선을 기반으로합니다.이 기사에서는 이것이 ISO 27001 요구 사항 및 구조에 어떻게 반영되는지 자세히 알아 봅니다.

표준의 두 가지 주요 부분

표준은 두 부분으로 나뉩니다. 첫 번째 주요 부분은 11 개의 절 (0 ~ 10)로 구성됩니다. 부록 A라고하는 두 번째 부분은 114 개의 통제 목표 및 통제에 대한 지침을 제공합니다. 0 ~ 3 절 (소개, 범위, 표준 참조, 용어 및 정의)은 ISO 27001 표준의 도입을 설정합니다. 회사가 표준을 준수하기를 원할 경우 필수 인 ISO 27001 요구 사항을 제공하는 다음 4 ~ 10 절은이 기사에서 더 자세히 검토됩니다.

표준의 부록 A는 다음을 지원합니다. 필수는 아니지만 위험 관리 프로세스의 일부로 선택된 통제 목록이있는 조항 및 해당 요구 사항. 자세한 내용은 ISO 27001의 기본 논리 : 정보 보안은 어떻게 작동합니까?

4 절 : 조직의 상황

정보 보안 관리 시스템을 성공적으로 구현하기위한 한 가지 전제 조건은 조직의 상황을 이해하는 것입니다. 이해 관계자뿐만 아니라 외부 및 내부 문제를 식별하고 고려해야합니다. 요구 사항에는 규제 문제가 포함될 수 있지만 훨씬 그 이상일 수도 있습니다.

이를 염두에두고 조직은 ISMS의 범위를 정의해야합니다. ISO 27001이 회사에 얼마나 광범위하게 적용 될까요?

ISO 27001에 따라 조직의 컨텍스트를 정의하는 방법, ISO 27001에 따라 이해 당사자를 식별하는 방법 문서에서 조직의 컨텍스트에 대해 자세히 읽어보십시오. 및 ISO 22301 및 ISMS 범위 정의 방법.

5 절 : 리더십

적절한 리더십을위한 ISO 27001의 요구 사항은 다양합니다. 최고 경영진의 약속은 경영 시스템에 필수적입니다. 목표는 조직의 전략적 목표에 따라 설정되어야합니다. ISMS에 필요한 자원을 제공하고 ISMS에 기여할 사람을 지원하는 것도 충족해야 할 의무의 또 다른 예입니다.

또한 최고 경영진은 정보 보안에 따른 정책을 수립해야합니다. 이 정책은 문서화되어야하며 조직 내에서 이해 당사자에게 전달되어야합니다.

ISO 27001 표준의 요구 사항을 충족하고보고하려면 역할과 책임도 할당되어야합니다. 정보 보안 구현에 대한 최고 경영진의 관점, ISO 27001 및 ISO 22301의 최고 경영진의 역할 및 책임, 그리고 무엇을해야합니까? 문서에서 ISO 27001의 최고 경영진에 대해 자세히 알아보십시오. ISO 27001에 따라 정보 보안 정책을 작성 하시겠습니까?

6 절 : 계획

ISMS 환경에서의 계획은 항상 위험과 기회를 고려해야합니다. 정보 보안 위험 평가는 신뢰할 수있는 건전한 기반을 제공합니다. 따라서 정보 보안 목표는 위험 평가를 기반으로해야합니다. 이러한 목표는 회사의 전체 목표와 일치해야합니다. 또한 회사 내에서 목표를 홍보해야합니다. 그들은 회사 내부의 모든 사람을 위해 일하고 회사와 연계 된 보안 목표를 제공합니다. 위험 평가 및 보안 목표에서 부록 A에 나열된 제어를 기반으로 위험 처리 계획이 도출됩니다.

위험과 기회를 더 잘 이해하려면 ISO 27001 위험 평가 기사를 읽어보십시오. & 치료 – 6 가지 기본 단계. ISO 27001 제어 목표 문서에서 제어 목표에 대해 자세히 알아보십시오. 이것이 중요한 이유는 무엇입니까? 회사의 방향에 대한 자세한 내용은 ISO 27001에 따라 정보 보안을 회사의 전략적 방향에 맞추기 문서를 참조하십시오.

7 절 : 지원

리소스, 직원의 역량, 인식 및 의사 소통은 원인을 지원하는 주요 문제입니다. 또 다른 요구 사항은 ISO 27001에 따라 정보를 문서화하는 것입니다. 정보는 문서화, 생성 및 업데이트되고 관리되어야합니다. ISMS의 성공을 지원하려면 적절한 문서 세트를 유지해야합니다.

교육, 인식 및 커뮤니케이션에 대한 자세한 내용은 ISO 27001 및 ISO 22301에 대한 교육 수행 방법 & 및 이에 따른 커뮤니케이션 계획 작성 방법 기사를 참조하십시오. 문서 관리에 대한 자세한 내용은 ISO 27001 문서 관리 & BS 25999-2에서 확인하세요.

8 절 : 운영

프로세스는 정보 보안을 구현하는 데 필수적입니다. 이러한 프로세스는 계획, 구현 및 제어되어야합니다. 앞서 배운 바와 같이 최고 경영진의 마음에 있어야하는 위험 평가 및 처리를 실행해야합니다.

ISO 27001 위험 평가 : 방법 문서에서 위험 평가 및 처리에 대해 자세히 알아보세요. 자산, 위협 및 취약성을 일치시키고 ISO 27001 위험 분석의 결과 및 가능성을 평가하는 방법과 ISO 27001 : 2013 위험 평가 및 처리 프로세스의 무료 다이어그램을 참조하십시오.

9 절 : 성능 평가

h2>

ISO 27001 표준의 요구 사항은 정보 보안 관리 시스템의 모니터링, 측정, 분석 및 평가를 기대합니다. 부서 자체가 업무를 확인해야 할뿐만 아니라 내부 감사도 수행해야합니다. 최고 경영진은 일정 간격으로 조직의 ISMS를 검토해야합니다.

ISO 27001 ISMS의 핵심 성과 지표 및 ISO에서 모니터링 및 측정을 수행하는 방법 문서에서 성능, 모니터링 및 측정에 대해 자세히 알아보세요. 27001.

10 절 : 개선

개선은 평가에 대한 후속 조치입니다. 부적합 사항은 조치를 취하고 해당되는 경우 원인을 제거하여 해결해야합니다. 더욱이 PDCA (Plan-Do-Check-Act)주기가 더 이상 필수가 아니더라도 지속적인 개선 프로세스를 구현해야합니다 (이에 대한 자세한 내용은 새로운 ISO 표준에서 PDCA주기가 제거 되었습니까? PDCA주기는 견고한 구조를 제공하고 ISO 27001의 요구 사항을 충족하므로 종종 권장됩니다.

ISO 27001의 개선에 대한 자세한 내용은 성숙도 모델 사용을 통한 지속적인 개선 달성 문서를 참조하세요.

부록 A (규범) 참조 제어 목표 및 제어

부록 A는 참조 제어 목표 및 제어의 유용한 목록입니다. A.5부터 A.18 준수를 통한 정보 보안 정책, 이 목록은 ISO 27001 요구 사항을 충족하고 ISMS의 구조를 도출 할 수있는 제어를 제공합니다. 위에서 설명한대로 위험 평가를 통해 식별 된 제어를 고려하고 구현해야합니다.

For 부록 A에 대한 자세한 내용은 ISO에 대한 빠른 가이드 문서를 참조하십시오. Annex A의 27001 컨트롤 및 ISO 27001 Annex A 컨트롤에 대한 문서 구성 방법

ISMS 요구 사항

구현 및 표준 자체는 처음에는 어렵거나 복잡해 보일 수 있습니다. , 일부 요구 사항이 논리적으로 들리지 않을 수 있기 때문입니다. 그러나 이에 대한 심층 학습을 통해 상황이 발생하고 ISO 27001 구현이 보안에 가져다주는 포괄적 인 것을 인식하기 시작합니다. 규정을 준수하면 곧 표준이 구조화 된 가이드 라인을 제공한다는 사실을 깨닫고 구현에 대한 결정에 만족할 것입니다.

ISO 27001 요구 사항에 대해 자세히 알아 보려면이 무료 조항 별을 다운로드하십시오. -ISO 27001 조항 설명.

여기에서 ISO 27001 문서가 얼마나 자세해야하는지 알 수 있습니다.

스타트 업 세계의 의사 결정권자 용 , ISO 27001에 투자해야하는 이유와 구현이 회사에 어떻게 도움을 줄 수 있는지 읽어 보는 것이 좋습니다.

저자 정보 :

Andrea Giesler는 내부 감사 자입니다. , 독일 쾰른에 본사를두고 있으며 ISO 27001, ISO 9001 및 EU GDPR 분야를 전문으로합니다. 그녀는 공인 정보 시스템 감사 자 (CISA)이며 ISACA의 위험 및 정보 시스템 통제 (CRISC) 인증을 받았습니다.