- 조직 상황에 대한
이해
- 이해관계자들의
요구사항과 기대치에 대한 이해
- 정보보안경영시스템의
범위 결정
- 정보보안시스템
2. 리더십
- 리더십과 의지
- 방침
- 조직의 역할, 책임 및
권한
3. 기획
- 위기대응 조치
- 정보보안 목적 및
달성을 위한 기획
4. 지원
- 자원
- 적격성
- 인식
- 의사소통
- 문서화된 정보
5. 운영
- 운영 기획 및 관리
- 정보보안 리스크 평가
- 정보보안 리스크 처치
6. 성과 평가
- 모니터링, 측정, 분석 및 평가
- 내부감사
- 경영검토
7. 개선
- 지속적 개선
- 부적합 및 시정조치
부속서 A. 정보보안을 위한 보안조치
목록
ISMS(ISO/IEC 27001) 중요 용어
정보(Information)
다른 중요자산과 같은 자산으로 조직에 가치를 제공하고
적절하게 보호될 필요성이 지속적으로 요구되는 것
기밀성(Confidentiality)
정보는 인가된 자만이 접근할 수 있다는 것을 보장
무결성(Integrity)
정보와 처리방법의 정확성과 완전성에 대한보호
가용성(Availability)
요구시 인가된 사용자가 정보와 관련된 자산에 접근할 수 있다는
것을 보장
취약성(Vulnerability)
약점/구멍, 취약성은 그 자체로는 해롭지 않으나 자산에 영향을
미치는 위협을 허용할 수 있다.
보호위험(SecurityRisk)
하나의 자산 또는 정보자산 그룹에 손상을 유발할 수 있는
취약성을 발생시키는 잠재적 위협요소
위험평가(RiskAssessment)
자산에 대한위협, 취약성과 조직에 영향을 식별하여, 위험의
정도를 결정하는 활동
위험관리(RiskManagement)
적절한 비용으로 정보시스템에 영향을 미칠 수 있는 보호위험을
식별, 관리 및 최소화하는 과정
ISMS(ISO/IEC 27001) 필요성
사회 각 분야 정보시스템에 의한 정보처리 의존도
증가
정보시스템의 보호대책 미비로 인한 손실이 증가
추세
정보시스템의 발전 및 개방형 시스템 상호접속
등의 환경변화로 인하여 필요성이 더욱 고조
전자적 침해행위의 고도화·다양화로 각종
정보위협에 효과적으로 대응하기가 곤란
정보보호에 대한 이용자 요구사항(user
requirement)의 증가
정보보호관리에 관한 국제표준 제정 등 정보보호
국제표준이 향후 국제거래에 있어서 [보이지 않는
기술장벽]으로 작용할 소지가 있음
ISMS(ISO/IEC 27001) 개요
조직의 소중한 정보를 위협하는 요소들을
파악하고 관리하여 이를 최소화 할 목적으로
정보보안경영시스템의 개발, 수립 및 문서화에
대한 요구사항들을 정하여 규격으로서, 영국
통상산업부 (Department of Trade and Industry)
가 1995년 영국표준으로 제정한 이래 1999년
개정을 거쳐 오늘날 이르고 있으며 지난해에는
국제표준화기구 (ISO) 에 의해 국제표준으로도
제정된 바 있는 정보보안분야의 가장 권위 있는
국제인증규격이다.
ISMS(ISO/IEC 27001) 구성
