ISO/IEC 27001

ISO/IEC 27001
상태	지원 중
최초 출판일	2005년 10월
마지막 버전	2022년
조직	국제 표준화 기구; 국제전기기술위원회;
위원회	ISO/IEC JTC 1/SC 27
분야	정보 보안
웹사이트	www.iso.org/standard/27001

ISO/IEC 27001은 정보 보안 표준이다. 이는 정보 보안 관리 시스템 (ISMS)을 구축, 구현, 유지보수 및 지속적으로 개선하기 위한 요구사항을 명시한다.^[1] 표준의 요구사항을 충족하는 ISMS를 갖춘 조직은 공인된 인증 기관을 통해 성공적인 감사 완료 후 인증을 받을 수 있다. 또한 이 표준에는 수많은 인정된 국가별 변형이 있다.

이 표준은 원래 2005년에 국제 표준화 기구(ISO)와 국제전기기술위원회(IEC)가 공동으로 발행했으며,^[2] 2013년과 2022년에 개정되었다.^[3]^[4]

한국에서는 한국품질재단(KFQ)과 ITS인증원 같은 인증기관이 ISO/IEC 27001 인증을 제공하고 있다.^{[출처 필요]}

근거

대부분의 조직에는 여러 보안 통제가 있다. 그러나 정보 보안 관리 시스템(ISMS)이 없으면 통제는 특정 상황에 대한 지점 솔루션으로 또는 단순히 관례에 따라 구현되는 경향이 있어 다소 무질서하고 단절된다. 일반적으로 운영되는 보안 통제는 정보기술(IT) 또는 데이터 보안의 특정 측면을 다루며, 비IT 정보 자산(예: 서류 및 독점 지식)은 전반적으로 덜 보호된다. 더욱이, 사업 연속성 계획 및 물리적 보안은 IT 또는 정보 보안과 상당히 독립적으로 관리될 수 있으며, 인적자원 관행은 조직 전체에서 정보 보안 역할 및 책임을 정의하고 할당할 필요성을 거의 언급하지 않을 수 있다.

ISO/IEC 27001은 경영진에게 다음을 요구한다.

위협, 취약성 및 영향을 고려하여 조직의 정보 보안 위험을 체계적으로 검토한다.
수용할 수 없는 것으로 간주되는 위험을 해결하기 위해 일관되고 포괄적인 정보 보안 통제 및 기타 위험 처리 형태(예: 위험 회피 또는 위험 전가)를 설계하고 구현한다.
정보 보안 통제가 지속적으로 조직의 정보 보안 요구를 충족하도록 보장하기 위한 포괄적인 관리 프로세스를 채택한다.

ISO/IEC 27001 인증의 일부로 어떤 통제가 테스트될지는 인증 감사관에 따라 달라진다. 이는 조직이 ISMS 범위 내에 있다고 간주한 모든 통제를 포함할 수 있으며, 이 테스트는 통제가 구현되었고 효과적으로 작동하고 있음을 테스트하는 데 필요하다고 감사관이 판단하는 깊이나 범위에 따라 달라질 수 있다.

경영진은 인증 목적을 위한 ISMS의 범위를 결정하며, 이를 단일 사업부 또는 위치로 제한할 수 있다. ISO/IEC 27001 인증서는 범위 내 영역 외의 조직의 나머지 부분이 정보 보안 관리에 대한 적절한 접근 방식을 가지고 있음을 반드시 의미하는 것은 아니다.

ISO/IEC 27000 표준군의 다른 표준은 ISMS 설계, 구현 및 운영의 특정 측면, 예를 들어 정보 보안 위험 관리(ISO/IEC 27005)에 대한 추가 지침을 제공한다.

내용

이 표준에는 다음 챕터가 포함되어 있다. 4장부터 10장까지는 ISMS 인증을 위해 구현되어야 한다.

범위
규범적 참조
용어 및 정의
조직의 맥락
1. 조직 및 맥락 이해
2. 이해관계자의 요구와 기대 이해
3. 정보 보안 관리 시스템 범위 결정
4. 정보 보안 관리 시스템
리더십
1. 리더십 및 약속
2. 정책
3. 조직의 역할, 책임 및 권한
계획
1. 위험 및 기회 해결을 위한 조치
2. 정보 보안 목표 및 달성을 위한 계획
지원
1. 자원
2. 역량
3. 인식
4. 의사소통
5. 문서화된 정보
운영
1. 운영 계획 및 통제
2. 정보 보안 위험 평가
3. 정보 보안 위험 처리
성과 평가
1. 모니터링, 측정, 분석 및 평가
2. 내부 감사
3. 경영 검토
개선
1. 지속적인 개선
2. 부적합 및 시정 조치

역사

BS 7799는 원래 1995년에 BSI 그룹^[5]에서 발행한 표준이다. 이 표준은 영국 정부의 무역 산업부(DTI)에서 작성했으며 여러 부분으로 구성되었다.^[6]

정보 보안 관리를 위한 모범 사례를 담은 첫 번째 부분은 1998년에 개정되었다. 전 세계 표준 기관에서 오랜 논의 끝에 2000년에 ISO/IEC 17799, "정보 기술 - 정보 보안 관리를 위한 실천 규범"으로 ISO에 채택되었다. ISO/IEC 17799는 2005년 6월에 개정되었고, 2007년 7월에 ISO/IEC 27002로 ISO 27000 시리즈 표준에 최종적으로 통합되었다.

BS7799의 두 번째 부분은 1999년에 BSI에 의해 처음 발행되었으며, "정보 보안 관리 시스템 - 사용 지침 사양"이라는 제목으로 BS 7799 Part 2로 알려졌다. BS 7799-2는 BS 7799-2에 명시된 정보 보안 관리 구조 및 통제를 참조하여 정보 보안 관리 시스템(ISMS)을 구현하는 방법에 중점을 두었다. 이는 나중에 ISO/IEC 27001:2005가 되었다. BS 7799 Part 2는 2005년 11월에 ISO에 의해 ISO/IEC 27001로 채택되었다.

BS 7799 Part 3은 위험 분석 및 관리를 다루며 2005년에 발행되었다. 이는 ISO/IEC 27001:2005와 일치한다.

ISO/IEC 27001과 관련하여 BS 표준에 대한 언급이나 사용은 거의 없다.

원칙

ISO/IEC 27001의 기초는 몇 가지 핵심 원칙에 기반을 둔다.

ISO/IEC 27001은 정보 보안 위험을 식별하고 평가하는 것의 중요성을 강조한다. 조직은 잠재적 위협을 식별하고, 그 영향을 평가하며, 적절한 완화 전략을 개발하기 위한 위험관리 프로세스를 구현해야 한다.^[7]

표준 ISO/IEC 27001:2022의 최신 개정판은 부록 A에 4개 영역으로 분류된 포괄적인 보안 통제 집합을 제시한다. 이러한 통제는 접근 통제, 암호학, 물리적 보안, 사건 관리 등 정보 보안의 다양한 측면을 다룬다.

ISO/IEC 27001은 정보 보안 관행에서 지속적인 개선 문화를 장려한다. 정기적인 모니터링, 성과 평가 및 주기적인 검토는 조직이 진화하는 위협에 적응하고 ISMS 효과를 향상하는 데 도움이 된다.^[8]^[9]^[10]

인증

ISMS는 전 세계 여러 인증 기관에 의해 ISO/IEC 27001 표준을 준수한다는 인증을 받을 수 있다.^[11] 공인된 인증 기관에 의해 ISO/IEC 27001의 인정된 국가별 변형(예: 일본 버전인 JIS Q 27001)에 대한 인증은 ISO/IEC 27001 자체에 대한 인증과 기능적으로 동일하다.

일부 국가에서는 경영 시스템의 지정된 표준 적합성을 확인하는 기관을 "인증 기관"이라고 부르는 반면, 다른 국가에서는 일반적으로 "등록 기관", "평가 및 등록 기관", "인증/등록 기관", 때로는 "등록처"라고 부른다.

ISO/IEC 27001 인증은 다른 ISO 경영 시스템 인증과 마찬가지로 일반적으로 ISO/IEC 17021^[12] 및 ISO/IEC 27006^[13] 표준에 정의된 3단계 외부 감사 프로세스를 포함한다.

1단계

ISMS에 대한 예비 검토. 조직의 정보 보안 정책, 적용성 선언(SoA) 및 위험 처리 계획(RTP)과 같은 주요 문서의 존재 및 완전성에 대한 확인을 포함한다. 감사관은 일부 직원과 간략한 회의를 통해 표준 요구사항에 대한 지식 수준이 허용 가능한지 검토할 것이다. 이들은 조직이 2단계 감사를 받을 준비가 되었는지 결정할 것이다. 또한 2단계 감사 전에 발생할 수 있는 문제나 특정 상황에 대해 논의하고, 주제 및 필요한 인원을 포함한 감사 계획을 정의할 것이다.

2단계

ISO/IEC 27001에 명시된 요구사항에 대해 ISMS를 독립적으로 테스트하는 보다 상세하고 공식적인 준수 감사. 감사관은 경영 시스템이 적절히 설계되고 구현되었으며 실제로 운영 중임을 확인하는 증거(예: 보안 위원회 또는 유사한 관리 기관이 ISMS를 감독하기 위해 정기적으로 회의를 개최하는지 확인)를 찾을 것이다. 인증 감사는 일반적으로 ISO/IEC 27001 선임 감사관이 수행한다. 이 단계를 통과하면 ISMS가 ISO/IEC 27001을 준수한다고 인증된다.

지속적

조직이 표준을 계속 준수하는지 확인하기 위한 후속 검토 또는 감사. 인증 유지보수에는 ISMS가 지정된 대로 의도된 대로 계속 작동하는지 확인하기 위한 주기적인 재평가 감사가 필요하다. 이는 최소한 매년 이루어져야 하지만 (경영진과의 합의에 따라) 특히 ISMS가 아직 성숙 단계에 있는 동안에는 더 자주 수행되는 경우가 많다.

같이 보기

각주

↑ “ISO/IEC 27001:2013”. 《ISO》. 2020년 7월 9일에 확인함.
↑ “ISO/IEC 27001 International Information Security Standard published”. 《bsigroup.com》. BSI. 2020년 8월 21일에 확인함.
↑ Bird, Katie (2013년 8월 14일). “NEW VERSION OF ISO/IEC 27001 TO BETTER TACKLE IT SECURITY RISKS”. ISO. 2020년 8월 21일에 확인함.
↑ ISO/IEC. “ISO/IEC 27001:2022” (영어). 《ISO.org》. 2022년 11월 29일에 확인함.
↑ “Facts and figures”. 《bsigroup.com》. 2012년 10월 20일에 원본 문서에서 보존된 문서. 2018년 1월 10일에 확인함.
↑ Secorvo (2024). 〈6 ISO 27001 und ISO 27002〉 4판. 《Informationssicherheit und Datenschutz: Handbuch Für Praktiker und Begleitbuch Zum T.I.S.P.》 (PDF). Heidelberg: dpunkt.verlag. ISBN 978-3-98890-010-4.
↑ “ISO/IEC 27001:2022”. 《ISO - International Organization for Standardization》. 2022. 2025년 2월 26일에 확인함.
↑ “The Ultimate Guide to ISO 27001”. 《ISMS》. 2025년 12월 19일. 2025년 2월 26일에 확인함.
↑ “ISO 27001 Certification - Information Security Management”. 《ISO Certifications Consultancy》. 2025년 2월 26일에 확인함.
↑ “ISO/IEC 27001:2022”. 《ISO - International Organization for Standardization》. 2022. 2025년 2월 26일에 확인함.
↑ Ferreira, Lindemberg Naffah; da Silva Constante, Silvana Maria; de Moraes Zebral, Alessandro Marcio; Braga, Rogerio Zupo; Alvarenga, Helenice; Ferreira, Soraya Naffah (October 2013). 〈ISO 27001 certification process of Electronic Invoice in the State of Minas Gerais〉. 《2013 47th International Carnahan Conference on Security Technology (ICCST)》. Medellin: IEEE. 1–4쪽. doi:10.1109/CCST.2013.6922072. ISBN 978-1-4799-0889-9. S2CID 17485185.
↑ ISO/IEC 17021.
↑ ISO/IEC 27006.

외부 링크

ISO/IEC 27001 - Information Security Management Systems

[1] “ISO/IEC 27001:2013”. 《ISO》. 2020년 7월 9일에 확인함.

[2] “ISO/IEC 27001 International Information Security Standard published”. 《bsigroup.com》. BSI. 2020년 8월 21일에 확인함.

[3] Bird, Katie (2013년 8월 14일). “NEW VERSION OF ISO/IEC 27001 TO BETTER TACKLE IT SECURITY RISKS”. ISO. 2020년 8월 21일에 확인함.

[4] ISO/IEC. “ISO/IEC 27001:2022” (영어). 《ISO.org》. 2022년 11월 29일에 확인함.

[5] “Facts and figures”. 《bsigroup.com》. 2012년 10월 20일에 원본 문서에서 보존된 문서. 2018년 1월 10일에 확인함.

[6] Secorvo (2024). 〈6 ISO 27001 und ISO 27002〉 4판. 《Informationssicherheit und Datenschutz: Handbuch Für Praktiker und Begleitbuch Zum T.I.S.P.》 (PDF). Heidelberg: dpunkt.verlag. ISBN 978-3-98890-010-4.

[7] “ISO/IEC 27001:2022”. 《ISO - International Organization for Standardization》. 2022. 2025년 2월 26일에 확인함.

[8] “The Ultimate Guide to ISO 27001”. 《ISMS》. 2025년 12월 19일. 2025년 2월 26일에 확인함.

[9] “ISO 27001 Certification - Information Security Management”. 《ISO Certifications Consultancy》. 2025년 2월 26일에 확인함.

[10] “ISO/IEC 27001:2022”. 《ISO - International Organization for Standardization》. 2022. 2025년 2월 26일에 확인함.

[11] Ferreira, Lindemberg Naffah; da Silva Constante, Silvana Maria; de Moraes Zebral, Alessandro Marcio; Braga, Rogerio Zupo; Alvarenga, Helenice; Ferreira, Soraya Naffah (October 2013). 〈ISO 27001 certification process of Electronic Invoice in the State of Minas Gerais〉. 《2013 47th International Carnahan Conference on Security Technology (ICCST)》. Medellin: IEEE. 1–4쪽. doi:10.1109/CCST.2013.6922072. ISBN 978-1-4799-0889-9. S2CID 17485185.

[12] ISO/IEC 17021.

[13] ISO/IEC 27006.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

v t e ISO 표준
목록: ISO 표준 목록 ISO 로마자 표기법 목록 IEC 표준 목록 분류: 분류:ISO 표준 분류:OSI 프로토콜
1 ~ 9999	1 2 3 4 5 6 7 9 16 31 -0 -1 -2 -3 -4 -5 -6 -7 -8 -9 -10 -11 -12 -13 128 216 217 226 228 233 259 269 302 306 428 518 519 639 -1 -2 -3 -5 -6 646 690 732 764 843 898 965 1000 1004 1007 1073-1 1413 1538 1745 1989 2014 2015 2022 2047 2108 2145 2146 2240 2281 2709 2711 2788 2848 2852 3029 3103 3166 -1 -2 -3 3297 3307 3602 3864 3901 3977 4031 4157 4217 4909 5218 5428 5775 5776 5800 5964 6166 6344 6346 6385 6425 6429 6438 6523 6709 7001 7002 7098 7185 7200 7498 7736 7810 7811 7812 7813 7816 8000 8178 8217 8571 8583 8601 8632 8652 8691 8807 8820-5 8859 -1 -2 -3 -4 -5 -6 -7 -8 -9 -10 -11 -12 -13 -14 -15 -16 8879 9000 9075 9126 9241 9293 9362 9407 9506 9529 9564 9594 9660 9897 9945 9984 9985 9995
10000 ~ 19999	10005 10006 10007 10116 10118-3 10160 10161 10165 10179 10206 10218 10303 -11 -21 -22 -28 -238 10383 10487 10585 10589 10646 10664 10746 10861 10957 10962 10967 11073 11170 11179 11404 11544 11783 11784 11785 11801 11898 11940 11941 11941 (TR) 11992 12006 12182:1998 12207 12234-2 13211 -1 -2 13216 13250 13399 13406-2 13407 13450 13485 13490 13567 13568 13584 13616 14000 14031 14224 14289 14396 14443 14496 -10 1-14 14644 -1 -2 -3 -4 -5 -6 -7 -8 -9 14649 14651 14698 14698-2 14750 14882 14971 15022 15189 15288 15291 15292 15408 15444 15445 15438 15504 15511 15686 15693 15706 15706-2 15707 15897 15919 15924 15926 15926 WIP 15930 16023 16262 16750 17024 17025 17369 17799 18000 18004 18014 18245 18629 18916 19005 19011 19092-1 19092-2 19114 19115 19125 19136 19439 19501:2005 19752 19757 19770 19775-1 19794-5
20000+	20000 20022 21000 21047 21827:2002 22000 23008-2 23270 23360 24613 24707 25178 26000 26300 26324 27000 관련 27000 27001 27002 27003 27004 27005 27006 27007 27729 27799 28000 29110 29199-2 29500 31000 32000 38500 42010 80000
같이 보기: "ISO"로 시작하는 전체 문서

근거

내용

역사

원칙

인증

1단계

2단계

지속적

관련 표준

같이 보기

각주

외부 링크