ISO/IEC 27001 쉽게 정리
1) 한눈에 보는 ISO/IEC 27001
| 구분 | 내용 |
|---|---|
| 한 줄 정의 | 조직이 정보보호를 체계적으로 관리하기 위한 ISMS(정보보호 관리체계) 국제 표준 |
| 핵심 목표 | 정보자산을 기밀성·무결성·가용성(CIA) 관점에서 관리/보호 |
| 적용 대상 | 기업/기관/조직(산업 무관), IT 뿐 아니라 사람·프로세스·기술 전체 |
| 인증 의미 | “보안을 잘한다”가 아니라 보안을 관리하는 체계가 갖춰졌다를 외부 심사로 입증 |
| 대표 구성 | 관리체계 요구사항(프로세스) + 통제항목(Controls) |
| 운영 방식 | PDCA(Plan-Do-Check-Act) 기반의 지속 개선(지속적 관리가 핵심) |
2) ISO/IEC 27001이 요구하는 “관리체계(프로세스)” 핵심
| 단계 | 무엇을 하나? | 쉬운 예시 |
|---|---|---|
| Plan (계획) | 정보보호 정책, 범위, 위험평가, 목표 수립 | “우리 회사는 고객DB가 핵심이니 우선 보호하자” |
| Do (실행) | 위험처리, 통제 적용, 교육/운영 | 접근통제 적용, 백업, 보안교육 시행 |
| Check (점검) | 모니터링, 내부심사, 성과 측정 | 로그 점검, 내부 감사로 미준수 찾기 |
| Act (개선) | 시정조치, 재발방지, 개선 | 사고 원인 반영해 정책/통제 강화 |
3) 통제(Controls)는 무엇? (Annex A 감각 잡기)
ISO/IEC 27001은 위험평가 결과에 따라 필요한 통제를 선택해 적용하고, 그 근거를 문서화합니다(“왜 적용/미적용인지”).
| 통제 영역(예시) | 의미 | 쉬운 예 |
|---|---|---|
| 접근통제 | 권한 있는 사람만 접근 | 계정 권한분리, MFA |
| 자산관리 | 정보자산 목록·분류 | “고객DB=중요” 라벨링 |
| 운영보안 | 운영 중 보안 절차 | 백업, 패치, 로그관리 |
| 물리보안 | 출입/장비 보호 | 전산실 출입통제 |
| 사고대응 | 사고 처리 체계 | 침해사고 보고/대응 절차 |
| 공급망/외주 | 협력사 보안관리 | 외주 개발 보안 요구사항 |
포인트: Annex A는 “체크리스트” 느낌이지만, 27001은 위험 기반(Risk-based) 으로 “우리 조직에 맞게 선택/설명”하는 게 핵심이에요.
4) 시험/면접에서 자주 나오는 표현 정리
| 표현 | 뜻(쉽게) |
|---|---|
| ISMS | 정보보호 관리체계(프로세스/운영 체계) |
| Risk Assessment | 자산-위협-취약점-영향도로 위험을 평가 |
| Risk Treatment | 위험을 줄이기 위한 처리(통제 적용 등) |
| Statement of Applicability(SoA) | 통제항목을 적용/미적용한 이유를 정리한 문서(핵심 산출물) |
| 내부심사 | 조직 내부에서 요구사항 준수 여부 점검 |
| 지속적 개선 | 한 번 구축하고 끝이 아니라 계속 개선 |
5) 한 줄 요약
ISO/IEC 27001은 정보보호를 “기술”이 아니라 “관리체계(ISMS)”로 운영해, 위험 기반으로 통제를 적용하고 지속적으로 개선하는 국제 표준이다.
좋아요! 요청하신 대로 (1) SoA 예시 표랑 (2) ISO/IEC 27001 vs ISMS/ISMS-P 비교 표를 블로그용으로 깔끔하게 만들어드릴게요.
1) SoA(Statement of Applicability) 예시
SoA는 “통제항목을 적용/미적용한 이유와 상태”를 정리한 문서예요. (심사에서 매우 중요)
| 통제영역(예시) | 통제항목(예시) | 적용 여부 | 적용 이유(위험 기반) | 구현 상태 | 증빙(예시) |
|---|---|---|---|---|---|
| 접근통제 | 계정/권한 관리 | 적용 | 내부 시스템 무단접근 위험 높음 | 운영중 | 권한부여 기록, IAM 정책 |
| 접근통제 | MFA 적용 | 적용 | 계정 탈취 위험(피싱) 대응 | 부분 적용 | MFA 설정 화면, 적용 대상 목록 |
| 암호화 | 저장 데이터 암호화 | 적용 | 고객정보 유출 시 영향 큼 | 운영중 | DB 암호화 설정, 키관리 절차 |
| 운영보안 | 로그 수집/모니터링 | 적용 | 침해 탐지 및 추적 필요 | 운영중 | SIEM 대시보드, 로그 정책 |
| 물리보안 | 전산실 출입통제 | 적용 | 서버/네트워크 장비 물리 위협 | 운영중 | 출입 기록, CCTV 점검표 |
| 공급망 | 협력사 보안요구 | 적용 | 외주/협력사 통한 사고 위험 | 운영중 | 계약서 보안조항, 평가표 |
| (예: 미적용) | (예: 특정 기술 통제) | 미적용 | 해당 자산/서비스 미운영(범위外) | 해당없음 | 범위 정의서 |
SoA 작성 팁(시험+실무 공통)
-
“그냥 적용함”이 아니라 위험평가 결과와 연결해서 이유를 쓰기
-
“부분 적용”이면 언제까지 / 어떤 범위까지 할지 개선계획 남기기
2) ISO/IEC 27001 vs ISMS vs ISMS-P 비교 표
| 구분 | ISO/IEC 27001 | ISMS(국내) | ISMS-P(국내) |
|---|---|---|---|
| 성격 | 국제 표준 ISMS | 국내 법/고시 기반 관리체계 인증 | ISMS + 개인정보보호(Privacy) 강화 |
| 핵심 초점 | 위험 기반 정보보호 관리체계 + 통제 적용 | 국내 요구사항 중심의 관리체계 | 개인정보 처리 전 과정 통제 포함 |
| 적용 대상 | 산업/국가 무관(글로벌) | 국내 주요 정보통신서비스 제공자 등 | 개인정보 대량 처리/주요 사업자 등 |
| 통제 구성 느낌 | Annex A 통제 “선택 적용 + SoA” | 요구사항/통제 “준수 중심” | 개인정보 항목(수집~파기)까지 폭넓음 |
| 준비 포인트 | 위험평가/SoA/지속개선(PDCA) | 관리체계 문서화/운영 증빙 | ISMS + 개인정보보호 체계/증빙 |
| 활용 | 글로벌 신뢰(해외 고객/파트너) | 국내 컴플라이언스/입찰 | 국내 개인정보 규제 대응에 강점 |
한 줄 감각:
27001 = 국제 표준(위험 기반 + SoA) / ISMS = 국내 정보보호 관리체계 / ISMS-P = ISMS + 개인정보보호까지 확장
아래는 ISO/IEC 27001(ISMS) 심사 준비 체크리스트 15개를 (문서 + 운영증빙 중심)
ISO/IEC 27001 심사 준비 체크리스트 (문서/증빙 15)
A. “관리체계(프로세스)” 핵심 문서 8개
| 번호 | 항목 | 준비 포인트(증빙 예) |
|---|---|---|
| 1 | ISMS 범위(Scope) 정의서 | 대상 조직/시스템/업무 범위, 제외 사유 명확 |
| 2 | 정보보호 정책/목표 | 최고경영자 승인, 전사 공지/배포 기록 |
| 3 | 자산 식별/자산 목록 | 중요도/소유자/위치/분류 기준 포함 |
| 4 | 위험평가(RA) 보고서 | 자산-위협-취약점-영향/가능성 산정 근거 |
| 5 | 위험처리계획(RTP) | 회피/감소/전가/수용 결정과 일정 |
| 6 | SoA(적용성 선언서) | 통제 적용/미적용 사유, 상태(운영/부분/계획) |
| 7 | 문서/기록 관리 절차 | 버전/승인/배포/폐기 규칙 + 실제 이력 |
| 8 | 내부심사 & 경영검토 | 내부심사 보고서, 시정조치, 경영검토 회의록 |
B. “운영 통제” 핵심 증빙 7개
| 번호 | 항목 | 준비 포인트(증빙 예) |
|---|---|---|
| 9 | 접근통제/계정관리 | 계정 발급·변경·삭제 기록, 권한검토 주기 |
| 10 | 로그관리/모니터링 | 수집 범위, 보관기간, 점검 리포트(SIEM/서버) |
| 11 | 취약점/패치 관리 | 정기 점검 결과, 조치 이력, 예외 승인 문서 |
| 12 | 백업/복구(DR) 절차 및 테스트 | 백업 성공 로그, 복구 리허설 결과 |
| 13 | 보안사고 대응 절차/훈련 | 사고 대응 시나리오, 모의훈련 기록 |
| 14 | 교육/인식제고 | 교육자료, 참석자 명단/수료 기록 |
| 15 | 협력사(공급망) 보안 | 계약 보안조항, 협력사 평가/점검 기록 |
인증 심사 전 “3분 최종 점검” (자주 걸리는 포인트)
-
문서만 있고 운영 기록이 없음 → “실행(Do)” 증빙 부족
-
위험평가 ↔ SoA ↔ 위험처리계획이 서로 연결이 안 됨
-
“부분 적용” 항목은 "개선계획(담당/기한)"이 있어야 안전
-
로그/백업/패치 같은 운영은 최근 3개월 기록이 특히 중요
