• AOS
    • AOS Anti-Virus & Spyware
    • AOS Firewall
  • 보안 정보
    • 최신 보안위협 정보
    • 보안/바이러스 정보
    • 금주의 바이러스 Top5

간편하고 안전하게, AhnLab Online Security

보안/바이러스정보

보다 빠르고 정확하게 정보를 알려드립니다.

번호 568 날짜 2006-03-20
제목 ISO27001 소개
1. ISO27001이란?
ISO27001 이란 Information Security Management System Requirements(정보보호관리체계 요구사항)으로 정보보호관리체계에 대해 국제인증시 요구사항을 정의하고 있다.

정보보호관리체계에 대한 국제규격은 BS7799가 있었으며, Part1(실행지침)과 Part2(규격)으로 구성되어 있다. Part1은 2000년(ISO/IEC 17799)에, Part2는 2005년 11월(ISO27001)에 국제표준으로 등록되었으며, 정보보호관리체계에 대한 국제인증을 받기 위해서는 Part1의 실행지침에 따라 자체적인 체계를 수립하고 일정 기간 이행한 기록을 토대로 Part2 규격에 따라 심사를 받아야 한다.

정보보호관리체계의 표준화 과정은 아래와 같다.


2. ISO27001 통제항목
BS7799 규격에서 통제항목은 10도메인에 127개 통제항목으로 구성되어 있었으며, 국제표준으로 되면서 11개 도메인에 133개 통제항목으로 변경되었다.
가장 큰 변화는 "보안사고관리"에 대한 도메인을 추가하여 보안사고에 대한 관리의 중요성을 강조하고 있다. 또한 위험관리를 지속적으로 수행하기 위해 위험도가 높은 취약성에 대해 보호대책을 수립하고 이를 적용한 후 효율적으로 위험관리가 이루어지고 있는지 확인할 수 있는 측정지표를 개발하도록 요구하고 있다.
통제항목
개수
주요내용
5. 보안정책
2
정보보호에 대한 경영진의 방향성 및 지원을 제공함
6. 정보보안 조직
11
조직 내에서 정보보호를 관리하는데 활용함
7. 자산 관리
5
자산을 파악하고 이를 적절히 보호하는데 활용함
8. 인원 보안
9
인적 오류, 절도, 사기, 시설의 오용에 따른 위험을 저감함
9. 물리적 환경적 보안
13
사업장의 비 인가된 접근 및 방해요인을 예방함
10. 통신 및 운영 관리
32
정보 처리 시설의 정확하고 안전한 운영을 보장함
11. 접근 통제
25
정보에 대한 접근을 통제함
12. 정보시스템 취득, 개발, 유지보수
16
정보시스템 내에 보안이 수립되어 있음을 보장함
13. 보안 사고 관리
5
보안사고에 대한 대응 절차의 수립 및 이행을 보장함
14. 사업 연속성 관리
5
비즈니스 활동에 대한 방해요인에 대응하며 중대한 실패 또는 재난으로부터 중요한 비즈니스프로세스를 보호하기 위함
15. 준거성
10
o 형법과 민법, 법령, 규정 또는 계약 의무 및 보안 요구사항에 대한 위반을 피하기 위함
합계
133


3. 인증 절차

업무구분수행업무요구문서
인증준비단계현황분석인증범위 정의 및 정보보호관리체계를 기준으로 정보보호 현황분석인증범위정의서
정보보호현황분석보고서
위험평가인증범위 내 정보자산 목록작성
자산 중요도 평가
위협 및 취약성 평가
위험도 및 통제항목 산정
위험처리계획서 작성
자산목록
위험평가보고서
시스템취약점분석보고서
모의해킹보고서
위험처리계획서
정보보호체계구현정보보호관리체계에 따른 정책, 지침 수립
통제항목별 정보보호관리체계의 운영 현황의 문서화
정보보호정책 및 지침
적용성보고서
이행정보보호관리체계의 이행 및 감사내부감사보고서
인증심사적용성보고서, 정보보호정책 및 지침, 관련 이행기록 등에 대한 문서심사 실시
문서심사 결과에 대한 이행여부 검토를 위해 현장심사 실시
심사 결과 보고서 작성 및 결과 리뷰
인증서 교부
인증심사신청서

4. 인증 기업 현황

[2006년 1월 기준]

산업 분류
인증 기업 현황
획득수
금융
우리은행, LG카드, 삼성생명, 삼성화재, 국민은행, 대구은행, 부산은행,BC카드, 신한은행, 씨티은행, 교보생명, 동원증권, 증권예탁원,대한생명
14
제조
삼성전자(주) 반도체총괄, 삼성전자㈜ LCD총괄, 포스코 삼성전자㈜ - 미국 오스틴 반도체 사업장, 삼성전자㈜ - 중국 쑤저우 반도체 사업장 / 반도체 연구소
5
통신
데이콤, 프리즘커뮤니케이션, KTF, SKT
4
SI
현대정보기술, SK C&C, 오토에버시스템즈, 한화S&C
4
보안
에이쓰리시큐리티컨설팅, 안랩코코넛, 인젠
3
쇼핑
CJ홈쇼핑
1
연구소
LG화학 기술연구원, 포스코 기술연구소, 한국원자력연구소
3
공공기관
서울시청
1
회계법인
삼일회계법인
1
게임
그라비티
1
신용정보
한국개인신용
1



이전글 리니지 명의도용 보다 해킹이 더 무섭다
다음글 X.509란?
목록