국제 표준화기구 (ISO)는 다양한 분야에 대한 다양한 표준을 수집하고 관리하는 글로벌기구입니다. 오늘날 많은 산업이 인터넷과 디지털 네트워크에 의존하고있는 오늘날에는 ISO 표준의 기술 부분이 점점 더 강조되고 있습니다.
특히 ISO 27001 표준은 작동하도록 설계되었습니다. 조직의 정보 보안 관리 시스템 (ISMS)을위한 프레임 워크로 사용됩니다. 여기에는 데이터 제어 및 사용 방법과 관련된 모든 정책 및 프로세스가 포함됩니다. ISO 27001은 특정 도구, 솔루션 또는 방법을 요구하지 않고 대신 준수 체크리스트로 기능합니다. 이 기사에서는 ISO 27001 인증이 작동하는 방식과 이것이 조직에 가치를 제공하는 이유에 대해 자세히 설명합니다.
무료 에센셜 받기 미국 데이터 보호 규정 준수 및 규정 안내
- ISO 27001 인증을받는 방법
- ISO 27001 준수 표준
- ISO 27001 준수 감사 제어
- ISO 27001 준수 유지 방법
- ISO 27001 준수 FAQ + 리소스
ISO 27001 소개
ISO는 2005 년에 처음으로 표준 제품군을 발표 한 후 다양한 정책을 주기적으로 업데이트했습니다. ISO 27001의 경우 최신 주요 변경 사항이 2013 년에 도입되었습니다. ISO 27001의 소유권은 실제로 ISO와 주로 전자 시스템에 중점을 둔 스위스 조직인 IEC (International Electrotechnical Commission)간에 공유됩니다.
ISO 27001의 목표는 현대 조직이 정보와 데이터를 관리하는 방법에 대한 표준 프레임 워크를 제공하는 것입니다. 위험 관리는 ISO 27001의 핵심 부분으로 회사 또는 비영리 단체가 강점과 약점이 어디에 있는지 이해할 수 있도록합니다. ISO 성숙도는 데이터로 신뢰할 수있는 안전하고 신뢰할 수있는 조직의 신호입니다.
모든 규모의 기업은 사이버 보안의 중요성을 인식해야하지만 단순히 조직 내에 IT 보안 그룹을 설정하는 것은 아닙니다. 데이터 무결성을 보장하기에 충분합니다. ISMS는 보안과 관련된 모든 종단 간 프로세스를 다루기 때문에 특히 여러 위치 또는 국가에 분산 된 그룹의 경우 중요한 도구입니다.
ISMS (정보 보안 관리 시스템)가 있어야합니다. 위험 관리를 위해 조직 내에서 살아있는 문서 세트로. 수십 년 전, 기업들은 실제로 ISMS를 인쇄하여 직원들의 인식을 위해 배포했습니다. 오늘날 ISMS는 일반적으로 지식 관리 시스템과 같은 안전한 위치에 온라인으로 저장되어야합니다. 직원은 언제든지 ISMS를 참조 할 수 있어야하며 변경 사항이 구현되면 알림을 받아야합니다. ISO 27001 인증을 구할 때 ISMS는 조직의 규정 준수 수준을 결정하는 데 사용되는 주요 참조 자료입니다.
ISO 27001은 정보 보안을 개선하려는 모든 그룹 또는 단체를위한 가이드 라인 역할을 할 수 있습니다. 방법 또는 정책. 이 분야에서 최고가 되고자하는 조직에게는 ISO 27001 인증이 궁극적 인 목표입니다. 완전한 규정 준수는 ISMS가 랜섬웨어와 같은 위협으로부터 조직을 보호하기 위해 사이버 보안 영역의 모든 모범 사례를 따르는 것으로 간주되었음을 의미합니다.
의료 및 의료 등 매우 민감한 데이터 분류를 처리하는 특정 산업에서 금융 분야에서 ISO 27001 인증은 공급 업체 및 기타 제 3 자의 요구 사항입니다. Varonis Data Classification Engine과 같은 도구는 이러한 중요한 데이터 세트를 식별하는 데 도움이 될 수 있습니다. 그러나 비즈니스가 어떤 산업에 있든 ISO 27001 규정 준수를 보여주는 것은 큰 승리가 될 수 있습니다. 특히 인증은 귀사가 안전하고 신뢰할 수 있음을 고객, 정부 및 규제 기관에 증명합니다. 이를 통해 시장에서의 평판을 높이고 데이터 침해 또는 보안 사고로 인한 재정적 손해 또는 불이익을 방지 할 수 있습니다.
ISO 27001을 준수하지 않으면 어떻게됩니까? 조직이 이전에 인증을받은 경우 향후 감사에 실패하고 규정 준수 지정을 잃을 위험이 있습니다. 또한 특정 지역에서 비즈니스를 운영하지 못할 수도 있습니다.
ISO 27001 인증 취득 방법
ISO 27001 인증을받는 것은 일반적으로 내부 및 외부 이해 관계자의 상당한 참여가 필요한 다년 과정입니다. 체크리스트를 작성하고 승인을 위해 제출하는 것만 큼 간단하지 않습니다. 인증 신청을 고려하기 전에 ISMS가 완전히 성숙하고 잠재적 인 모든 기술 위험 영역을 다루고 있는지 확인해야합니다.
ISO 27001 인증 프로세스는 일반적으로 세 단계로 나뉩니다.
- 조직은 인증 기관을 고용하여 ISMS에 대한 기본 검토를 수행하여 주요 문서 형식
- 인증 기관은 ISO 27001의 개별 구성 요소가 조직의 ISMS에 대해 확인되는보다 심층적 인 감사를 수행합니다. 정책과 절차가 적절하게 준수되고 있다는 증거를 제시해야합니다. 선임 감사관은 인증 획득 여부를 결정할 책임이 있습니다.
- 인증 기관과 조직간에 후속 감사가 예약되어 준수 여부를 확인합니다.
ISO 27001 표준이란 무엇입니까?
ISO 27001 인증 시도를 시작하기 전에 조직 내의 모든 주요 이해 관계자는 표준이 어떻게 배열되고 사용되는지에 대해 잘 알고 있어야합니다. ISO 27001은 12 개의 개별 섹션으로 나뉩니다.
- 소개 – 정보 보안이 무엇이며 조직이 위험을 관리해야하는 이유를 설명합니다.
- 범위 – 기업에 대한 높은 수준의 요구 사항을 다룹니다. ISMS는 모든 유형 또는 조직에 적용됩니다.
- 표준 참조 – ISO 27000과 27001 표준 간의 관계를 설명합니다.
- 용어 및 정의 – 표준 내에서 사용되는 복잡한 용어를 다룹니다. .
- 조직의 상황 – ISMS의 생성 및 유지 관리에 참여해야하는 이해 관계자가 무엇인지 설명합니다.
- 리더십 – 조직 내 리더가 ISMS 정책 및 절차를 수행하는 방법을 설명합니다. .
- 계획 – 조직 전체에서 위험 관리를 계획하는 방법에 대한 개요를 다룹니다.
- 지원 – 정보 보안에 대한 인식을 높이고 책임을 할당하는 방법을 설명합니다.
- 운영 – 위험 관리 방법 및 문서화 방법을 다룹니다. 감사 표준을 충족하기 위해 수행됩니다.
- 성능 평가 – ISMS의 성능을 모니터링하고 측정하는 방법에 대한 지침을 제공합니다.
- 개선 – ISMS를 지속적으로 업데이트하고 특히 감사 이후 개선되었습니다.
- 참조 제어 목표 및 제어 – 감사의 개별 요소를 자세히 설명하는 부록을 제공합니다.
ISO 27001 감사 제어 란 무엇입니까?
ISO 27001 문서는 모범 사례를 14 개의 개별 컨트롤로 분류합니다. 인증 감사는 컴플라이언스 검사 중 각각의 제어를 다룹니다. 다음은 표준의 각 부분에 대한 간략한 요약과 실제 감사로 전환되는 방법입니다.
- 정보 보안 정책 – 정책을 ISMS에 작성하고 준수 여부를 검토하는 방법을 다룹니다. . 감사관은 귀하의 절차가 어떻게 문서화되고 정기적으로 검토되는지 확인합니다.
- 정보 보안 조직 – 조직의 어떤 부분이 어떤 작업과 조치를 담당해야하는지 설명합니다. 감사관은 역할에 따라 높은 수준의 책임이있는 명확한 조직도를 기대합니다.
- 인적 자원 보안 – 시작, 퇴사 또는 직위 변경시 직원에게 사이버 보안에 대한 정보를 제공하는 방법을 다룹니다. 감사관은 정보 보안과 관련하여 온 보딩 및 오프 보딩에 대해 명확하게 정의 된 절차를 확인하기를 원할 것입니다.
- 자산 관리 – 데이터 자산 관리와 관련된 프로세스와 보호 및 보안 방법을 설명합니다. 감사자는 조직이 하드웨어, 소프트웨어 및 데이터베이스를 추적하는 방법을 확인합니다. 증거에는 데이터 무결성을 보장하기 위해 사용하는 일반적인 도구 또는 방법이 포함되어야합니다.
- 액세스 제어 – 직원 액세스를 다양한 유형의 데이터로 제한하는 방법에 대한 지침을 제공합니다. 감사자는 액세스 권한이 설정되는 방법과이를 유지 관리하는 사람에 대한 자세한 설명을 제공해야합니다.
- 암호화 – 암호화의 모범 사례를 다룹니다. 감사자는 DES, RSA 또는 AES와 같이 사용되는 암호화 유형과 민감한 데이터를 처리하는 시스템 부분을 찾습니다.
- 물리적 및 환경 보안 – 건물 및 내부 장비를 보호하기위한 프로세스를 설명합니다. 감사관은 사무실 및 데이터 센터에 대한 액세스가 허용되는 방법을 포함하여 물리적 사이트의 모든 취약성을 확인합니다.
- 운영 보안 – 데이터를 안전하게 수집하고 저장하는 방법에 대한 지침을 제공합니다. 2018 년 GDPR (일반 데이터 보호 규정) 통과 덕분에 긴급한 상황입니다. 감사관은 데이터 흐름의 증거와 정보가 저장되는 위치에 대한 설명을 확인하도록 요청할 것입니다.
- 통신 보안 – 내부의 모든 전송 보안을 다룹니다. 조직의 네트워크. 감사관은 이메일 또는 화상 회의와 같이 사용되는 통신 시스템 및 데이터 보안 유지 방법에 대한 개요를 볼 수 있습니다.
- 시스템 획득, 개발 및 유지 관리 – 안전한 환경에서 시스템을 관리하기위한 프로세스를 자세히 설명합니다. 감사관은 조직에 도입 된 새로운 시스템이 높은 수준의 보안을 유지하고 있다는 증거를 원할 것입니다.
- 공급 업체 관계 – 조직이 보안을 보장하면서 제 3 자와 상호 작용하는 방법을 다룹니다. 감사관은 민감한 데이터에 액세스 할 수있는 외부 기관과의 계약을 검토합니다.
- 정보 보안 사고 관리 – 보안 문제에 대응하는 방법에 대한 모범 사례를 설명합니다. 감사관은 조직 내에서 사고 관리가 어떻게 처리되는지 확인하기 위해 소방 훈련을 실행할 것을 요청할 수 있습니다. 여기서 SIEM과 같은 소프트웨어를 사용하여 비정상적인 시스템 동작을 감지하고 분류하는 것이 편리합니다.
- 비즈니스 연속성 관리의 정보 보안 측면 – 비즈니스 중단 및 주요 변경 사항을 처리하는 방법을 다룹니다. 감사관은 일련의 이론적 중단을 제기 할 수 있으며 ISMS가이를 복구하는 데 필요한 단계를 다룰 것으로 기대합니다.
- 규정 준수 – ITAR와 같이 조직과 관련된 정부 또는 산업 규정을 식별합니다. 감사관은 비즈니스가 운영되는 모든 영역에 대한 완전한 준수의 증거를보고 싶어 할 것입니다.
많은 조직이 저지르는 한 가지 실수는 ISO 인증에 대한 모든 책임을 현지 IT 팀에 두는 것입니다. 정보 기술이 ISO 27001의 핵심이지만 프로세스와 절차는 조직의 모든 부분에서 공유되어야합니다. 이 개념은 devops를 devsecops로 전환한다는 아이디어의 핵심입니다.
ISO 27001 인증 감사를 준비 할 때 규정 준수 경험이있는 외부 그룹의 도움을받는 것이 좋습니다. 예를 들어, Varonis 그룹은 완전한 ISO 27001 인증을 획득했으며 응시자가 감사 중에 사용할 필수 증거를 준비하는 데 도움을 줄 수 있습니다. 또한 Varonis는 조직의 ISMS를 실행하는 데 도움이되는 Datalert와 같은 소프트웨어 솔루션을 제공합니다.
ISO 27001 규정 준수를 유지하기위한 팁
초기 ISO 27001 인증을 획득하는 것은 완전한 규정 준수를위한 첫 번째 단계 일뿐입니다. 감사가 완료된 후 직원이 근면함을 잃는 경향이 있기 때문에 높은 표준과 모범 사례를 유지하는 것은 종종 조직에게 어려운 일입니다. 이러한 일이 발생하지 않도록하는 것은 경영진의 책임입니다.
신입 직원이 회사에 합류하는 빈도를 고려할 때 조직은 분기별로 교육 세션을 개최하여 모든 구성원이 ISMS 및 사용 방법을 이해할 수 있도록해야합니다. 기존 직원도 ISO 27001의 기본 목표를 강화하는 연간 테스트를 통과해야합니다.
준수를 유지하기 위해 조직은 3 년에 한 번씩 자체 ISO 27001 내부 감사를 수행해야합니다. 사이버 보안 전문가들은 위험 관리 관행을 강화하고 결함이나 단점을 찾기 위해 매년이를 권장합니다. Varonis의 Datadvantage와 같은 제품은 데이터 관점에서 감사 프로세스를 간소화하는 데 도움이 될 수 있습니다.
조직 전체의 이해 관계자와 함께 ISO 27001 태스크 포스를 구성해야합니다. 이 그룹은 매월 회의를 통해 미해결 문제를 검토하고 ISMS 문서의 업데이트를 고려해야합니다. 이 태스크 포스의 한 가지 결과는 여기에 설명 된 것과 같은 준수 체크리스트 여야합니다.
- 모든 ISO 27001 활동에 대한 관리 지원을받습니다.
- ISO 27001 준수를 지속적으로 처리합니다. 프로젝트.
- ISO 27001이 조직의 여러 부분에 적용되는 방식의 범위를 정의합니다.
- 사이버 보안 전략을 개략적으로 설명하는 ISMS 정책을 작성하고 업데이트합니다.
- 위험 평가 방법론을 정의하여 문제를 식별하고 처리하는 방법을 파악합니다.
- 문제가 발견되면 정기적으로 위험 평가 및 처리를 수행합니다.
- 적용 가능한 ISO 27001 통제를 결정하기 위해 적용 성 설명을 작성하십시오.
- 모든 이해 관계자가 위협이 완화되는 방법을 알 수 있도록 위험 처리 계획을 작성하십시오. 위협 모델링을 사용하면이 작업을 수행하는 데 도움이 될 수 있습니다.
- ISO 27001 모범 사례가 수행되는 방식을 이해하기 위해 제어 측정을 정의합니다.
- ISO에 설명 된대로 모든 제어 및 필수 절차를 구현합니다. 27001 표준.
- 물리적 또는 디지털 자산에 액세스 할 수있는 조직 내 모든 개인을위한 교육 및 인식 프로그램을 구현합니다.
- 조직의 일상적인 일과의 일부로 ISMS를 운영합니다.
- ISMS가 효과적으로 사용되고 있는지 모니터링합니다.
- 내부 감사를 실행하여 지속적인 규정 준수를 측정합니다.
- 경영진과 함께 감사 결과를 검토합니다.
- 필요한 경우 수정 또는 예방 조치를 설정합니다.
li>
ISO 27001 빠른 가이드 : FAQ
ISO 27001 인증의 프로세스와 범위는 상당히 어려울 수 있으므로 자주 묻는 질문에 대해 살펴 보겠습니다.
Q : ISO 27001 요구 사항은 무엇입니까?
A : ISO 27001 인증을 획득하려면 조직은 표준의 모든 측면을 다루는 ISMS를 유지해야합니다. 그런 다음 인증 기관에 전체 감사를 요청할 수 있습니다.
Q : ISO 27001 인증을 받았다는 것은 무엇을 의미합니까?
A : ISO 27001 인증을 받았다는 것은 조직이 외부 감사를 성공적으로 통과하고 모든 준수 기준을 충족했습니다. 즉, 이제 규정 준수를 광고하여 사이버 보안 평판을 높일 수 있습니다.
Q : 최신 ISO 27001 표준은 무엇입니까?
A : 최신 표준은 공식적으로 ISO / IEC로 알려져 있습니다. 27001 : 2013. 2013 년에 ISO 27001의 두 번째 공식 버전으로 게시되었습니다.이 표준은 2019 년에 마지막으로 검토 및 확인되었으므로 변경할 필요가 없습니다.
Q : ISO 27001 GDPR을 준수합니까?
A : ISO 27001은 주로 ISMS 개발을위한 프레임 워크이므로 유럽 연합에서 제정 한 일반 데이터 보호 규정 (GDPR)의 특정 규칙을 모두 다루지는 않습니다. 그러나 데이터 프라이버시 시스템 구축을 다루는 ISO 27701과 함께 사용하면 조직은 GDPR에 지정된 요구 사항을 완전히 충족 할 수 있습니다.
Q : SOX와 SOX의 주요 유사점 또는 차이점은 무엇입니까? ISO 27001?
A : ISO 27001은 정보 및 데이터의 일반 관리를 다루지 만 SOX (Sarbanes–Oxley Act)는 미국에서 금융 정보가 공개되는 방식에 따라 다릅니다. 다행스럽게도 광범위한 데이터 관리를 보유한 회사의 경우 ISO 27001 인증을 획득하면 SOX 표준을 준수 함을 입증하는 데 도움이됩니다.
Q : 다른 ISO의 목적은 무엇입니까?
A : ISO는 ISO 27001 아래에있는 전체 표준 세트를 유지합니다. 이들은 모두 프레임 워크의 개념을 취하고 조직 내에서 모범 사례를 도입하는 방법에 대한보다 구체적인 지침을 파헤칩니다.
리소스
- ISO 27001이 사이버 위험을 줄이는 방법에 대한 그린 페이퍼
- 성공적인 ISO 27001 감사를 보장하는 방법에 대한 웹 세미나
- ISO 27001 규정 준수에 대한 사례 연구
회사의 규모 나 근무하는 산업에 관계없이 ISO 27001 인증을 획득하면 큰 성공을 거둘 수 있습니다. 그러나 이는 어려운 작업이므로 규정 준수 프로젝트 중에 다른 이해 관계자와 리소스를 활용하는 것이 중요합니다. Varonis Edge와 같은 도구를 사용하면 사이버 공격이 네트워크에 도달하기 전에 차단하는 동시에 ISO 27001 준수 증거를 보여줄 수 있습니다.