ISO 27001의 의미는 무엇입니까?
먼저, ISO 27001의 전체 이름은 “ISO / IEC 27001 – 정보 기술 — 보안 기술 — 정보 보안 관리 시스템”이라는 점에 유의해야합니다. — 요구 사항.”
국제 전기 기술위원회 (IEC)와 협력하여 국제 표준화기구 (ISO)에서 발행 한 정보 보안에 초점을 맞춘 선도적 인 국제 표준입니다. 국제 표준을 개발합니다.
ISO-27001은 정보 보안을 처리하기 위해 개발 된 일련의 표준 인 ISO / IEC 27000 시리즈의 일부입니다.
ISO 27001의 목적은 무엇입니까?
ISO 27001은 정보 보안 관리 시스템 (ISMS)을 채택하여 규모에 관계없이 모든 산업의 조직이 정보를 체계적이고 비용 효율적인 방식으로 보호 할 수 있도록 개발되었습니다.
ISO 27001이 중요한 이유는 무엇입니까?
표준은 컴패니언을 제공 할뿐만 아니라 가장 귀중한 정보를 보호하는 데 필요한 노하우를 보유하고 있지만 회사는 ISO 27001에 대한 인증을받을 수 있으며 이러한 방식으로 고객과 파트너에게 데이터를 보호한다는 것을 증명할 수 있습니다.
개인은 과정에 참석하고 시험에 합격하여 ISO 27001 인증을받을 수 있으며, 이러한 방식으로 잠재적 인 고용주에게 자신의 기술을 증명할 수 있습니다.
국제 표준이기 때문에, ISO 27001은 전 세계적으로 쉽게 인식되어 조직과 전문가의 비즈니스 기회를 증가시킵니다.
3 가지 ISMS 보안 목표는 무엇입니까?
ISO 27001의 기본 목표는 3 가지를 보호하는 것입니다. 정보 측면 :
- 기밀성 : 권한이있는 사람 만 정보에 액세스 할 수 있습니다.
- 무결성 : 권한이있는 사람 만 정보를 변경할 수 있습니다.
- 가용성 : 정보는 필요할 때마다 권한있는 사람이 액세스 할 수 있어야합니다.
ISMS 란 무엇입니까?
ISMS (정보 보안 관리 시스템)는 기업이 다음을 위해 수립해야하는 일련의 규칙 :
- 정보 보안 측면에서 이해 관계자와 기업에 대한 기대치를 식별
- 정보에 대해 존재하는 위험 식별
- 확인 된 기대치를 충족하고 위험을 처리하기위한 통제 (안전 장치) 및 기타 완화 방법을 정의
- 달성해야 할 사항에 대한 명확한 목표 설정 정보 보안으로
- 모든 통제 및 기타 위험 처리 방법을 구현
- 구현 된 통제가 예상대로 수행되는지 지속적으로 측정
- 전체 ISMS를 만들기 위해 지속적으로 개선 더 잘 작동합니다.
이 규칙 세트는 정책, 절차 및 기타 유형의 문서 형식으로 작성하거나 그렇지 않은 확립 된 프로세스 및 기술의 형태로 작성할 수 있습니다. 문서화. ISO 27001은 필요한 문서, 즉 최소한 존재해야하는 문서를 정의합니다.
왜 ISMS가 필요한가요?
4 가지 필수 비즈니스 이점이 있습니다. 회사는 다음과 같은 정보 보안 표준을 구현하여 달성 할 수 있습니다.
법적 요구 사항 준수 – 정보 보안과 관련된 법률, 규정 및 계약 요구 사항이 계속해서 증가하고 있으며 좋은 소식은 다음과 같습니다. 대부분은 ISO 27001을 구현하여 해결할 수 있습니다.이 표준은 모든 것을 준수 할 수있는 완벽한 방법론을 제공합니다.
경쟁 우위 확보 – 귀사가 인증을 받았지만 경쟁 업체가 인증을받지 못한 경우 정보를 안전하게 유지하는 데 민감한 고객의 눈에 그들보다 유리할 수 있습니다.
비용 절감 – ISO 27001의 주요 철학은 보안 사고 발생을 방지하는 것이며 크든 작든 모든 사고에는 비용이 듭니다. 따라서이를 방지함으로써 회사는 상당한 비용을 절약 할 수 있습니다. 무엇보다도 가장 좋은 점은 ISO 27001에 대한 투자가 달성 할 비용 절감보다 훨씬 적다는 것입니다.
더 나은 조직-일반적으로 빠르게 성장하는 회사는 프로세스와 절차를 중지하고 정의 할 시간이 없습니다. 결과적으로 직원은 언제, 어떤 작업을해야하는지 알지 못합니다. 그리고 누구에 의해. ISO 27001을 구현하면 기업이 주요 프로세스 (보안과 관련되지 않은 프로세스도 포함)를 기록하여 직원의 시간 손실을 줄일 수 있으므로 이러한 상황을 해결하는 데 도움이됩니다.
ISO 27001은 어떻게 작동합니까?
ISO 27001의 초점은 회사 정보의 기밀성, 무결성 및 가용성을 보호하는 것입니다. 이는 정보에 발생할 수있는 잠재적 인 문제 (예 :, 위험 평가) 그런 다음 그러한 문제가 발생하지 않도록하기 위해 수행해야 할 작업을 정의합니다 (예 : 위험 완화 또는 위험 처리).
따라서 ISO 27001의 주요 철학은 위험 관리 프로세스를 기반으로합니다. 위험이 어디에 있는지 파악한 다음 보안 제어 (또는 보호 장치)를 구현하여 체계적으로 처리합니다.
ISO 27001은 회사가 적용 성 설명이라는 문서에 구현 될 모든 통제를 나열하도록 요구합니다.
ISO 27001의 요구 사항은 무엇입니까?
ISO 27001의 필수 요구 사항 4 ~ 10 절에 정의되어 있습니다. 즉, 표준을 준수하려면 조직에서 모든 요구 사항을 구현해야합니다. Annex A의 통제는 적용 성명서에 적용 가능한 것으로 선언 된 경우에만 구현되어야합니다.
섹션 4부터 10까지의 요구 사항은 다음과 같이 요약 할 수 있습니다.
4 절 : 컨텍스트 조직 – 외부 및 내부 문제, 이해 당사자 및 해당 요구 사항을 이해하고 ISMS 범위를 정의하기위한 요구 사항을 정의합니다.
5 절 : 리더십 – 최고 관리 책임, 역할 및 책임 설정, 최상위 정보 보안 정책의 내용을 정의합니다.
6 절 : 계획 – 위험 평가, 위험 처리, 적용 성 설명, 위험 처리 계획 및 정보 보안 목표 설정에 대한 요구 사항을 정의합니다.
7 절 : 지원 – 요구 사항을 정의합니다. 자원의 가용성, 역량, 인식, 의사 소통 및 문서와 기록의 통제.
8 절 : 운영 – 정보 보안 목표를 달성하는 데 필요한 통제 및 기타 프로세스뿐만 아니라 위험 평가 및 처리의 구현을 정의합니다.
9 절 : 성과 평가 – 모니터링, 측정, 분석, 평가, 내부 감사 및 관리 검토에 대한 요구 사항을 정의합니다.
10 절 : 개선 – 부적합, 수정, 시정 조치 및 지속적인 개선에 대한 요구 사항을 정의합니다.
ISO 27001의 14 개 도메인은 무엇입니까?
저기 ISO 27001의 부록 A에 나열된 14 개의 “도메인”은 섹션 A.5에서 A.18로 구성됩니다. 섹션은 다음을 다룹니다.
A.5. 정보 보안 정책 :이 섹션의 제어 정보 보안 정책을 처리하는 방법을 설명합니다.
A.6. 정보 보안 조직 :이 섹션의 제어는 내부 조직 (예 : 역할)을 정의하여 정보 보안의 구현 및 운영을위한 기본 프레임 워크를 제공합니다. , 책임 등) 및 프로젝트 관리, 모바일 장치 사용 및 재택 근무와 같은 정보 보안의 조직적 측면을 통해.
A.7. 인적 자원 보안 :이 섹션의 제어는 다음을 보장합니다. 조직의 통제하에있는 사람들은 안전한 방식으로 고용, 훈련 및 관리됩니다. 징계 조치 및 계약 해지의 징계를 다룹니다.
A.8. 자산 관리 :이 섹션의 제어는 정보 보안 자산 (예 : 정보, 처리 장치, 저장 장치 등)이 식별되고, 보안에 대한 책임이 지정되고, 사전 정의 된 분류에 따라 사람들이 자산을 처리하는 방법을 알고 있는지 확인합니다. 수준.
A.9. 액세스 제어 :이 섹션의 제어는 실제 비즈니스 요구에 따라 정보 및 정보 자산에 대한 액세스를 제한합니다. 제어는 물리적 및 논리적 액세스 모두를위한 것입니다.
A.10. 암호화 :이 섹션의 제어는 정보의 기밀성, 신뢰성 및 / 또는 무결성을 보호하기위한 암호화 솔루션의 적절한 사용을위한 기반을 제공합니다.
A.11. 물리적 및 환경 적 보안 :이 섹션의 제어는 물리적 영역에 대한 무단 액세스를 방지하고 장비와 시설이 사람이나 자연의 개입으로 인해 손상되지 않도록 보호합니다.
A.12. 운영 보안 :이 섹션의 제어는 운영 체제 및 소프트웨어를 포함한 IT 시스템이 데이터 손실로부터 안전하고 보호되도록합니다. 또한이 섹션의 제어에는 이벤트를 기록하고 증거를 생성하고 취약점을 주기적으로 확인하고 감사 활동이 작업에 영향을 미치지 않도록 예방 조치를 취하는 수단이 필요합니다.
A.13. 통신 보안 :이 섹션의 제어는 네트워크 인프라와 서비스는 물론이를 통해 이동하는 정보를 보호합니다.
A.14. 시스템 획득, 개발 및 유지 관리 :이 섹션의 제어는 새로운 정보 시스템을 구매하거나 기존 시스템을 업그레이드 할 때 정보 보안이 고려되도록합니다.
A.15.공급 업체 관계 :이 섹션의 제어는 공급 업체 및 파트너가 수행하는 아웃소싱 활동도 적절한 정보 보안 제어를 사용하도록 보장하고 제 3 자 보안 성능을 모니터링하는 방법을 설명합니다.
A.16. 정보 보안 사고 관리 :이 섹션의 제어는 보안 이벤트 및 사고의 적절한 통신 및 처리를 보장하는 프레임 워크를 제공하여 적시에 해결할 수 있습니다. 또한 증거를 보존하는 방법과 재발을 방지하기 위해 사건에서 배우는 방법을 정의합니다.
A.17. 비즈니스 연속성 관리의 정보 보안 측면 :이 섹션의 제어는 중단시 정보 보안 관리의 연속성과 정보 시스템의 가용성을 보장합니다.
A.18. 규정 준수 :이 섹션의 제어는 법적, 법적, 규제 및 계약 위반을 방지하고 정보 보안이 구현되고 ISO 27001 표준의 정의 된 정책, 절차 및 요구 사항에 따라 효과적인지 감사하는 프레임 워크를 제공합니다.
이러한 도메인을 자세히 살펴보면 정보 보안 관리는 IT 보안 (예 : 방화벽, 바이러스 백신 등)뿐만 아니라 프로세스 관리, 법적 보호, 인적 자원 관리, 물리적 보호 등
ISO 27001 통제 란 무엇입니까?
ISO 27001 통제 (안전 장치라고도 함)는 위험을 허용 가능한 수준으로 줄이기 위해 구현해야하는 관행입니다. 제어는 기술적, 조직적, 법적, 물리적, 인간 등일 수 있습니다.
ISO 27001에는 몇 개의 제어가 있습니까?
ISO 27001 부록 A에는 14 개 섹션으로 구성된 114 개의 제어가 나열되어 있습니다. 위에 나열된 A.5에서 A.18까지 번호가 매겨져 있습니다.
ISO 27001 제어를 어떻게 구현합니까?
기술 제어는 주로 소프트웨어, 하드웨어 및 펌웨어 구성 요소를 사용하여 정보 시스템에서 구현됩니다. 시스템에 추가되었습니다. 예 : 백업, 바이러스 백신 소프트웨어 등
따라야 할 규칙과 사용자, 장비, 소프트웨어 및 시스템의 예상 동작을 정의하여 조직적 제어를 구현합니다. 예 : 액세스 제어 정책, BYOD 정책 등
법률 제어는 규칙과 예상되는 행동이 조직이 준수해야하는 법률, 규정, 계약 및 기타 유사한 법적 도구를 따르고 시행하도록함으로써 구현됩니다. 예 : NDA (비공개 계약), SLA (서비스 수준 계약) 등.
물리적 제어는 주로 사람 및 물체와 물리적 상호 작용이있는 장비 또는 장치를 사용하여 구현됩니다. 예 : CCTV 카메라, 경보 시스템, 잠금 장치 등
인적 자원 통제는 사람들이 안전한 방식으로 활동을 수행 할 수 있도록 지식, 교육, 기술 또는 경험을 제공함으로써 구현됩니다. 예 : 보안 인식 교육, ISO 27001 내부 감사 자 교육 등
ISO 27001 필수 문서
ISO 27001은 규정을 준수하는 데 필요한 최소한의 정책, 절차, 계획, 기록 및 기타 문서화 된 정보를 지정합니다.
ISO 27001은 다음 문서를 작성하도록 요구합니다.
필수 기록입니다.
물론 회사는 추가 보안 문서를 작성하기로 결정할 수 있습니다. 필요한 경우.
각 문서에 대한 자세한 설명을 보려면 ISO 27001 (2013 개정)에서 요구하는 필수 문서의 체크리스트 무료 백서를 다운로드하십시오.
ISO 27001 비용은 얼마입니까? ?
ISMS 구현 및 인증 비용은 ISMS 범위의 규모와 복잡성에 따라 달라지며 조직마다 다릅니다. 비용은 구현에 사용할 다양한 서비스의 현지 가격에 따라 달라집니다.
넓게 말하면 다음과 같은 비용을 고려해야합니다.
- 교육 및 문헌
- 외부 지원
- 기술 업데이트 / 구현 예정
- 직원의 노력과 시간
- 인증 기관 비용
인증에 대한 자세한 설명보기 비용에 대해서는 무료 백서 How to Budget an ISO 27001 Implementation Project를 다운로드하십시오.
“ISO 27001 인증”이란 무엇입니까?
기업은 공인 전문가를 초대하여 ISO 27001 인증을받을 수 있습니다. 인증 감사를 수행하고 감사에 성공하면 ISO 27001 인증서를 회사에 발급합니다.이 인증서는 회사가 ISO 27001 표준을 완전히 준수 함을 의미합니다.
개인 ISO 27001 교육을 받고 시험에 합격하면 ISO 27001 인증을받을 수 있습니다.이 인증서는이 사람이 과정 중에 적절한 기술을 습득했음을 의미합니다.
ISO 27001은 인증 된 후 얼마 동안 유효합니까?
인증 기관이 ISO 27001 인증서를 회사에 발급하면 3 년 동안 유효하며,이 기간 동안 인증 기관은 조직이 ISMS를 적절하게 유지하고 있는지 평가하기 위해 감시 감사를 수행합니다. 그리고 필요한 개선이 적시에 구현되는 경우.
어떤 회사가 ISO 27001 인증을 받았습니까?
ISO.org 웹 사이트는 인증 된 조직에 대한 일반적인 개요를 산업, 국가, 사이트 수 등으로 분류하여 제공합니다. 다음 링크에서 ISO 설문 조사 : https://www.iso.org/the-iso-survey.html.
특정 회사가 ISO 27001 인증을 받았는지 확인하려면 인증 기관에 문의해야합니다. 인증 된 회사의 공식 중앙 데이터베이스입니다.
사람이 ISO 인증을받을 수 있습니까?
예, 개인은 다음 교육 중 하나 이상에 참석하고 합격하면 ISO 27001 인증을받을 수 있습니다. 시험 :
- ISO 27001 선임 구현 자 과정 –이 교육은 고급 실무자와 컨설턴트를 대상으로합니다.
- ISO 27001 선임 심사원 과정 –이 교육은 인증 심사원을 대상으로합니다.
- ISO 27001 내부 감사 자 과정 –이 교육은 회사에서 내부 감사를 수행 할 사람들을 대상으로합니다.
- ISO 27001 기초 과정 –이 교육은 표준의 기본 사항과 구현의 주요 단계를 배우려는 사람들을위한 것입니다.
ISO 27000 표준은 무엇입니까?
ISMS에 대한 요구 사항을 정의하기 때문에 ISO 27001은 ISO 27000 표준 제품군의 주요 표준입니다. 그러나 주로 필요한 것을 정의하지만이를 수행하는 방법을 지정하지 않기 때문에 추가 지침을 제공하기 위해 몇 가지 다른 정보 보안 표준이 개발되었습니다. 현재 ISO27k 시리즈에는 40 개 이상의 표준이 있으며 가장 일반적으로 사용되는 표준은 다음과 같습니다.
ISO / IEC 27000은 ISO 27k 시리즈 표준에서 사용되는 용어 및 정의를 제공합니다.
ISO / IEC 27002는 ISO 27001 Annex A에 나열된 제어 구현에 대한 지침을 제공합니다. 이러한 제어를 구현하는 방법에 대한 세부 정보를 제공하므로 매우 유용 할 수 있습니다.
ISO / IEC 27004는 정보 보안 측정 지침을 제공합니다. 이는 ISMS가 목표를 달성했는지 여부를 결정하는 방법을 설명하기 때문에 ISO 27001에 적합합니다.
ISO / IEC 27005는 정보 보안 위험 관리에 대한 지침을 제공합니다. ISO 27001에 대한 아주 좋은 보충 자료입니다. 이는 아마도 구현에서 가장 어려운 단계 인 위험 평가 및 위험 처리를 수행하는 방법에 대한 세부 정보를 제공하기 때문입니다.
ISO / IEC 27017은 클라우드 환경의 정보 보안에 대한 지침을 제공합니다.
ISO / IEC 27018은 클라우드 환경에서 개인 정보를 보호하기위한 지침을 제공합니다.
ISO / IEC 27031은 정보 통신 기술 (ICT)에 대한 비즈니스 연속성을 개발할 때 고려해야 할 사항에 대한 지침을 제공합니다. 이 표준은 정보 보안과 비즈니스 연속성 관행 사이의 훌륭한 연결 고리입니다.
ISO 27001의 최신 버전은 무엇입니까?
이 기사의 발행일 현재 ISO 27001은 ISO / IEC 27001 : 2013입니다.
ISO 27001의 첫 번째 버전은 2005 년 (ISO / IEC 27001 : 2005), 두 번째 버전은 2013 년에 출시되었으며 표준은 2019 년에 마지막으로 검토되었습니다. , 2013 년 버전이 확인되었을 때 (즉, 변경할 필요가 없음).
ISO 회원 인 여러 국가에서 표준을 자체 언어로 번역하여 사소한 추가 작업을 수행 할 수 있습니다 (예 : , 국가 머리말) 표준의 국제 버전 내용에 영향을 미치지 않습니다. 이러한 “버전”에는 국제 표준과 구별하기위한 추가 문자가 있습니다. 예를 들어 NBR ISO / IEC 27001은 “브라질 버전”을 지정하고 BS ISO / IEC 27001은 “영국 버전”을 지정합니다. 이 표준의 현지 버전에는 현지 표준화기구에서 채택한 연도가 포함되어 있으므로 최신 영국 버전은 BS EN ISO / IEC 27001 : 2017이며, 이는 ISO / IEC 27001 : 2013이 영국 표준 기관에서 채택되었음을 의미합니다.
ISO 27001과 27002의 차이점은 무엇입니까?
ISO 27001은 정보 보안 관리 시스템 (ISMS)에 대한 요구 사항을 정의하고 ISO 27002는 구현 지침을 제공합니다. 즉, 각 제어에 대해 ISO 27001은 간략한 설명 만 제공하고 ISO 27002는 자세한 지침을 제공합니다.
NIST 및 ISO 27001?
ISO 27001은 국제 표준이지만 NIST는 미국에서 측정 표준을 장려하고 유지하는 미국 정부 기관입니다. 그중 SP 800 시리즈는 다음을 지정하는 문서 세트입니다. 정보 보안을위한 모범 사례.
동일하지는 않지만 NIST SP 800 시리즈와 ISO 27001은 정보 보안 구현에 함께 사용할 수 있습니다.
ISO 27001은 필수입니까?
대부분의 국가에서 ISO 27001의 구현은 의무 사항이 아닙니다. 그러나 일부 국가에서는 특정 산업에서 ISO 27001을 구현하도록 요구하는 규정을 발표했습니다.
ISO 27001이 귀사에 필수인지 여부를 확인하려면 사업을 운영하는 국가에서 전문가의 법률 자문을 찾아야합니다.
ISO 27001 통제 란 무엇입니까?
공공 및 민간 조직은 공급자와의 계약 및 서비스 계약에서 법적 요구 사항으로 ISO 27001 준수를 정의 할 수 있습니다. 또한 위에서 언급했듯이 국가는 ISO 27001 채택을 해당 영토에서 운영되는 조직이 이행해야하는 법적 요건으로 전환하는 법률 또는 규정을 정의 할 수 있습니다.
EU GDPR과 이것이 전 세계에 적용되는 이유에 대해 자세히 알아 보려면이 도움말을 참조하세요.