개인정보보호

ISO 27001 인증이란_ 정보보호 국제 인증 취득 가이드

캐치시큐

2022.09.23 08:00
  • 5554
  • 콘텐츠에 ‘좋아’해줘서 고마워요 -
    0
  • 0

안녕하세요. 개인정보보호 파트너 캐치시큐입니다.

 

많은 회사가 데이터를 안전하게 관리하기 위해 접근통제, 암호화, 백업 등 다양한 보안 정책을 적용하고 있을 겁니다. 하지만 이렇게 보안에 들이는 노력이 고객에게도 잘 전달되고 있을까요?

 

겉으로는 잘 티가 나지 않는 '안전한 서비스'를 고객에게 어필할 방법이 있습니다. 바로, 정보보호 관리 체계가 기준에 적합한지 심사받고 공신력을 획득할 수 있는 인증 제도를 활용하는 건데요.

 

정보 보호 분야의 대표적인 인증으로는 국제 인증인 ISO 27001과 국내 인증 ISMS-P가 있습니다. 이번 글에서는 저희 캐치시큐도 획득을 완료한 ISO 27001에 대해 소개하겠습니다.

 

 

Check!

1. ISO 27001 인증이란?

2. ISO 27001 인증 취득 절차

3. ISO 27001 인증 심사 준비

4. 마치며

 

 

1. ISO 27001 인증이란?

 

먼저, ISO는 국가별로 상이한 표준을 통일하고 일관된 적용을 통해 국가 간의 거래를 원활하게 하기 위해 설립된 국제표준화기구입니다.

그중에서도 ISO 27001은 ISO와 국제전기기술위원회인 IEC에서 제정한 정보보호 분야에서 가장 권위 있는 국제 인증 제도로 평가받습니다. 해당 인증은 취득한 후에도 정기적인 심사를 통해 인증 유지를 관리하기 때문에 고객 신뢰도를 향상할 수 있습니다. 또한, 국제 표준 인증으로써 비즈니스 영역도 확장할 기회를 얻을 수 있습니다. 그래서인지 최근에는 IT 전문 기업뿐만 아니라 의료업, 제조업, 여행업 등 다양한 산업에서 ISO 27001 인증을 획득하고 있습니다.

 

 

ISO 27001 인증 획득 시 기대효과

정보보호 위험 관리를 통한 비즈니스 안전성 제고

윤리 및 투명 경영을 위한 정보보호 법적 준거성 확보

침해사고, 집단소송 등에 따른 사회 경제적 피해 최소화

인증 취득 시 정보보호 대외 기업 이미지 및 신뢰도 향상

글로벌 시장 진출이 수월

 

 

 

2. ISO 27001 인증 취득 절차

 

이렇게 여러 효과를 기대할 수 있는 ISO 27001 인증은 어떻게 취득할 수 있을까요?

간략하게 ISO 27001 인증 절차를 알아보겠습니다.

 


 

 

인증 절차는 크게 4단계로 진행됩니다.

인증 신청 → 인증 심사 → 사후 심사 → 갱신 심사

 

인증을 신청하면 심사 기관에서 서면 심사와 현장 심사를 모두 진행하며, 심사가 승인되면 인증서가 발행됩니다. 인증을 취득한 이후에도 인증 자격을 유지하기 위한 사후 심사와 갱신 심사를 실시합니다. 1년에 1회 이상 정기적으로 사후 심사를 통해 인증 유지 상태를 확인하는 절차가 진행되는데요. 3년마다 최초 심사와 동일한 절차로 갱신 심사를 진행해야 ISO 27001 인증 자격을 유지할 수 있습니다.

 

 

 

3. ISO 27001 인증 심사 준비

 

이러한 심사는 어떻게 준비하면 될까요?

ISO 27001 인증 심사를 위한 준비 단계는 크게 5단계로 나눌 수 있습니다.

 


 

1단계 : 환경분석

회사가 보유한 정보자산을 목록화하여 작성하고, ISO 27001 인증 항목을 토대로 인증범위를 정의합니다.

정보자산에 대한 분류 기준을 수립하고, 중요도를 평가합니다.

 

2단계 : GAP 분석

ISO 27001 통제항목을 기준으로 정보보호 관리체계를 비교 점검합니다.

정책 및 지침 검토, 담당자 인터뷰 등 서버, DB, WEB/APP 등 보유한 자산에 대한 취약점 점검 및 모의해킹을 수행합니다.

 

3단계 : 위험평가

GAP 분석 결과를 바탕으로 위험평가 항목을 도출합니다.

위험 수용 기준을 정하고, 도출된 위험요인을 해소하기 위한 관리계획을 수립합니다.

 

4단계 : 관리체계 수립

ISO 27001 통제항목을 기준으로 정책 및 지침을 제개정합니다.

적용성 보고서를 작성합니다.

해당 항목 : 정책 지침 이행 여부 증적

미 해당 항목 : 해당하지 않는 사유를 상세하고 구체적으로 작성

 

5단계 : 이행 및 인증지원

인증 심사 신청 전 내부보안 감사를 통해 미비점을 보완합니다.

 

 

 

4. 마치며

 

데이터의 중요성이 강조되는 만큼 기업의 보안 수준은 또 하나의 경쟁력이 되고 있습니다. ISO 27001 인증 취득은 이런 경쟁력을 대외적으로 알릴 좋은 기회입니다.

 

캐치시큐 역시 기업들이 안전하게 개인정보를 수집하고 관리할 수 있도록 돕는 서비스인 만큼, 여러 국제 인증을 획득하여 고객들이 안심하고 서비스를 이용할 수 있도록 하고 있습니다. 이번에 소개한 ISO 27001 외에도 ISO 27701, ISO 27018, ISO 27017 등 개인정보보호 및 정보보호 국제 표준 인증을 모두 획득하였습니다.

 

캐치시큐는 이런 노하우가 녹아 있는 솔루션에 더해 내부 관리 체계 수립부터 인증 지원까지 컨설팅 또한 지원하고 있습니다. 다양한 인증을 통해 보안 경쟁력을 높이는 데 도움이 되기를 바랍니다.

 

감사합니다.

  • #개인정보
  • #ISO 27001
  • #개인정보보호