ISO27001인증서는 조직의 정보보호경영시스템이 베스트프랙티스규격에 근거하여 인증받았으며 준거성을 만족했다는것을 증명하는 것입니다. 제3자에 의해 인증되어 발행된 인증서는 조직이 민감한 정보에 대해 비인가된 접근 및 변경으로부터 보호하기위한 필요한 예방조치들을 시행해왔다는것을 증명하는것입니다.
ISO 27001 규격은 한 조직의 정보보호경영시스템의 구축, 적용, 운영, 모니터링, 검토, 유지보수 및 개선을 위한 프로세스 접근방식을 적용하고 있습니다.
ISO27001은 ISO(국제표준기구)에 의해 수립되어졌고 인증을위해 사용되는 규격입니다. BS7799에서 파생되었으며 국제정보보호경영시스템규격을 제공하고 있으며, BS7799에 기초하여 다른 국제규격에 맟추어서 재구성되어졌습니다. 약간의 새로운통제항목들을 포함하고 있는데 예를들어서 정보보호 매트릭스에 대한 강조 및 사고관리등이 있습니다.
규격은 또한 ISO/IEC 17799:2005, ISO13335시리즈, ISO/IEC TR 18044:2004 및 정보보호적용을 위해 가이드를 제공하는 “OECD가이드라인: 정보보호문화형성을 위해 정보시스템 및 네트워크보안”을 참조하고 있습니다.
자산보호
규격은 정보보호에 대한 다양한 영역에서 접근하고 있습니다. 보호가 필요한 자산들은 디지털정보, 문서들 및 물리적자산(컴퓨터 및 네트워크)에서 개인 임직원이 소유한 지식까지 포함합니다. 개발인력의 적격성에서 부터 컴퓨터보안과 관련된 기술적보호에 이르기까지 다양한 영역을 포함하고 있습니다. ISO27001는 다음과 같이 조직의 정보보호를 도울것입니다.
정보의 기밀성관점에서 정보에 오직 접근이 가능한 오직인가된 사람만이 접근할수 있도록 확증합니다.
무결성에 대해서는 정보 및 정보의 프로세싱방법들에 대한 정확성 및 완전성에 대한 보호책을 마련합니다.
가용성은 인가된 사용자들은 필요되어질때 정보 및 관련된 자산에 접근할수 있도록 확증합니다.
다른 경영시스템규격들과의 연계성
ISO27001는 다른시스템과 연관되어 있으며 관련된 규격들과 일관성있고, 통합적용 및운영이 가능합니다.
ISO9001 및 ISO14001과 같은 경영시스템 규격과의 일치성
정보보호경영시스템의 지속적인 프로세스개선에 대한 강조
문서 및 기록들의 요구사항들에 대한 명확성
프로세스 모델인 PDCA에 근거한 위험분석 및 경영프로세스들
다음단계?
인증을 받기위해서는 규격의 요구사항을 충족하며 효과적인 정보보호경영시스템을 적용하는것이 필요합니다. 첫번째 단계는 인증일정 road to certification을 확인하는 것입니다.