ISO/IEC 27001 전환

정보보안경영시스템

정보보안경영시스템

정보보안경영시스템에 대한 국제 표준 ISO/IEC 27001은 재무 정보 및 지식 재산, 직원 개인정보까지 모든 정보를 안전하게 관리하고 리스크와 위협으로부터 보호할 수 있도록 기업을 돕습니다.

 

최근에 특히 정보보안은 모든 회사에 중요하고 또 시급한 화두로 떠오르고 있습니다. 클라우드 채택 증가와 자동화 기술, 사이버 보안, 개인 정보 보호, 맬웨어 및 랜섬웨어 위협 등에 대한 높은 관심 사이에서 기업은 체계적이고 신뢰할 수 있는 방식으로 주요 위험 및 위협, 그리고 관련 이해 관계자를 재평가해야 할 필요가 있습니다.

 

마지막으로 출시된 버전은 2013년이었으며, 그 이후 발생한 다양하고 새로운 시나리오를 대비하고 기존 제도들이 잘 잡혀 있는지 확인하려면 새로운 ISO 27001 버전이 필요했습니다.

 

새로 개정된  ISO/IEC 27001:2022

ISO/IEC 27001:2022 신규 버전은 기업이 해결해야 하는 새로운 시나리오를 다룹니다. 주요 변경사항으로는 ISO/IEC 27002에 맞게 Annex A의 보안 통제가 추가, 삭제 또는 병합되었습니다. 변경 사항은 사이버 보안 및 개인 정보보호 측면을 포함하도록 확장되었으며, 제어 언어가 새롭게 다듬어져 있으며, 새 지침이 추가됩니다. 이를 통해 기업은 위험을 관리하고 누락된 것이 없는지 확인하고, 적절한 후속 조치를 취할 수 있습니다.

 

보안 통제의 변경 사항은 11가지가 신규로 추가되고, 58가지가 최신화 되었고 24가지가 병합되었으며 상당히 중요합니다. 특히 집중적으로 살펴볼 시나리오는 다음과 같습니다.

•         클라우드, 자동화 등 디지털 기술 도입

•         최근 위와 같은 최신 기술의 채택 증가

•         사이버 보안 및 개인 정보 위험 인식

•         변화되는 위협 환경을 고려한 제어 (예: 새로운 유형의 맬웨어 및 랜섬웨어)

•         다른 모범 사례와 일치한 규범 및 조치 방식. (ex: NIST, COBIT)

•         제어 언어 새롭게 다듬으며 새 지침 추가
 

변경 사항에 의해 영향을 받는 주요 영역은 다음과 같습니다.

•         리더십

•         기업보안

•         IT 기능

•         기타지원기능

•         배송 (서비스 제공자용)

규정을 준수하기 위해 조직은 위험 요소들을 재평가하고 보안 통제를 재설정해야 합니다.

변경된 제어 외에도, 2022년 버전의 ISO27001은 최신 업데이트된 ISO의 HLS(High Level Structure) 에맞게 재구성되었습니다. 이러한 변경 사항은ISO/IEC Directives Part 1(2022)의Annex SL 최신 버전에 기반을 둡니다. 다만, 2013년 버전이 이미 HLS을 기반으로 구성된 최초 표준 중 하나였기에 해당 변경 사항은 사소한것으로 간주합니다.

 

전환 일정

ISO/IEC 27001의 새로운 버전이 2022년 10월 25일에 출시되었습니다. 전환기간은 3년입니다. 따라서현재2013년인증서를 보유하신 기업들은2025년11월 이전에 2022년 신규 버전으로 전환해야 합니다.

전환 심사는 3년 전환 기간 중 이미 예약된 심사 중에 진행하거나, 특별 전환 심사로 시행하는 것도 가능합니다.

 

전환 준비

가능한 빨리 전환 준비를 시작하고 필요한 변경사항이 경영시스템에 잘 반영되도록 적절하게 계획하는 것이 좋습니다.

 

전환을 위한 준비 사항:

•         새 표준의 내용과 요구사항을 파악하십시오. 업데이트된 표준이 암시하는 변경사항에 중점을 둡니다.

•         관련 있는 직원들이 이에 대해 교육 받고 요구사항과 주요 변경사항을 이해하는지 확인합니다.

•         새로운 요구사항에 충족하려면 식별해야 할 발견사항(gap)을 발견하고 구현 계획을 수립합니다.

•         새로운 요구사항을 충족시킬 수 있도록 조치를 실행하고 경영시스템에 반영합니다.

 

DNV가 어떤 도움을 줄 수 있나요?

귀사가 현재 ISO/IEC 27001 인증을 받았거나 표준을 처음 사용하는 경우에 DNV는 귀사의 정보보안경영시스템 인증 및 전환을 지원할 수 있습니다. 세계 최고의 인증기관인 DNV는 전 세계의 정보보안 및 개인정보 보호 필요사항을 위해 중소기업 및 대기업과 협력하고 있습니다.

 2013에서 2022 버전으로 전환할 준비가 되셨다면 다음과 같이 지원해 드릴 수 있습니다:

•         주요 요구사항에 대해 배우고 변경사항 및 전환 프로세스에 대해 알려 드리는 교육 제공

•         귀사의 경영시스템이 새로운 요구사항을 얼마나 잘 충족하는지 측정하기 위한 온라인 자체평가 도구 및 현장/외부 발견 사항(gap) 평가

•         신규 버전의 표준에 맞게 인증 전환 심사 

 

DNV는이 모든 과정에서 여러분을 도울 준비가 되었습니다.

ISO/IEC 27001 인증이 처음이신가요? 정보보안경영시스템 서비스 페이지를 방문하여 인증과정 및 혜택에 대해 자세히 알아보십시오.