News: ISO 27001 정보보안 경영시스템 개정
최근 정보 보안에 대한 ISO 27001 표준이 업데이트되었습니다. 개정된 표준은 2022년 10월 25일에 게시되었습니다. 업데이트된 표준은 올해 2월에 게시된 ISO 27002:2022에 맞춰 조정되었으며 일부 기술적 수정 사항이 포함되어 있습니다. ISO 27001:2022는 3년의 전환 기간이 적용됩니다. 이는 인증된 조직이 2025년 가을까지 ISO 27001:2022로 전환해야 함을 의미합니다.
ISO/IEC 27001 표준은 정보 보안 관리 시스템에 대한 요구 사항을 설정하고 조직에 정보 보안 관리 시스템을 설정, 구현, 관리, 유지 관리, 평가 및 개선하기 위한 지침을 제공합니다. 새 버전은 ISO/IEC 27001:2017을 대체합니다.
높은 수준의 구조
ISO 27001과 새로운 ISO 27002(ISO 27001에서 사용하는 '제어' 포함) 및 일부 기술적 수정 사항과의 정렬 외에도 이전 표준 버전과의 차이점은 주로 수정된 Annex A (다음 문서 참조 2022년 8월) 및 표준의 구조에 있습니다. ISO 27001의 2022 버전은 ISO의 HLS(High Level Structure) 최신 버전에 따라 분류되어 조직이 서로 다른 관리 시스템을 보다 쉽게 통합할 수 있도록 합니다. HLS로 인해 다음 영역에서 서로 다른 표준 간에 중복이 있습니다.
- 조직의 맥락;
- 리더십;
- 계획(위험, 목표, 입법);
- 지원(자원, 역량, 인식, 커뮤니케이션 및 문서화)
- 구현;
- 평가(내부 심사, 경영 검토);
- 개선(지속적인 개선, 일탈 및 시정 조치)
전환 기간
ISO 27001:2022의 도입은 ISO 27001 인증서를 보유한 조직이 이 개정판으로 전환해야 함을 의미합니다. 이를 위해 전환 기간이 설정되었습니다. 그 일정은 다음과 같습니다.
- 첫째, 인증 기관은 지금부터 6개월 동안 새 버전에 대해 평가해야 합니다.
- 그 후 인정 기관은 인증 기관 평가를 시작합니다. 이를 위한 6개월의 기간도 있으므로 업데이트된 표준이 게시된 후 12개월 이내에 인정 기관이 이를 완료해야 합니다.
- 한편, 업데이트된 표준이 게시된 후 12개월 이내에 인증 기관은 인증서 보유자 재인증을 시작할 수 있습니다.
- 전환 기간이 3년으로 설정되어 인증 기관은 늦어도 2025년 10월까지 인증서 보유자에 대한 (재)인증을 완료해야 합니다.
전환 기간 동안 표준의 두 버전 모두 유효하고 인증 가능합니다. 즉, 여전히 '이전' ISO 27001에 대해 인증을 받을 수 있지만 새로운 표준을 획득하고 새로운 제어 조치 세트로 작업을 시작할 수도 있습니다.
타임라인 개정 ISO 27001 및 ISO 27002 - 2022년 12월:
어떻게 도와드릴까요?
Kiwa는 ISO 27001 정보 보안 관리 시스템 인증으로 귀사를 지원할 수 있습니다.