Story: 지속적인 개선을 통한 정보 보호
정보 보안은 전 세계 기업의 주요 고려 사항입니다. 보호받지 못하는 경우 위험에 처할 수 있으며 금전적 불이익 및 평판 실추와 같은 결과를 겪을 수 있습니다.
IBM의 보고서에 따르면 미국의 평균 데이터 유출 비용은 2020년 386만 달러에서 2022년 435만 달러로 12.7% 증가했습니다. 마찬가지로 유럽에서는 2018년 일반 데이터 보호 규정(GDPR)이 도입된 후 데이터 위반에 대한 처벌이 증가하고 있습니다. GDPR 시행 추적기에 따르면 2022년 468건의 벌금은 총 833,510,050유로이고 2023년 1월까지 약 28억 유로로 집계되었습니다.
다행히 ISO/IEC 27000 표준 제품군이라는 지침이 있습니다. 가장 널리 알려진 표준은 조직 내 정보의 기밀성, 가용성 및 무결성을 보장하기 위해 프로세스 기반 방식으로 정보 보안을 처리하는 방법을 설명하는 표준인 ISO/IEC 27001입니다.
2022년에 ISO/IEC 27001 및 확장 27002가 업데이트되었습니다. 여기서는 표준 및 해당 업데이트에 대해 자세히 살펴보고, 표준이 회사에 어떻게 도움이 되는지, Kiwa가 정보 보안과 관련하여 지속적인 개선 과정에서 조직을 지원하는 방법을 살펴봅니다.
인증은 보안 정보 관리를 지원
모든 조직은 재무 정보, 직원 또는 고객 세부 정보, 지적 재산 등 정보를 다룹니다. 정보 보안 관리 시스템(ISMS)을 설정하여 해당 정보의 기밀성, 가용성 및 무결성을 보장합니다. ISO/IEC 27001을 구현함으로써 조직은 정보 보안을 관리할 수 있으므로 정보 보안 위험을 줄이고 사고를 예방할 수 있습니다.
ISO/IEC 27001은 정보를 관리하는 모든 조직에 적용되는 국제 표준입니다. 정보 보안에 대해 세계적으로 인정받는 표준으로서 조직은 정보를 적절하게 보호하기 위한 일련의 제어 기능을 갖춘 ISMS를 설정하여 관련 정보 보안 요구 사항을 준수하고 있음을 입증할 수 있습니다. 기업이 ISMS를 수립, 구현, 유지 및 지속적으로 개선하기 위한 요구 사항을 제시합니다.
Kiwa는 조직을 ISO/IEC 27001로 인증합니다. Kiwa의 계획 관리자이자 선임 심사원인 Marjolein Veenstra는 "인증은 조직이 프로세스의 위험과 개선 영역을 식별하여 정보를 보호하고 관리하는 방법을 지속적으로 최적화할 수 있도록 도와줍니다."라고 말했습니다.
규정 준수가 모든 분야에서 국제적으로 의무 사항은 아니지만 많은 기업이 정보 보안에 중점을 두거나 개선 및 전문화에 대한 본질적인 요구를 충족하기 위해 인증을 선택합니다. 인증은 입찰의 일부로 요청되는 경우가 많으므로 규정 준수는 회사의 경쟁력을 높이는 데 도움이 됩니다. 다만 일부 업종에서는 의무화했다. 예를 들어 산업 보건 및 안전 서비스는 ISO/IEC 27001 인증을 받은 공급업체와만 협력할 수 있습니다.
ISO/IEC 27001 구현 및 인증 획득 방법
ISO/IEC 27001은 인증 가능한 표준이며 HLS(4~10장) 및 부록 A(114개 통제항목)의 두 부분으로 구성됩니다. ISO/IEC 27002는 ISO/IEC 27001의 확장판으로 컨트롤에 대한 구현 지침을 포함하고 보안 향상을 위한 모범 사례를 제공합니다. 이러한 통제는 조직의 ISMS의 일부입니다.
이러한 표준은 모든 조직에 적용 가능하지만 이해하고 사용하기 어려울 수 있습니다. 이는 특히 사내 규정 준수 전문 지식 없이 ISMS를 시작하는 회사의 경우입니다. 표준은 해독하기 어려울 수 있기 때문에 조직은 청사진을 그대로 따르기보다는 자체 요구 사항을 설정하고 ISO/IEC 27001에 포함된 내용을 번역해야 합니다.
조직이 인증을 받으려는 경우 먼저 ISMS를 설정해야 합니다. 인증 첫해에 초기 심사는 다음 두 단계로 수행됩니다.
- 1단계 – ISMS 문서가 표준 요구 사항을 충족하는지 확인합니다.
- 2단계(1단계 요구 사항이 충족되면 시작됨) - 조직이 적절하고 효과적인 ISMS를 구현했는지 확인합니다.
이러한 단계를 거치는 데 걸리는 시간은 조직의 규모, 복잡성, 성숙도, 이미 구현한 정보 보안 관리 등 여러 요인에 따라 달라집니다. 일반적으로 초기 심사를 수행하는 데 최소 3개월이 걸리며 두 단계가 모두 완료되면 인증 조언을 받을 수 있습니다.
사후 심사는 최초 심사 후 2년차와 3년차에 실시되며, 재인증은 4년차에 실시됩니다. 모든 단계에서 조직은 표준에 명시된 요구 사항에 따라 ISMS를 구현했음을 보여주어야 합니다. 감사 프로세스 자체도 중요한 역할을 합니다. 조직이 시간이 지남에 따라 프로세스를 개선하는 데 도움이 되기 때문입니다.
Marjolein은 "지속적인 모니터링, 개선, 내부 감사 및 시정 조치의 구현과 위험 분석 및 관리 평가의 성과는 모두 인증 과정에서 고려하는 중요한 요소입니다."라고 말했습니다.
"인증 감사를 수행함으로써 Kiwa는 고객이 ISMS를 구현하여 설정하는 지속적인 개선 주기의 일부가 됩니다."라고 Marjolein은 덧붙였습니다. "프로세스의 이 단계를 통해 개선을 위한 추가 포인트를 식별하고 고객이 후속 조치를 취합니다."
변화에 대비하고 있습니까?
모든 ISO 표준과 마찬가지로 ISO 27000 제품군 내의 표준은 정기적으로 업데이트됩니다. ISO 27002의 최신 버전은 2022년 2월 15일에 게시되었습니다.
ISO 27002는 인증 가능한 표준이 아니지만 변경 사항은 ISO/IEC 27001 인증을 받았거나 인증을 받으려는 조직에 영향을 미칩니다.
업데이트된 ISO/IEC 27002에는 ISMS의 예방 및 모니터링 측면에 초점을 맞춘 11개의 새로운 통제항목이 포함되어 있습니다. 또한 이 표준은 새로운 분류 구조를 특징으로 합니다. 14개의 장으로 그룹화되는 대신 93개의 통제항목이 조직, 사람, 물리적 및 기술 컨트롤의 4가지 주제로 나뉩니다. "목표는 통제 조치의 '소유자'가 누구인지 쉽게 결정하는 것입니다."라고 Marjolein은 설명했습니다.
마찬가지로 ISO/IEC 27001은 2022년 10월 25일에 게시되었습니다. 원래는 ISO(International Organization for Standardization) 및 IEC(International Electrotechnical Commission)에서 2005년에 게시했습니다. 2013년과 2017년에 개정되었습니다(유럽 업데이트). 조직이 수정되거나 추가된 요구 사항을 준수해야 하는 3년의 전환 기간이 있습니다. 즉, 인증된 조직은 2025년 가을까지 ISO 27001:2022로 전환해야 합니다. 새 버전에 대한 자세한 내용은 여기를 참조하세요.
ISO/IEC 27001 인증을 받았거나 인증을 받고자 하는 경우, Kiwa가 변경 사항을 확인하는 데 도움을 줄 수 있습니다.