Day 20: ISO 27001 정보보호 관리체계

1. ISO 27001의 개요

1.1 ISO 27001이란?

정식 명칭: ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements

ISO 27001: 조직의 **정보보호 관리체계(ISMS: Information Security Management System)**에 대한 국제 표준

발행 기관:

  • ISO (International Organization for Standardization, 국제표준화기구)
  • IEC (International Electrotechnical Commission, 국제전기기술위원회)

1.2 제정 배경 및 연혁

  • 1995년: BS 7799 Part 1 발행 (영국 표준)
  • 1998년: BS 7799 Part 2 발행 (ISMS 인증 기준)
  • 2005년: ISO/IEC 27001:2005 발행 (국제 표준화)
  • 2013년: ISO/IEC 27001:2013 개정
  • 2022년: ISO/IEC 27001:2022 최신 개정

1.3 ISO 27001의 목적

조직이 정보자산을 보호하기 위해:

  1. 정보보호 위험을 식별·평가·관리
  2. 정보보호 관리체계 수립·구현·운영·유지·개선
  3. 국제적으로 인정받는 정보보호 수준 확보

1.4 ISO 27001 vs ISMS-P

구분 ISO 27001 ISMS-P
발행 기관 ISO/IEC (국제 표준) 한국인터넷진흥원 (국내 인증)
적용 범위 전 세계 한국
인증 기준 93개 통제항목 (Annex A) 102개 통제항목
개인정보보호 별도 (ISO 27701) 통합 (정보보호+개인정보보호)
법적 의무 없음 (자발적) 일부 기업 의무 (정보통신망법)
인증 효력 국제적으로 인정 한국 내
인증 유효기간 3년 3년

특징:

  • ISMS-P는 한국형 표준 (정보보호+개인정보보호 통합)
  • ISO 27001은 국제 표준 (전 세계 인정)
  • 글로벌 기업은 ISO 27001 선호
  • 한국 기업은 ISMS-P + ISO 27001 병행 인증도 많음

2. ISO 27001의 구조

2.1 구성

ISO 27001:2022는 크게 2부분으로 구성:

(1) 본문 (Clause 1~10)

정보보호 관리체계의 요구사항

  • Clause 1 : Scope (적용 범위)
  • Clause 2 : Normative references (인용 표준)
  • Clause 3 : Terms and definitions (용어 정의)
  • Clause 4 : Context of the organization (조직 상황)
  • Clause 5 : Leadership (리더십)
  • Clause 6 : Planning (계획)
  • Clause 7 : Support (지원)
  • Clause 8 : Operation (운영)
  • Clause 9 : Performance evaluation (성과 평가)
  • Clause 10 : Improvement (개선)

(2) Annex A (부속서)

정보보호 통제항목 (93개)

  • A.5 : Organizational controls (조직적 통제) - 37개
  • A.6 : People controls (인적 통제) - 8개
  • A.7 : Physical controls (물리적 통제) - 14개
  • A.8 : Technological controls (기술적 통제) - 34개

2022년 개정 변화:

  • 기존 14개 영역 114개 통제 → 4개 영역 93개 통제로 재구성
  • 클라우드, 원격근무 등 최신 보안 이슈 반영

2.2 PDCA 사이클

ISO 27001은 PDCA (Plan-Do-Check-Act) 사이클 기반:

  • Plan (계획)

    • 조직 상황 이해
    • 리더십 및 정책
    • 위험 평가 및 관리
    • 목표 수립

  • Do (실행)

    • 보안 통제 구현
    • 자원 배분
    • 역량 및 인식 제고
    • 운영

  • Check (점검)

    • 모니터링 및 측정
    • 내부 심사
    • 경영 검토

  • Act (개선)

    • 부적합 시정
    • 지속적 개선

위 4단계를 반복하며 Plan 으로 순환

3. ISO 27001 요구사항 (Clause 4~10)

3.1 Clause 4: 조직 상황 (Context of the Organization)

4.1 조직과 조직 상황의 이해

조직의 내·외부 이슈 파악:

  • 외부 이슈: 법률, 규제, 시장, 경쟁
  • 내부 이슈: 조직 구조, 문화, 전략

4.2 이해관계자의 니즈와 기대 이해

이해관계자 식별 및 요구사항 파악:

  • 고객
  • 주주
  • 임직원
  • 규제기관
  • 협력업체

4.3 정보보호 관리체계 범위 결정

ISMS 적용 범위 명확히 정의:

  • 조직 범위 (부서, 지점)
  • 물리적 범위 (건물, 위치)
  • 시스템 범위 (IT 시스템, 서비스)

예시: “본사 및 서울 데이터센터의 고객 관리 시스템 및 관련 인프라”

4.4 정보보호 관리체계

ISMS 수립·구현·유지·지속적 개선

3.2 Clause 5: 리더십 (Leadership)

5.1 리더십과 의지 표명

최고경영자의 ISMS에 대한 리더십:

  • ISMS 정책 승인
  • 목표 수립 지시
  • 자원 배분
  • 중요성 전달

5.2 정책

정보보호 정책 수립:

  • 조직 목적과 부합
  • 정보보호 목표 포함
  • 법적 요구사항 준수
  • 지속적 개선 의지

문서화전파 필수

5.3 조직의 역할, 책임 및 권한

ISMS 관련 역할 및 책임 배분:

  • CISO (정보보호 최고책임자)
  • 정보보호 담당 부서
  • 각 부서별 책임

3.3 Clause 6: 계획 (Planning)

6.1 위험 및 기회를 다루는 조치

6.1.1 일반 사항 위험 및 기회 식별

6.1.2 정보보호 위험 평가 정보보호 위험 평가 프로세스 수립 및 수행:

  1. [1단계] 정보자산 식별
  2. [2단계] 위협 식별
  3. [3단계] 취약점 식별
  4. [4단계] 위험도 산정
  5. [5단계] 위험 평가

위험도 = 위협 × 취약점 × 자산 가치

6.1.3 정보보호 위험 관리 위험에 대한 대응 방안 결정:

  1. 위험 수용: 위험을 그대로 받아들임
  2. 위험 감소: 보안 통제 구현하여 위험 감소
  3. 위험 회피: 위험을 발생시키는 활동 중단
  4. 위험 전가: 보험 등으로 위험 전가

6.2 정보보호 목표 및 달성 계획

정보보호 목표 수립:

  • 측정 가능
  • 모니터링 가능
  • 정기 검토

예시:

  • 침해사고 발생 건수 연간 0건
  • 보안 취약점 조치율 95% 이상
  • 보안 교육 이수율 100%

6.3 변경 계획

ISMS 변경 시 계획적으로 수행

3.4 Clause 7: 지원 (Support)

7.1 자원

ISMS 운영에 필요한 자원 제공:

  • 인력
  • 예산
  • 인프라
  • 기술

7.2 역량

인력의 역량 보장:

  • 교육
  • 훈련
  • 경험

7.3 인식

임직원의 인식 제고:

  • 정보보호 정책 인지
  • ISMS 기여도 인식
  • 부적합 결과 인지

7.4 의사소통

내·외부 의사소통 관리:

  • 무엇을, 언제, 누구에게, 어떻게

7.5 문서화된 정보

ISMS 관련 문서 작성·관리:

  • 정책, 절차, 기록
  • 문서 관리 (작성, 검토, 승인, 개정, 보관)

3.5 Clause 8: 운영 (Operation)

8.1 운영 계획 및 관리

계획된 프로세스 구현 및 관리

8.2 정보보호 위험 평가

정기적인 위험 평가 수행

8.3 정보보호 위험 관리

위험 관리 계획 이행

3.6 Clause 9: 성과 평가 (Performance Evaluation)

9.1 모니터링, 측정, 분석 및 평가

ISMS 성과 모니터링 및 측정:

  • 정보보호 목표 달성도
  • 보안 통제 효과성
  • KPI (핵심성과지표) 관리

9.2 내부 심사

내부 심사 정기 실시 (연 1회 이상):

  • ISMS 요구사항 준수 여부
  • 효과적 운영 여부

9.3 경영 검토

최고경영자의 정기 검토 (연 1회 이상):

  • ISMS 적합성, 타당성, 효과성 검토
  • 개선 기회 식별

3.7 Clause 10: 개선 (Improvement)

10.1 부적합 및 시정 조치

부적합 발견 시 시정 조치:

  • 원인 분석
  • 재발 방지 조치

10.2 지속적 개선

ISMS의 지속적 개선

4. Annex A 통제항목 (93개)

4.1 A.5 조직적 통제 (Organizational Controls) - 37개

주요 통제항목

  • A.5.1 정보보호 정책
  • A.5.2 정보보호 역할 및 책임
  • A.5.7 위협 인텔리전스
  • A.5.10 정보 및 기타 관련 자산의 허용 가능한 사용
  • A.5.23 클라우드 서비스 사용 시 정보보호
  • A.5.30 사업 연속성을 위한 ICT 준비성

4.2 A.6 인적 통제 (People Controls) - 8개

주요 통제항목

  • A.6.1 선별 심사 (채용 시 신원 확인)
  • A.6.2 고용 계약서 (비밀유지 조항)
  • A.6.3 정보보호 인식, 교육 및 훈련
  • A.6.4 징계 프로세스
  • A.6.5 고용 종료 또는 변경 후 책임
  • A.6.8 정보보호 이벤트 보고

4.3 A.7 물리적 통제 (Physical Controls) - 14개

주요 통제항목

  • A.7.1 물리적 보안 경계 (건물 출입 통제)
  • A.7.2 물리적 출입 통제
  • A.7.4 물리적 보안 모니터링 (CCTV)
  • A.7.7 클리어 데스크 및 클리어 스크린
  • A.7.8 장비 배치 및 보호
  • A.7.10 저장 매체 (USB, 하드디스크 등)
  • A.7.14 장비의 안전한 폐기 또는 재사용

4.4 A.8 기술적 통제 (Technological Controls) - 34개

주요 통제항목

  • A.8.1 사용자 엔드포인트 기기 (PC, 노트북 보안)
  • A.8.2 특권적 접근 권한 (관리자 권한 관리)
  • A.8.3 정보 접근 제한
  • A.8.5 안전한 인증
  • A.8.8 보안 로그 관리
  • A.8.9 구성 관리
  • A.8.10 정보 삭제
  • A.8.11 데이터 마스킹
  • A.8.16 모니터링 활동
  • A.8.23 웹 필터링
  • A.8.24 암호화 사용

5. ISO 27001 인증 절차

5.1 인증 준비

Phase 1: 갭 분석 (Gap Analysis)

현재 상태 vs ISO 27001 요구사항 비교:

  • 부족한 부분 파악
  • 개선 과제 도출

Phase 2: ISMS 구축

  1. 조직 상황 분석
  2. 범위 결정
  3. 정보보호 정책 수립
  4. 위험 평가
  5. 위험 관리 계획 수립
  6. 보안 통제 선정 및 구현 (Annex A)
  7. 문서화 (정책, 절차, 기록)

Phase 3: ISMS 운영

  1. 보안 통제 운영
  2. 교육 실시
  3. 모니터링 및 측정
  4. 내부 심사
  5. 경영 검토

5.2 인증 심사

1단계 심사 (Stage 1 Audit)

문서 심사:

  • ISMS 문서 검토
  • 준비 상태 확인

결과:

  • 적합 → 2단계 심사 진행
  • 부적합 → 보완 후 재심사

2단계 심사 (Stage 2 Audit)

현장 심사 (3~5일):

  • 인터뷰
  • 문서 검토
  • 시스템 점검
  • 현장 확인

부적합 발견 시:

  • 경미한 부적합 (Minor): 30일 이내 시정
  • 중대한 부적합 (Major): 90일 이내 시정

인증서 발급

심사 통과 시 ISO 27001 인증서 발급

유효 기간: 3년

5.3 사후 관리

연간 사후 심사 (Surveillance Audit)

매년 간소화된 심사 실시:

  • ISMS 유지 여부 확인
  • 변경 사항 검토

갱신 심사 (Recertification Audit)

3년 후 재인증 심사:

  • 2단계 심사와 동일한 수준

6. 보안 컨설팅 관점의 시사점

6.1 ISO 27001 인증 컨설팅

인증이 필요한 경우

  1. 글로벌 비즈니스: 해외 고객·파트너 요구
  2. 입찰 가점: 공공·민간 입찰 시 가점
  3. 고객 신뢰: 정보보호 수준 입증
  4. 내부 관리: 체계적인 정보보호 관리

컨설팅 프로세스

Phase 1: 현황 진단 (1개월)

  • 갭 분석
  • 로드맵 수립

Phase 2: ISMS 구축 (3~4개월)

  • 범위 설정
  • 정책·절차 수립
  • 위험 평가
  • 보안 통제 구현
  • 문서화

Phase 3: 운영 (2~3개월)

  • 내부 심사
  • 경영 검토
  • 부적합 시정

Phase 4: 인증 심사 (1~2개월)

  • 1단계 심사 대응
  • 2단계 심사 대응
  • 부적합 시정

총 기간: 약 6~10개월

6.2 ISO 27001 vs ISMS-P 선택 기준

기준 ISO 27001 ISMS-P 병행 인증
글로벌 비즈니스 ⭐⭐⭐ ⭐⭐⭐
국내 법적 의무 ⭐⭐⭐ ⭐⭐⭐
개인정보보호 ⭐⭐ (별도 ISO 27701) ⭐⭐⭐ (통합) ⭐⭐⭐
비용 ⭐⭐ ⭐⭐ ⭐ (높음)
국제 인지도 ⭐⭐⭐ ⭐⭐⭐

권장:

  • 글로벌 기업: ISO 27001 우선
  • 국내 중심 기업: ISMS-P 우선
  • 대기업: 병행 인증

6.3 ISO 27001 인증의 효과

비즈니스 효과

  1. 고객 신뢰 확보
  2. 입찰 경쟁력 강화
  3. 글로벌 시장 진출
  4. 파트너십 강화

내부 효과

  1. 정보보호 수준 향상
  2. 체계적 관리
  3. 임직원 인식 제고
  4. 리스크 관리 강화

7. 실무 사례

사례 1: 글로벌 SaaS 기업

A기업: 한국 SaaS 기업, 유럽·미국 진출

ISO 27001 인증 동기:

  • 유럽 고객이 ISO 27001 요구
  • GDPR 준수 입증 필요

인증 과정:

  1. 갭 분석 (1개월)
  2. ISMS 구축 (4개월)
    • 범위: 클라우드 서비스 인프라
    • 위험 평가
    • AWS 클라우드 보안 강화
  3. 내부 심사 (1개월)
  4. 인증 심사 (1개월)

결과:

  • ISO 27001 인증 취득
  • 유럽 고객 10개사 계약 성사

사례 2: 국내 중견 제조업

B기업: 자동차 부품 제조, 대기업 납품

ISO 27001 인증 동기:

  • 대기업 협력사 평가에서 정보보호 인증 요구
  • 내부 정보보호 수준 향상

인증 과정:

  1. ISMS-P 먼저 취득
  2. ISO 27001 추가 인증
    • ISMS-P와 중복 부분 많아 3개월 만에 인증

결과:

  • 대기업 협력사 평가 A등급
  • 정보보호 체계 확립

사례 3: 스타트업

C스타트업: AI 기반 HR 솔루션

ISO 27001 인증 동기:

  • 대기업 고객 입찰 참여
  • 투자 유치 시 신뢰도 향상

인증 과정:

  1. 외부 컨설팅 활용 (6개월)
  2. 최소 범위로 시작 (본사 + 클라우드)
  3. 비용 효율적으로 진행

결과:

  • ISO 27001 인증
  • 대기업 고객 2개사 확보
  • 시리즈 B 투자 유치 성공

8. ISO 27001 2022년 개정 주요 변화

8.1 통제항목 재구성

2013년 → 2022년

  • 14개 영역 114개 통제 → 4개 영역 93개 통제
  • 주제별 → 속성별 분류 (조직적, 인적, 물리적, 기술적)

8.2 신규 통제항목 (11개)

  1. A.5.7 위협 인텔리전스
  2. A.5.23 클라우드 서비스 사용 시 정보보호
  3. A.5.30 사업 연속성을 위한 ICT 준비성
  4. A.7.4 물리적 보안 모니터링
  5. A.8.9 구성 관리
  6. A.8.10 정보 삭제
  7. A.8.11 데이터 마스킹
  8. A.8.12 데이터 유출 방지
  9. A.8.16 모니터링 활동
  10. A.8.23 웹 필터링
  11. A.8.28 안전한 코딩

특징:

  • 클라우드 보안 강화
  • 원격근무 고려
  • 데이터 보호 강화

8.3 기존 인증 기업 대응

전환 기간: 2025년 10월까지

대응 방안:

  1. 신규 통제항목 검토
  2. 갭 분석
  3. 부족한 통제 구현
  4. 문서 업데이트
  5. 전환 심사

9. 체크리스트

인증 준비

  • 갭 분석을 수행했는가?
  • ISMS 범위를 명확히 정의했는가?
  • 정보보호 정책을 수립했는가?
  • 최고경영자의 리더십이 있는가?

위험 관리

  • 정보자산을 식별했는가?
  • 위험 평가를 수행했는가?
  • 위험 관리 계획을 수립했는가?
  • 보안 통제를 선정·구현했는가?

운영

  • 내부 심사를 연 1회 이상 수행하는가?
  • 경영 검토를 연 1회 이상 수행하는가?
  • 부적합 발견 시 시정 조치를 하는가?
  • 정보보호 목표를 달성하고 있는가?

문서화

  • 정책, 절차 문서가 있는가?
  • 위험 평가 기록이 있는가?
  • 내부 심사 기록이 있는가?
  • 경영 검토 기록이 있는가?

학습 정리

오늘 학습한 핵심 내용:

  • ISO 27001은 정보보호 관리체계 국제 표준
  • PDCA 사이클 기반 (Plan-Do-Check-Act)
  • Clause 4~10: ISMS 요구사항 (조직 상황, 리더십, 계획, 지원, 운영, 성과 평가, 개선)
  • Annex A: 93개 통제항목 (조직적 37, 인적 8, 물리적 14, 기술적 34)
  • 위험 평가·관리가 핵심
  • 인증 유효기간 3년, 매년 사후 심사
  • 2022년 개정: 클라우드, 원격근무 등 최신 이슈 반영
  • 글로벌 기업은 ISO 27001 선호, 국내 기업은 ISMS-P 또는 병행 인증
  • 인증 효과: 고객 신뢰, 입찰 경쟁력, 글로벌 진출

다음 학습 주제

Day 21: ISO 27002 정보보호 통제 가이드라인