ISO 27001 요구사항 완벽 가이드

인증 취득을 위해 구현해야 하는 10가지 요구사항 및 Annex A 보안 통제 항목
김성하's avatar
Dec 12, 2024
ISO 27001 요구사항 완벽 가이드

ISO 27001의 구성

ISO 27001은 크게 두 개의 중요한 부분으로 구성되어 있어요.

첫 번째4항부터 10항까지의 필수 조항들인데, 이는 정보보호관리체계(ISMS) 인증을 받기 위해 반드시 충족해야 하는 요구사항들입니다.

두 번째부록 A (Annex A)로, 여기에는 93개의 구체적인 보안 통제 방법들이 나열되어 있어요. 쉽게 말해서 4-10항은 "무엇을 해야 하는지"를 알려주는 필수 과제라면, 부록 A"어떻게 하면 되는지"를 설명하는 방법론이라고 할 수 있죠.

1. ISO 27001의 요구사항 (필수) 🔐

ISO 27001 요구사항은 기업이 튼튼한 정보보호관리체계(ISMS)를 만들고 유지하기 위해 꼭 필요한 항목들을 정리해놓은 것이에요. 쉽게 말해서 '정보보호를 잘 하기 위한 체크리스트'✅라고 생각하시면 됩니다!

조항 (Clause)

기능 (Function)

제 1항

적용범위 (Scope)

제 2항

인용표준 (Normative References)

제 3항

용어 및 정의 (Terms and Definitions)

제 4항

조직 (Organization)

제 5항

리더십 (Leadership)

제 6항

계획 (Planning)

제 7항

지원 (Support)

제 8항

운용 (Operation)

제 9항

성과평가 (Performance Evaluation)

제 10항

개선 (Improvement)

제 1항 적용범위 (Scope) 🎯

표준의 목적, 적용 대상이 되는 조직의 유형 및 조직이 인증을 받기 위해 준수해야 하는 요구사항을 포함하고 있어요.

제 2항 인용표준 (Normative References) 📖

ISO 표준에는 '표준 참조'라는 부분이 있는데요, 이건 마치 책의 '참고문헌' 같은 거예요. ISO 27001의 경우에는 단 하나만 참고하면 된답니다. 바로 'ISO 27000 정보 기술 - 개요 및 용어'라는 문서예요.

제 3항 용어 및 정의 (Terms and Definitions) 📋

ISO 27001에는 별도의 용어와 정의가 포함되어 있지 않습니다. 대신 가장 최신 버전의 'ISO 27000 정보 기술 - 개요 및 용어'를 참조하도록 되어 있어요. 현재 ISO 27000 문서에는 ISO 27001에서 사용되는 81개의 용어 정의가 포함되어 있어요.

다른 ISO 표준들과 달리 ISO 27001의 4항부터 10항까지의 조항들은 하나도 빠짐없이 모두 지켜야 해요! 다시 말해, 앞서 말한 모든 요구사항을 충족할 때만 ISO 27001 인증을 받을 수 있습니다.

제 4항 조직상황 (Context of the organization) 🏢

  1. 조직상황 (Context of the organization)

4.1 조직과 조직상황의 이해

4.2 이해관계자 니즈와 기대 이해

4.3 정보보안경영시스템의 적용범위 결정

4.4 정보보안경영시스템

ISO 27001 인증을 받으려면 우리 조직이 처한 상황을 잘 설명해야 해요. 여기서 말하는 '상황'이란, 우리가 발견한 보안 위험이 무엇인지, 또 중요한 정보가 외부로 새어나가지 않도록 어떤 보안 장치를 마련했는지를 의미합니다.

심사관들은 이런 내용을 보고 우리 조직이 보안 위험을 얼마나 잘 이해하고 있는지, 또 그에 맞는 적절한 보안 조치를 취했는지를 판단하게 돼요.

제 5항 리더십 (Leadership) 👥

  1. 리더십 (Leadership)

5.1 리더십과 의지표명

5.2 정보 보안 방침

5.3 조직의 역할, 책임 그리고 권한

조직을 이끄는 최고 경영진과 고위 관리자들은 직접 보안의 중요성을 보여줘야 해요. 그저 "보안이 중요하다"고 말로만 하는 게 아니라, 자신들도 보안 교육에 적극적으로 참여하고, 보안 목표를 달성하기 위해 노력하는 모습을 보여줘야 합니다. 또

한 팀원들이 보안 업무를 효율적으로 처리할 수 있도록 필요한 인력이나 예산, 도구 등을 아낌없이 지원해주어야 해요. 이런 행동을 통해 조직 전체가 보안의 중요성을 진지하게 받아들이게 되죠.

제 6항 계획 (Planning) 📝

  1. 계획 (Planning)

6.1 위험과 기회를 다루기 위한 조치

6.2 정보 보안 목표와 달성을 위한 계획

ISO 27001은 재미있게도 "이것만 하세요"라고 정해진 규칙을 주지 않아요. 왜냐하면 모든 회사가 다른 방식으로 일하기 때문이죠. 예를 들어 환자 정보를 다루는 병원과 제품 설계도를 다루는 제조회사가 똑같은 보안 규칙을 따르는 건 말이 안 되겠죠?

그래서 ISO 27001은 각 회사가 자신의 특성에 맞는 보안 대책을 스스로 만들도록 해요. 마치 맞춤 옷을 만드는 것처럼, 우리 회사에 꼭 맞는 보안 정책을 디자인하는 거예요. 중요한 건 우리가 가진 중요 정보를 안전하게 지키는 것! 그리고 그 방법은 회사마다 다를 수 있다는 걸 ISO 27001은 잘 이해하고 있답니다.

제 7항 지원 (Support) 🤝

  1. 지원 (Support)

7.1 자원

7.2 역량

7.3 인식

7.4 의사소통

7.5 문서화된 정보

ISO 27001 인증을 받으려면 당연히 인력과 자원이 필요한데요, 많은 조직들이 이 부분에서 고민이 많아요. "ISO 27001 전담팀을 꾸려야 하나?" 하고 걱정하시는 분들이 많거든요.

하지만 너무 걱정하지 마세요! 꼭 새로운 전담팀을 만들 필요는 없답니다. 우리 조직의 현재 구성원들이 각자 자신의 업무 영역에서 보안 책임을 나눠 맡으면 돼요. 예를 들어 IT팀은 시스템 보안을, 인사팀은 직원 교육을, 총무팀은 문서 관리를 담당하는 식으로요.

다만 한 가지 잊지 말아야 할 점! 이렇게 보안 업무를 맡은 직원들이 자신의 역할을 제대로 수행할 수 있도록 적절한 교육을 받을 기회를 꼭 제공해주어야 해요. 이게 바로 ISO 27001이 말하는 '자원 할당'의 진정한 의미랍니다.

제 8항 운용 (Operation) ⚙️

  1. 운용 (Operation)

8.1 운용 계획 및 통제

8.2 정보보안 위험평가

8.3 정보보안 위험처리

우리가 정보보호관리체계(ISMS)를 만들었다고 해서 끝이 아니에요. 마치 건강검진을 정기적으로 받듯이, 우리의 보안 시스템도 잘 작동하고 있는지 정기적으로 체크해봐야 합니다.

예를 들어 "비밀번호 정책이 실제로 효과가 있나?", "직원들이 보안 규칙을 잘 지키고 있나?", "새로운 보안 위험은 없나?" 이런 것들을 꾸준히 살펴봐야 해요. 문제가 보이면 바로바로 개선하고요.

그리고 중요한 건, 이런 점검과 개선 활동들을 일기 쓰듯이 꼼꼼히 기록해두는 거예요. 나중에 ISO 27001 심사관이 오면 "우리가 이렇게 열심히 관리하고 있어요!"라고 자신 있게 보여줄 수 있어야 하니까요. 이게 바로 ISO 27001이 원하는 '지속적인 관리'랍니다!3

제 9항 성과평가 (Performance Evaluation) 📊

  1. 성과평가 (Performance Evaluation)

9.1 모니터링, 측정, 분석 및 평가

9.2 내부심사

9.3 경영진 검토

성과 평가는 우리 조직의 보안 건강검진 결과표 같은 거예요! 우선 우리가 스스로 점검할 때 "어떤 부분을 살펴봐야 하지?"라는 고민 없이 체계적으로 확인할 수 있게 도와줍니다.

나중에 ISO 27001 심사관이 방문했을 때도 이 성과 평가 자료가 아주 중요한 역할을 해요. 심사관은 이 자료를 보면서 "아, 이 회사가 약속한 보안 대책들을 잘 실천하고 있구나" 또는 "처음에 계획했던 보안 범위 안에서 잘 관리되고 있구나"라고 판단할 수 있거든요.

쉽게 말해서, 성과 평가는 우리가 보안을 얼마나 잘 지키고 있는지 보여주는 성적표인 셈이죠!

제 10항 개선 (Improvement) 📈

  1. 개선 (Improvement)

10.1 지속적 개선

10.2 부적합 및 시정조치

보안 규칙을 지키지 못하는 실수가 발생할 수 있어요. 완벽한 조직은 없으니까요! 하지만 중요한 건 그 실수를 어떻게 기록하고, 배우고, 개선하느냐 입니다.

ISO 27001은 이런 상황이 생기면 마치 사고 일지를 쓰듯이 꼼꼼하게 기록하라고 해요. 예를 들어:

  • "이 일은 누구 책임이었나?"

  • "정확히 어떤 일이 있었지?"

  • "특별한 사정이 있어서 규칙을 어길 수밖에 없었나?"

  • "문제를 어떻게 해결했지?"

  • "앞으로는 이런 실수를 어떻게 막을까?"

이렇게 기록을 남기는 이유는 간단해요. 같은 실수를 반복하지 않기 위해서죠! 실수를 했다고 해서 숨기거나 변명하지 말고, 오히려 이를 통해 우리 조직의 보안을 더 강화할 수 있는 기회로 삼는 거예요. 마치 시험에서 틀린 문제를 복습하듯이요!

2. ISO 27001:2022 부록 A (보안통제 목록)

ISO 27001 요구사항은 조직이 반드시 구현해야 하는 정책과 통제 항목들을 알려주는 가이드라인이에요. 하지만 이러한 통제 항목들이 제대로 작동하고 있는지 확인할 수 있는 검증 방법은 제시하지 않아요.

바로 이때 부록 A(Annex A)가 등장합니다! 심사 과정에서 심사위원은 부록 A를 기준으로 ISO 27001 프레임워크의 정책들과 93개의 통제 항목들이 얼마나 효과적으로 작동하는지 심사해요.

부록 A의 통제항목은 몇 개인가요?

ISO 27001 통제는 조직이 ISO 27001의 보안 요구사항을 충족하기 위해 정책, 프로세스, 절차의 형태로 취해야 하는 조치들을 모아놓은 거예요.

ISO 27001:2022 부록 A에는 서는 93가지 보안 수칙 4개 분야로 나눠서 제시하고 있어요. 2013년 버전에는 114개의 통제가 14개 영역으로 나뉘어 있었어요. 일부 통제들을 통합하고, 삭제하고, 새로 추가하면서 더 현대적으로 바뀌었답니다.

조항

보안 통제

통제 항목 (93개)

5항

조직의 통제 (Organizational Controls)

37개

6항

인적 통제 (People controls)

8개

7항

물리적 통제 (Physical controls)

14개

8항

기술적 통제 (Technological controls)

34개

적용할 통제 항목은 어떻게 선택하나요?

부록 A에 나열된 93개의 보안 통제를 모두 구현할 필요는 없어요. 우리 조직의 위험 특성에 맞춰서 필요한 통제들만 선택해서 적용하면 돼요.

만약 부록 A의 어떤 통제를 적용하지 않기로 했다면, 적용성 보고서(Statement of Applicability)에 그 이유를 설명하면 됩니다. 예를 들어, 원격 근무자가 전혀 없는 회사라면 A.6.2.2 항목(원격 근무 통제)을 제외할 수 있어요. 이런 경우 인증 심사관에게 그 이유를 설명하면 되죠.

통제 항목은 누가 관리해야 하나요?

많은 분들이 ISO 27001과 정보보안을 IT팀만의 책임이라고 생각하시는데, 실은 그렇지 않아요! 전체 조직이 함께 책임져야 하는 일이랍니다.

부록 A 통제의 책임은 각 통제의 성격에 따라 다양한 팀에 나누어져 있어요.

  • IT 팀💻: 시스템 보안 설정

  • 인사팀 👨‍👩‍👧‍👦: 직원 보안 교육

  • 경영진 👔: 보안 정책 승인

  • 시설팀 🏢: 물리적 보안 관리

  • 법무팀 ⚖️: 규정 준수 확인

이번 시간에는 ISO 27001 취득을 위해 꼭 충족해야 할 10가지의 핵심 요구사항들과 이 요구사항들을 충족하기 위해 정말 중요한 문서인 부록 A의 보안 통제 항목들에 대해서도 살펴봤어요.

처음에는 10가지 요구사항과 93개의 통제 항목이 복잡하고 어렵게 느껴질 수 있지만, 차근차근 준비하면 생각보다 어렵지 않답니다. 중요한 것은 우리 조직의 특성에 맞는 보안 통제를 선택하고, 모든 구성원이 함께 참여하는 것이에요.

ISO 27001 인증은 단순히 인증서를 받는 것이 목표가 아닙니다. 이는 우리 조직의 정보보안 수준을 한 단계 높이고, 고객과 파트너사의 신뢰를 얻을 수 있는 좋은 기회예요. 이 글이 여러분의 ISO 27001 인증 준비에 작은 도움이 되길 바랍니다. 🚀

Share article
✨ Conta 뉴스레터를 구독하고 최신 소식을 받아보세요!

Conta, ISO 인증의 모든 것