ISO/IEC 27001:2022 · 정보보안경영시스템(ISMS)
ISO 27001 정보보안경영시스템
위험평가부터 인증까지, 정보자산 보호 체계 구축
OVERVIEW
개념 정의
ISO/IEC 27001은 조직의 정보자산에 대한 기밀성·무결성·가용성을 보장하기 위해 정책·절차·기술적 및 물리적 통제를 체계적으로 수립·운영하는 정보보안경영시스템(ISMS) 국제표준입니다. 2005년 제정 이후 지속적으로 개정되어 왔습니다.
2022년 개정판에서는 Annex A 통제항목이 114개에서 93개로 재구성되고 위협 인텔리전스·클라우드 보안 등 신규 항목이 추가되었으며, 기존 2013년판 인증기업은 2025년 10월까지 전환을 완료해야 했습니다. 해외 SaaS·클라우드·IT 기업과의 거래에서는 제안 자격요건으로 요구되는 경우가 많습니다.
핵심 개념
93개
통제항목(2022)
2022년 개정으로 Annex A 통제항목이 114개에서 93개로 재구성되었습니다.
3년
인증 유효기간
인증서 유효기간은 3년이며 매년 사후심사가 진행됩니다.
2025.10
전환 완료기한
기존 2013년판 인증기업은 2025년 10월까지 2022년판 전환을 완료해야 했습니다.
RFP 필수요건
글로벌 거래 요건
해외 SaaS·클라우드·IT 기업과의 거래에서 제안 자격요건으로 요구되는 경우가 많습니다.
대상 기업
IT·SaaS·클라우드 기업
해외 고객사·파트너사로부터 정보보안 인증을 요구받는 기업
개인정보 대량 처리기업
고객정보·기업정보를 대량으로 취급하는 플랫폼·서비스 기업
공공·금융권 협력기업
공공기관·금융기관에 IT 서비스를 납품하는 협력업체
정보보안 리스크 관리 필요기업
정보유출·침해사고 예방을 위한 체계 구축이 필요한 기업
진행 프로세스
위험성평가부터 인증심사까지 4단계로 진행됩니다.
정보자산 위험평가
정보자산을 식별하고 위협·취약점을 평가합니다.
통제 설계·구축
93개 통제항목 중 적용 통제를 선정해 정책·절차를 수립합니다.
내부심사
정보보안관리체계 운영현황을 점검합니다.
인증심사
1단계 문서심사, 2단계 현장심사를 거쳐 인증서를 발급받습니다.
결과물
ISO 27001 인증서
정보보안정책 및 절차서
위험평가 및 적용성선언서(SoA)
정보보안관리체계 운영기록
기대 효과
정보보안 리스크 관리
체계적 위험평가로 정보유출·침해사고 가능성을 낮춥니다.
글로벌 거래 신뢰도 확보
해외 고객사·파트너사의 제안 자격요건을 충족합니다.
법·계약 요구사항 대응
개인정보보호법 등 관련 법규 준수 기반을 마련합니다.
지속적 보안수준 향상
매년 사후심사를 통해 보안체계를 지속적으로 개선합니다.