Skip content
Infosec ISO 27001

ISO/IEC 27001: 정보보안경영시스템(ISMS) 인증

LRQA의 전문가로부터 인증 및 교육 받기

02 736 6231

문의하기

귀사의 정보를 보호하세요.

규모나 부문에 관계없이 모든 조직에 대해 ISO/IEC 27001은 포괄적인 정보 및 사이버 보안 전략을 위한 강력한 기반을 제공합니다.

이 표준은 식별, 분석 및 실행 가능한 제어를 통해 위험을 완화하고 비즈니스의 중요한 데이터를 보호하기 위한 모범 사례 ISMS 프레임워크를 설명합니다.

공인된 ISO 27001 인증은 점점 더 복잡해지는 위협 환경으로부터 조직과 고객의 정보를 보호하기 위한 프로세스와 통제 수단을 갖추고 있음을 보여줍니다. 표준 및 당사 제품에 대한 자주 묻는 질문(FAQ)을 확인하십시오.

ISO27001:2022 개정 안내 웨비나

지난 10월25일 정보보안 경영시스템 ISO/IEC 27001:2013 이 2022 버전으로 개정되었습니다. 많은 고객사의 요청에 따라 3월 8일 2차 온라인 웨비나를 진행하였습니다. 지금 확인해보세요.

ISO27001:2022 개정 안내 웨비나
Person using a tablet

LRQA ISO/IEC 27001 서비스

LRQA 심사원은 ISO 27001에 대한 평가에 정통하여 귀사의 정보 보안 시스템이 최신 요구 사항 및 지침에 부합하는지 확인할 수 있도록 도와드립니다. LRQA는 인증 서비스를 제공하는 것 이상으로 귀사의 팀 역량을 강화하기 위해 설계된 업계 최고의 교육 프로그램을 제공합니다.

computer screen icon

교육서비스

다양한 학습 스타일을 통해 제공되는 다양한 커리큘럼을 통해  ISO 27001 에 대한 지식을 쌓아보세요.

 

image94kd3.png
차이점 분석

 ISO 27001 심사에 앞서, LRQA의 전문 심사원이 경영시스템의 중요도, 위험 식별 영역에 대해 도움을 줄 수 있는 옵션 서비스입니다.

imageao21.png
공인된 인증

귀사의 역량에 대한 명확한 설명을 제공하는 독립적인 2단계 프로세스 - 새로운 비지니스를 계획하고 이해 관계자들의 신뢰를 구축하는데 도움을 줍니다.

intgerated services icon.png
통합 심사

귀사에서 여러 경영시스템을 구현하는 경우, 보다 효율적이고, 비용 절감을 위한 통합 심사 및 모니터링 프로그램의 이점을 누릴 수 있습니다.

정보 및 사이버 보안에 대한 360⁰  접근 방식

광범위한 사이버 보안 포트폴리오가 뒷받침하는 심층적인 기술 인사이트와 전문 지식을 바탕으로 비즈니스와 협력하여 고객이 직면한 특정 위협을 파악한 후 이를 완화할 수 있는 솔루션을 제공할 수 있습니다. 시스템을 인증하고 취약점을 식별하며 브랜드 무결성, 재무 및 운영에 영향을 미칠 수 있는 공격 및 사고를 예방할 수 있습니다.

infosecurity and cyber services from LRQA - 360 view.png

LRQA의 차이점 분석 서비스

ISO/IEC 27001:2022 경영시스템 워크샵

경영진, 의사 결정권자 및 위험 소유자를 위해 설계된 이 일일 워크숍은 ISO 27001 표준을 프로젝트 또는 일상적인 활동에 통합할 수 있는 구체적이고 측정 가능하며 달성 가능하고 관련성 있고 시간 제한이 있는(SMART) 활동 및 목표로 전환합니다.  

이 과정을 완료하면 표준 4항의 일부로 사용할 수 있는 ISMS 인증 범위를 받게 되며, 이후에는 경영 검토 및 기타 관련 프로세스에서 사용할 수 있습니다.  

이 워크숍에는 조직의 나머지 구성원을 참여시키기 위한 아이디어와 다른 보안 또는 규정 준수 체제(예: PCI DSS)를 위해 수행 중인 모든 작업을 ISO/IEC 27001:2022 ISMS에 통합하는 방법을 시연하는 내용이 포함되어 있습니다.  

정보 보안 경영시스템(ISMS) 검토

이 검토는 표준의 핵심 요구사항을 중심으로 이루어지며 최고 경영진, 의사 결정권자 및 위험 소유자를 위해 설계되었습니다. ISO/IEC 27001:2022의 4~10항에 대한 조직의 준수 여부를 판단하고 완전한 규정 준수를 위한 비즈니스 목표에 맞는 맞춤형 로드맵을 제공합니다.  

보안 컨트롤 검토

당사 전문가들은 ISO/IEC 27001 부록 A 통제에 대한 보안 통제를 평가하기 위해 실질적인 방법과 규정 준수 방법을 조합하여 ISO/IEC 27002:2017의 도움을 받아 평가합니다. 이 검토를 통해 조직 전체를 살펴보고 보안 상태와 위험 수준을 파악할 수 있을 뿐만 아니라 이러한 위험을 해결하기 위한 SMART 활동/목표를 수립할 수 있는 능력을 제공합니다. 기타 주요 결과물로는 적용 가능성 진술서(6항에 대한)와 이행 로드맵 작성 등이 있습니다. 

LRQA의 구축 지원 서비스

위험 관리

위험 관리는 ISO/IEC27001의 핵심입니다. 당사는 고객과 협업하며 표준의 요구사항을 통합하고 조직에 맞는 위험 관리 시스템을 구축합니다. 위험 관리 시스템은 귀사의 ISMS에 통합되며, 적용 가능성 선언문과 함께 인증에 필요한 위험 평가 프로세스(정보 보안 위험 평가 및 위험 처리 포함)를 뒷받침하게 됩니다. 

제3자 위험 서비스

제3자 위험 관리는 데이터를 보호하고 ISO 27001 표준을 준수하는 데 매우 중요합니다. 당사 전문가가 귀사와 협업하여 제3자의 위험 수준을 결정하고 이를 관리하기 위한 평가 프로세스를 설계합니다. 또한 고객을 대신하여 위험 평가를 완료하고 조직 내 위험 소유자에게 위험을 보고하고 개선 활동을 제안함으로써 고객을 지원할 수 있습니다. 

내부 심사 서비스

내부 심사는 정보 보안 관리 시스템의 무결성과 효율성을 유지하기 위한 초석 역할을 합니다. 정기적인 내부 심사를 통해 개선이 필요한 부분을 파악할 뿐만 아니라 ISO 27001 표준 및 규제 요건을 준수할 수 있습니다.

당사의 전문가팀은 귀사를 대신하여 철저한 내부 심사를 수행하여 ISO 27001의 9.2항을 준수하고 지속적인 개선 문화를 조성할 수 있도록 지원합니다. LRQA의 도움을 받으면 심사 프로세스를 자신 있게 수행하고 개선 기회를 파악할 수 있으며 정보 보안 우수성에 대한 약속을 지속적으로 유지할 수 있습니다. 표준과 프로세스에 익숙해지면 이를 사내에 도입하거나 LRQA가 귀사를 대신하여 표준의 핵심 요소를 제공할 수 있습니다. 

지속적인 고객 지원 서비스

통합워크숍

당사는 경쟁력이 있고 실행 가능한 여러 인증을 유지하는 것은 특히 변화의 시기에 복잡하고 어려울 수 있다는 것을 잘 알고 있습니다. LRQA 전문가들은 거버넌스와 규정 준수가 어려운 작업이 아닌 전략적 자산이 될 수 있도록 사전 예방적이고 실행 가능한 지침을 제공합니다.  

통합 워크숍의 일환으로 귀사가 운영하는 각 규정 준수 제도를 검토하고 문서 합리화 또는 교차 보증 활동 강화를 통해 각 규정 준수 제도가 서로에게 어떤 이점을 제공할 수 있는지 파악합니다. 그런 다음 조직 전반의 다양한 경영시스템과 규정 준수 체계를 실용적인 방식으로 조정하여 보증을 강화하고 관리 시스템의 용도를 변경하거나 관리 노력을 줄일 수 있는 방법에 대한 일련의 권장 사항을 마련합니다. 

인증 지원 및 관리

당사는 조직의 인력 변화, 전략 방향의 변화, 구조의 변화 등 비즈니스 변화는 끊임없이 일어난다는 것을 잘 알고 있습니다. 게다가 빠르게 진화하는 규제 환경으로 인해 인증 유지가 혼란스럽고 어렵게 느껴질 수 있습니다. LRQA는 모든 분야와 시장의 글로벌 규제 요건을 이해하고, 이를 준수하는 데 도움이 되는 맞춤형 전략을 제공하기 위해 최선을 다하고 있습니다.

인증 지원 및 관리 서비스는 전적으로 귀사의 필요에 따라 맞춤화되며, 관리 검토를 주관하거나 위험 관리 프로그램을 검토하는 데 도움을 줄 수 있습니다. 필요한 것이 무엇이든 귀사의 비즈니스와 공급망이 성장을 저해하지 않으면서 규정을 준수할 수 있도록 도와드립니다.  

정책 및 문서 지원

기술이 다양한 위치에서 비즈니스를 연결하고 데이터 수집, 모니터링 및 분석이 혁신적인 잠재력을 지닌 급변하는 환경에서 기업은 진화하는 법규에 맞춰 정책을 수립해야 합니다. 법규 위반은 거액의 벌금과 잠재적인 평판 손상 등 상당한 비용을 초래할 수 있습니다.  

모든 정책을 만들고 모니터링하는 것은 시간이 많이 소요되는 작업이라는 것을 잘 알고 있습니다. 많은 조직이 정책을 만들거나 유지할 수 있는 내부 경험이나 지식이 부족하고 정책 관련 문의에 답변하는 데 어려움을 겪고 있습니다. LRQA가 도와드릴 수 있습니다.   

현장에 있든 원격으로 있든, 당사의 전문가가 정책 문서 템플릿을 만들고 최종 검토 및 승인을 위한 정책 문서를 작성하기 위해 고객과 협력합니다. 이러한 문서가 이미 존재하는 경우, 고객이 선택한 주기에 따라 정기적인 검토를 완료하여 비즈니스가 규정을 준수하고 있는지 확인함으로써 고객이 안전하고 안전하게 조직을 발전시키는 데 집중할 수 있도록 도와드립니다. 

 

왜 LRQA 과 함께 해야할까요?

글로벌 역량

전 세계 55개국 이상에서 250명 이상의 전담 사이버 보안 전문가와 300명 이상의 우수한 정보 보안 심사원을 통해 전 세계적으로 일관된 우수성을 갖춘 현지 서비스를 제공할 수 있습니다.

LRQA auditors having a conversation with a client

유연한 인증 심사

대부분의 경우, LRQA의 ISO 27001 교육 및 인증 서비스는 안전한 보안 기술을 사용하여 현장 또는 원격으로 제공할 수 있습니다. 원격 심사 서비스를 선택하면 유연성, 빠른 제공, 글로벌 전문 지식 활용 등 몇 가지 추가 혜택과 함께 동일한 고품질 서비스를 받을 수 있습니다.

Group video call on a laptop

최초의 역사

LRQA는 전 세계 다양한 표준에 대한 인증 서비스를 제공하기 위해 최초로 UKAS 인증을 받았습니다. 앞으로도 다양한 분야에서 다양한 특정 표준과 프레임워크를 개발하는 데 중요한 역할을 할 것입니다.

Group of people having a discussion in a meeting room

전문가의 전문 지식

당사의 사이버 보안 전문가는 여러 벤더 인증 및 인증을 보유하고 있을 뿐만 아니라 CREST, PCI SSC, ISC2, BCI, Chartered Institute of IT, NCSC CHECK 등 공신력 있는 업계 인증도 보유하고 있습니다.

 

자주하는 질문 (FAQ)

ISO 27001 인증이 무엇인가요?


ISO 27001은 정보 보안 관리 시스템(ISMS)에 대한 요구 사항을 정의하는 국제 경영 시스템 표준입니다. 이 표준은 위험을 관리하고 완화하기 위한 통제를 식별, 분석 및 구현하는 모범 사례 프레임워크를 제공하여 정보 보안 침해 가능성을 줄입니다.

규모와 부문에 관계없이 모든 조직은 ISO 27001 내의 요구 사항과 통제를 활용하여 독립적으로 인증될 수 있는 효과적인 ISMS를 구현할 수 있습니다.

신망이 두터운 독립적인 인증 기관에서 제공하는 공인 ISO 27001 인증은 정보 보안에 대한 약속을 보여주고 ISMS의 견고성과 효율성에 대한 편견 없는 관점을 제공합니다. 이는 계약상 의무를 이행하는 데 도움이 되며 많은 경우 거래 허가증 역할을 합니다.

 

ISO 27001 의 효과는 무엇이고, 왜 중요한가요?
데이터 및 평판 보호

ISO 27001 인증은 다음과 같은 모범 사례를 보여주는 정보 보안에 대한 체계적이고 위험 기반 접근 방식을 수립했음을 보여줍니다.:

  • 정보 및 사이버 보안 위험 식별
  • 임팩트 및 가능성을 기반으로 위험 분석
  • 위험을 평가하고 비즈니스와 관련된 요소를 기반으로 해결할 때 우선 순위 지정
  • 리스크 해소에 대한 옵션 선택
법률, 규정 및 계약 요건 준수 입증

ISO 27001 인증을 취득하려면 EU GDPR 또는 HIPAA와 같은 규정과 같은 해당 법률을 식별해야 합니다. 이는 위험 관리 및 기업 거버넌스에 긍정적인 영향을 미치므로 규정 준수를 입증하고 계약 요구 사항을 충족하는 데 도움이 됩니다.

경쟁력

LRQA로 부터 인증은 고객과 이해 관계자에게 IT, 인력, 물리적 환경 및 비즈니스 연속성과 관련된 보안 위험이 정보를 보호하기 위해 적절하게 해결되었다는 확신을 줍니다.

ISO 27001 인증은 귀사의 능력에 대한 명확한 성명을 제공하고 귀사가 국제적으로 인정된 모범 사례에 따라 비지니스를 운영하고 있음을 보여줌으로써 새로운 비즈니스를 수행할 수 있도록 돕습니다.

ISO 27001 심사는 어떻게 진행되나요?

ISO 27001 심사는 다른 Annex SL 기반 관리 시스템과 동일한 접근 방식을 따릅니다. 교육 및 갭분석으로 시작할 수 있지만 공식 프로세스에는 ISMS 설계 감사(1단계)와 운영 감사(2단계)가 포함됩니다. 이러한 심사 결과는 승인 위원회가 정의한 모범 사례에 대한 우리의 약속과 일관성과 일치를 보장하기 위해 LRQA의 자격을 갖춘 독립적인 사람이 기술적으로 검토합니다.

귀사의 인증서가 승인이 되면 ISO 27001 인증서가 발급되고 3년 주기의 사후 감사를 시작하여 다음 3년을 다시 설정하기 위한 갱신 심사로 이어집니다. 모니터링을 통해 LRQA와 귀사의 조직 모두 변경 사항을 관리하고 심사가 현재 업계 요구 사항과 관련이 있는지 확인할 수 있습니다.

ISO 27001 인증은 얼마동안 유효 한가요?

승인된 후 인증은 모니터링 프로그램을 통해 입증된 효과적인 시스템 유지 관리에 따라 3년 동안 지속됩니다.

일반적인 ISMS 범위 및 적용성 설명에는 무엇이 포함되나요?

일반적인 ISMS 인증서 범위 설명에는 제품 및 서비스 제공과 관련된 활동이 포함됩니다. 내부 활동이나 ISMS 프로세스를 포함할 필요는 없습니다. 제품이나 서비스를 받을 때 제공된 정보가 보호된다는 것을 독자에게 확신시키는 것이 목적입니다.

적용 가능성(Applicability) 성명은 선택한 컨트롤 목록을 나타냅니다. 이러한 통제에 대한 세부 정보는 제공하지 않지만 마지막 ISO 27001 심사의 기초로 사용된 통제 설명에 대한 추적 가능한 참조를 제공합니다.

때때로 조직에는 ISO 27001 Annex A에서 선택한 컨트롤을 나열하는 공유 가능한 공개 버전이 있지만 필수 요구 사항은 아닙니다.

ISO 27001 인증을 받는데 비용이 얼마나 드나요?

비용은 ISMS 범위 내 직원 수와 관련된 감사 일수를 기준으로 합니다. 심사일수는 ISO 27006 인정기준에 공시되어 누구나 볼 수 있습니다. LRQA와 같은 공인 인증 기관에 참여하면 다른 모든 공인 인증 기관과 비교할 수 있는 업계 모범 사례를 기반으로 제안된 심사 기간을 확보할 수 있습니다.

예를 들어, 100명의 FTE(Full-Time Equivalents)로 구성된 조직은 그들이 운영하는 부문, 작업 환경이 얼마나 복잡한지, 소프트웨어 개발에 참여하는 경우, 제품에 보안을 구축해야 하는 경우,  후속 모니터링 프로그램 등의 경우  약 3-4일/년이고 갱신은 6-8일 정도 소요 됩니다.

기존에 ISO 9001을 인증 받았습니다. ISO 27001과 통합할 수 있나요?

네, 가능합니다. -  ISO 9001 및 ISO 27001 모두 경영 시스템에 대한 일반적인 모범 사례 모델(Annex SL)을 기반으로 하므로 핵심 관리 프로세스는 두 표준의 요구 사항을 모두 충족하도록 최적화할 수 있습니다.

사실, 두 가지 모두를 다루는 시스템을 설계하면 조직 거버넌스의 효율성이 향상됩니다. 예를 들어, 성장과 같은 비즈니스 목표는 보안이 일반적으로 시장 기대에 부합하는 품질 표준으로 간주되는 신제품 개발을 요구하는 경우가 많습니다. 통합은 또한 중복을 최소화하여 감사 시간을 줄여 비용 효율적인 옵션을 제공할 수 있습니다.

일반적인 ISO 27001 인증 프로세스란 무엇인가요?

조직이 ISO 27001 인증을 획득하기 위해 취하는 경로는 다른 요인들 중에서도 정보 보안 및 광범위한 위험 관리와 관련된 비즈니스 성숙도 수준에 따라 달라지는 경우가 많습니다. 그러나 ISO 27001 인증을 받기 위한 일반적인 프로세스에는 3가지 주요 단계가 포함됩니다.

  • 심사 1 단계 – 문서 검토 및 계획:  LRQA 심사원은 귀사의 경영시스템의 설계 및 문서를 검토할 것입니다. 대부분의 경우 이 작업이 수행됩니다.
  • 심사 2 단계 – 구현 능력 평가:심사원은 ISO 27001의 요구 사항에 따라 ISMS의 구현 및 효율성을 평가할 것입니다. 부적합 사항이 없으면 인증을 받게 됩니다. 이 단계는 원격으로 또는 현장에서 수행할 수 있습니다.
  •  ISO 27001 인증 홍보: 귀사의 인증은 국제적으로 인정받는 모범 사례와 지속적인 개선에 대한 약속을 보여줌으로써 새로운 비즈니스를 성사시키고 고객 요구를 충족하도록 돕습니다.
ISO 27002:2022란무엇이며, 의미하는 바가 무엇인가요?

ISO 27002:2022 간행물은 2013년으로 거슬러 올라가는 ISO 27001에 있는 통제(Control) 목록에 대한 업데이트를 제공합니다. 개정된 통제 부문은  위협 및 현재 모범 사례 모두와 관련된 개발을 반영하고 ISO 27002의 확장된 범위는 다음을 보장하는 데 도움이 됩니다. 위험 관리 조치는 광범위하고 효과적입니다. 조직은 포괄적인 제어 목록을 사용하여 식별한 위험을 처리하거나 잠재적 격차를 발견할 수 있으므로 오늘날 비즈니스가 직면하고 있는 복잡하고 진화하는 위협 환경에서 한 발 앞서 나갈 수 있습니다.

ISO 27001의 새 버전이 개발 중인가요?

ISO 27001의 새 버전은 2022년 10월 25일 게시되었습니다. ISO 27002:2022에 따라 조직이 위험 평가를 재검토하고 새로운 위험 처리를 구현해야 하는지 여부를 결정하도록 요구하는 새로운 제어 기능이 포함되었습니다.

ISO 27001 으로 전환을 준비하고 계신가요?

케이스 스터디

최신 뉴스, 인사이트 및 이벤트