2022년에 새로 공개된 ISO 27001은 규정을 도입하는 모든 조직이 그 규모나 산업 부문, 지역에 관계 없이 점점 더 복잡해지는 위협 환경에 효과적으로 대처할 수 있도록 개정된 프레임워크를 제공합니다.
새로 개정된 ISO 27001에는 규정을 도입한 조직이 컨트롤(control)을 더욱 효과적으로 관리할 수 있도록 총 네 가지 테마; 기관적 (Organisational), 인적 자원 (People), 기술적 (Technological), 물리적(Physical)로 구분되어 있습니다. 이 같은 구분은 조직 내 정보 보안이 무엇을 의미하는지 더욱 명확히 할 뿐만 아니라, 정보 보안의 중요성과 책임 소재를 분명히 하는 것이 목적입니다.
ISO 27001:2022는 또한 이번 개정 작업에서 가장 중요하다고 할 수 있는 최신 정보 보안 컨트롤 기능(ISO 27002:2022를 통해 제시)에 대한 내용도 담고 있습니다. 컨트롤의 개수 자체는 총 114개에서 93개로 줄었지만, 11개가 새로 추가되었고 기존의 컨트롤 중에는 병합되거나 삭제된 것도 있습니다.
유럽, 아시아 및 미주 지역을 담당하는 LRQA 임직원은 ISO 27001을 시행 중인 고객이 새로 개정된 규정을 성공적으로 도입하고 관련 체제로 전환할 수 있도록 지원할 예정이며, ISO 27001을 새로 도입하고자 하는 여러 산업 및 부문의 신규 고객과도 긴밀한 협업을 이어 나갈 전망입니다.
기존 ISO 27001:2013 인증을 보유한 조직은 새로운 규정으로 전환하는 데 3년이 소요될 것으로 보이며, LRQA의 전문가 팀은 포괄적인 서비스를 통해 처음부터 끝까지 지원을 아끼지 않을 것입니다.
LRQA 정보 보안 기술 관리자인 롭 애커(Rob Acker)는 다음과 같이 밝혔습니다.:
“새로 개정된 ISO 27001 규정은 점점 더 복잡해지고 끊임 없이 변화하는 위협 환경에 대응해 각종 위험을 관리할 수 있는 모범 사례와 조치를 제공하려는 어슈어런스 부문의 의지와 약속이 반영된 것이라 할 수 있습니다.
규정을 도입하는 조직은 새로운 위험 대응 조치를 시행해야 하는지 여부를 결정하기 위해 기존의 위험 평가를 다시 한번 검토해야 할 필요가 있고, LRQA는 이러한 재검토 프로세스를 지원하기 위해 ISO 27001:2022와 관련된 서비스를 다양하게 제공하는 등 최선을 다할 것 입니다.”
전문가로 구성된 LRQA 지원팀은 새로 개정된 규정을 도입하는 조직을 대상으로 세계 각지에서 교육훈련, 갭 분석, 실태 감사 등 다양한 지원을 제공합니다.
