ISO27001? BS7799?

ISO27001이란 무엇인가?

ISO27001’은 국제표준화기구(ISO)에서 제정한 국제 보안표준규격입니다. 정보보호 분야에서 가장 권위있는 국제인증으로 ‘ISO27001’ 인증을 획득하기 위해서는 정보보호관리체계 기준에서 정하는 위험관리, 보안정책, 자산분류 및 통제 등 11개 세션, 133개 항목에 대한 심사과정을 거쳐야 합니다.

ISO27001의 개발목적은 다음과 같습니다.

첫째, 정보보호가 필요한 기업에 최적의 보안관리체계를 수립하고 운영할 수 있는 표준 제공하고
둘째, 단편적인 기술적보안의 한계를 극복하기위한 종합적인 정보보호관리 규범 제공하며
세째, 기업 또는 조직의 정보보호관리체계에 대하여 공인기관이 인증함으로써 신뢰성 있는 조직 상호간의 전자거래를 위한 기반 제공하는 것이 ISO27001의 개발 및 제정 목적입니다.

국내에서는 2003년 5월 현재, 거의 모든 제1금융권의 은행이 인증을 기 획득 또는 추진하고 있고 보험, 증권사, 전자상거래 기반의 쇼핑몰 등 고객의 정보가 자사의 핵심 자산이 되는 산업을 중심으로 ISO27001의 전신인 BS 7799 인증이 활발하게 도입되었으며, 삼성전자 반도체의 전사적 인증획득을 계기로 제조분야에도 관심이 증폭되고 있습니다. 아울러, 다양한 서비스분야로 그 인증 추진의 폭이 넓어지고 있습니다.

ISO27001 인증을 획득한다는 것은 자사의 정보보호경영시스템이 국제적인 표준에 기반하고 있으며 이의 유효성이 국제적인 제3의 공인기관으로부터 인정 받게 되는 것이므로,  비즈니스 파트너와 최종 고객의 신뢰도 제고를 통해 글로벌 시장의 경쟁력을 제고를 기대할 수 있는 것입니다.

ISO27001의 발전과정

ISO27001의 전신은 앞서 잠깐 언급한대로 BS7799입니다.

BS7799는 1999년에 Part1과 Part2라는 부분이 제정 및 개정/공표되었으며 2000년에 Part1이 ISO/IEC17799로 개정되었고 작년인 2005년 10월에 Part2부분이 ISO27001로 개정되었습니다.

ISO27001은 정보보안관리체계에 대한 심사 및 인증 규격에 대한 표준이며 향후에는 정보보안관리에 대한 실행지침(ISO27002), 정보보안관리체계에 대한 실행 가이드라인(ISO27003, 개발중), 정보보안관리체계에 대한 메트릭스와 평가방법(ISO27004, 개발중), 정보보안관리체계에 대한 위험평가(ISO27005, 개발중)를 포괄하여 ISO27000SET으로 발전해 나갈 예정입니다.

기본적인 개념에서 두 인증의 차이점은 없습니다. 다만 보다 Global한 표준이 ISO인 까닭에 그 신뢰성에 대한 위상이 더욱 높아졌으며 BS7799의 내용에 몇가지 점검항목이 추가되거나 일부 변경된 부분이 있습니다.

자세한 변경내용은 기회가 되는대로 KISS 내 [보안]방에 업데이트할 예정이니 더 많은 관심이 있으신 분은 가끔 들르셔서 확인하여 주시길 바랍니다.