camera, old, vintage, film, lens, analog, shutter, iso, aperture, gray camera, gray film

ISO 27001 준비 체크리스트

/ 위협 / 글쓴이

서론

ISO 27001은 정보보호 경영시스템(ISMS)의 국제 표준으로, 조직의 정보 자산을 체계적으로 보호하기 위한 요구사항을 정의합니다. 본 체크리스트는 ISO 27001 인증을 준비하는 단계에서 반드시 점검해야 할 주요 항목들을 정리한 것으로, 단계별로 실행 상황을 확인하며 차질 없이 준비할 수 있도록 돕습니다.

1. 준비 단계

  1. 경영진의 의지 확보

    • 인증 추진 배경과 기대 효과를 명확히 문서화

    • 예산, 인력, 조직 내 책임자 및 지원 체계 확정

  2. 프로젝트 조직 구성

    • ISMS 추진팀(프로젝트 매니저, 정보보호 책임자, 주요 부서 담당자) 선임

    • 역할·책임 정의: 정책 수립, 위험 평가, 내부 감사, 교육 등

  3. 범위(Scope) 정의

    • 인증 적용 대상 시스템·프로세스·부서·지역 식별

    • 제외 범위에 대한 명확한 근거(물리적·논리적 이유) 마련

  4. 현재 상태 진단(Gap Analysis)

    • ISO 27001 요구사항과 현행 정보보호 체계 비교

    • 미비점 목록화 및 개선 우선순위 설정

2. 정책 및 계획 수립

  1. 정보보호 정책 수립

    • 정보보호 방침(Information Security Policy) 작성·승인

    • 경영진 서명 및 전사 공지

  2. 리스크 관리 프로세스 설계

    • 위험 평가 방법론(Risk Assessment Methodology) 선정

    • 자산 식별·평가, 위협·취약점 분석, 위험 수준 산정 기준 수립

  3. 목표(Objectives) 설정

    • 보호 수준, 사고 대응 시간, 규정 준수 달성률 등 KPI 정의

    • 측정 방법 및 목표 달성 기한 명시

3. 위험 평가 및 처리

  1. 자산 식별 및 가치 평가

    • 정보 자산(데이터, 시스템, 네트워크, 인력 등) 목록 작성

    • 기밀성·무결성·가용성 관점에서 자산별 중요도 평가

  2. 위협·취약점 분석

    • 내부(직원 에러, 권한 오남용)·외부(악성 공격, 자연 재해) 위협 목록화

    • 시스템별·프로세스별 취약점 파악

  3. 위험 산정 및 우선순위 결정

    • 위험도(Risk Level) = 위협 발생 가능성 × 영향도

    • High/Medium/Low 구분 후 H 위험부터 처리

  4. 위험 처리 계획(Risk Treatment Plan)

    • 제거, 완화, 수용, 이전(보험) 중 처리 방법 선정

    • 책임자 지정 및 처리 기한 설정

4. 통제(Control) 설계 및 구현

  1. 부록 A Annex A 통제 항목 매핑

    • ISO 27001 부록 A의 114개 통제(Control Objective & Control) 중 조직에 적합한 통제 선택

    • 이미 시행 중인 통제와의 중복·빈틈 점검

  2. 구체적 절차·지침 수립

    • 접근통제(Access Control), 암호화(Cryptography), 물리적 보안(Physical Security) 등 각 영역별 절차 문서화

    • 변경 관리(Change Management), 장애 대응(Incident Management) 지침 작성

  3. 기술적·관리적·물리적 통제 적용

    • 방화벽·IDS/IPS 설정, 로그 모니터링 시스템 구축

    • 백업·복구 프로세스, 보안 교육·훈련, 출입통제 시스템 설치

5. 문서화 및 운영

  1. 핵심 문서 관리

    • 정보보호 정책, 절차, 작업지침(Work Instruction), 양식(Form) 관리체계 수립

    • 버전 관리·승인 이력·보관 위치 명확화

  2. 교육 및 인식 개선

    • 전사 대상 정보보호 교육 계획 수립(신규 입사·정기 교육·특정 이슈 교육)

    • 내부 캠페인(포스터, 뉴스레터)·테스트 기반 모의 훈련(피싱, 사고 대응) 시행

  3. 모니터링 및 측정

    • KPI 기반 성과 보고: 보안 사고 건수, 취약점 점검 결과, 교육 이수율 등

    • 정기 점검(Check-up): 시스템 로그 검토, 취약점 스캔, 물리 보안 점검

6. 내부 감사 및 경영 검토

  1. 내부 감사(Internal Audit)

    • 인증 요구사항 준수 여부 및 운영 효과성 점검

    • 감사 범위·절차·체크리스트 준비, 감사 결과 보고 및 시정조치 추적

  2. 경영 검토(Management Review)

    • 경영진이 ISMS 성과·위험·시정조치 현황 검토

    • 정책 변경, 목표 재설정, 자원 배분 등 의사결정

7. 인증 심사 및 이후 관리

  1. 인증 심사 준비

    • 1단계(문서심사) 대비: 정책·절차·기록 등 문서 일체 정리

    • 2단계(현장심사) 대비: 절차 이행 증거(로그, 회의록, 교육 기록) 확보

  2. 심사 대응

    • 심사원 질문 대응 담당자 지정

    • 지적사항(Audit Finding)에 대한 시정조치 계획·완료 보고

  3. 유지·개선 활동

    • 인증 이후 정기 감시심사(Surveillance Audit) 준비

    • 신규 위험·요구사항 반영, 통제 개선, 정기 교육 지속

결론

ISO 27001 인증은 단기 프로젝트가 아닌, 조직 문화와 운영 체계를 정보보호 중심으로 전환하는 여정입니다. 본 체크리스트를 기반으로 단계별로 준비 상황을 점검하며, 경영진의 지원과 전사적 협업을 통해 ISMS를 성공적으로 구축·운영하시길 바랍니다.

Must Read