1993³â Á¤º¸º¸È£¿¡ ´ëÇÑ ½ÇÇàÁöħÀ» ¿µ±¹ÀÇ BSI°¡ óÀ½ ¹ßÇàÇÑÁö 12³â ¸¸¿¡, Á¤º¸º¸È£ °ü¸®Ã¼°è¿¡ ´ëÇÑ ½ÇÇàÇ¥ÁØÀÌ 2005³â ±¹Á¦Ç¥ÁØÀ¸·Î Á¦Á¤µÇ¾ú´Ù. ISO/IEC 27001:2005(ÀÌÇÏ ISO27001)·Î ¸í¸íµÈ Á¤º¸º¸È£ °ü¸®Ã¼°è ±¹Á¦Ç¥ÁØÀº ISO(International Organization for Standardization) 140°³ ȸ¿ø±¹¿¡¼ ±¹°¡Ç¥ÁØÀ¸·Î äÅõǾî È°¿ëµÇ°í ÀÖ´Ù. ƯÈ÷ ¸í½Ç»óºÎÇÑ Á¤º¸º¸È£ À¯ÀÏ ±Ô°ÝÀ¸·Î Áö±¸ÃÌÀÇ °¢ ±¹°¡, °¢ ±â¾÷ÀÇ Á¤º¸º¸È£ ½ÇÇàü°èÀÇ ±âÁØÀ¸·Î È°¿ëµÇ°í ÀÖ´Ù.
Á¤º¸º¸È£¿¡ ´ëÇÑ °ü¸®Àû ÀÎÁõ Ç¥ÁØ
ISO27001Àº ±â¾÷µéÀÌ Á¤º¸º¸È£ ¾÷¹«¸¦ ¼öÇàÇÔ¿¡ ÀÖ¾î ÂüÁ¶ ¹× ±âÁØÀ¸·Î È°¿ëµÇ°í ÀÖ´Ù. »Ó¸¸ ¾Æ´Ï¶ó ÀÌ ±Ô°ÝÀ» ¹ÙÅÁÀ¸·Î Á¶Á÷ÀÇ Æ¯¼º¿¡ ¸Â´Â Á¤º¸º¸È£ °æ¿µÃ¼°è¸¦ ¼ö¸³ÇÑ ÈÄ BSI¿Í °°Àº µ¶¸³ÀûÀÎ ÀÎÁõ±â°üÀ¸·ÎºÎÅÍ ½Ã½ºÅÛÀÇ ÀûÇÕ¼º ¹× ½ÇÇà¿©ºÎ¸¦ Æò°¡ ¹Þ°í, ½Å·ÚÇÒ ¼ö ÀÖ´Â Á¤º¸º¸È£ °ü¸®¸¦ °®Ãß¾î ¿î¿ëÇÏ°í ÀÖ´Ù´Â °ÍÀ» º¸ÁõÇÏ´Â Á¦3ÀÚ ½É»ç ¹× µî·ÏÁ¦µµÀ̱⵵ ÇÏ´Ù.
ISO27001¿¡¼ ÀǹÌÇÏ´Â Á¤º¸º¸È£ °ü¸®Ã¼°è´Â º¸¾È ¼Ö·ç¼ÇÀÇ ±¸Ãà°ú ±â¼úÀûÀÎ »çÇ×À» ¿ä±¸ÇÏ´Â °ÍÀÌ ¾Æ´Ï¶ó ÀÌ¿Í °°Àº »çÇ×À» Á¶Á÷ÀÇ ºñÁî´Ï½º ¸ñÀû¿¡ ÁØÇÏ¿© °ü¸®ÇÒ °ÍÀ» ¿ä±¸ÇÑ´Ù. Áï, ±â¾÷ÀÇ Á¤º¸¸¦ º¸È£Çϱâ À§ÇÏ¿© ÃֽŠ¹æȺ®À» ±¸ÃàÇÏ´Â °Íº¸´Ù´Â ¿ÜºÎ ³×Æ®¿öÅ©·ÎºÎÅÍÀÇ Ä§ÀÔ¿¡ ´ëÇÑ À§ÇèÀ» ±â¾÷ÀÌ ½Äº°ÇÏ°í ÀÌ À§ÇèÀ» Á¦°Å ¶Ç´Â ¼ö¿ë, ȸÇÇÇϱâ À§ÇÏ¿© ±â¾÷ ½º½º·Î ÅëÁ¦¹æ¾ÈÀ» ¸¶·ÃÇϸç, ÀÌ ÅëÁ¦°¡ ¸ñÀûÀ» ´Þ¼ºÇÒ ¼ö ÀÖµµ·Ï °ü¸®ÇÒ °ÍÀ» ¿ä±¸ÇÑ´Ù.
¶§¹®¿¡ ISO27001ÀÇ Ã¼°è¸¦ ±¸ÃàÇÑ´Ù¸é Á¤º¸º¸È£ È°µ¿¿¡ ´ëÇÏ¿© º¸´Ù ü°èÀûÀÎ Á¢±ÙÀÌ °¡´ÉÇÏ´Ù. ±â¼úÀûÀÎ ºÎºÐÀ̳ª ¹°¸®ÀûÀÎ º¸¾È¿¡¸¸ ÅõÀÚÇѴٰųª ÇÏ´Â °ÍÀÌ ¾Æ´Ï¶ó Ç¥ÁØ¿¡¼ ¾ð±ÞÇÏ°í ÀÖ´Â 11°³ Á¤º¸º¸È£ ¿µ¿ªÀÇ ¸ðµç ºÎºÐ¿¡ ´ëÇÏ¿© °í·ÁÇÒ ¼ö ÀÖ´Ù. ¶ÇÇÑ º¸¾È ¼Ö·ç¼ÇÀ» µµÀÔ ¹× ±¸ÃุÇÏ´Â °ÍÀÌ ¾Æ´Ï¶ó ÀÌ¿¡ ´ëÇÑ ¸ð´ÏÅ͸µ ¹× ¼º°ú¸¦ ÃøÁ¤ÇÏ¿© º»·¡ ÀǵµÇß´ø º¸¾È ¼Ö·ç¼ÇÀÇ ¸ñÀûÀ» ´Þ¼ºÇÏ°í ÀÖ´ÂÁö¸¦ È®ÀÎÇÒ ¼ö ÀÖ´Ù.
¹°·Ð ¾î¶² ±â¾÷¿¡¼´Â ±»ÀÌ ISO27001À» ¿Ö ÇØ¾ß Çϴ°¡? ÇÏ´Â Àǹ®À» Á¦±âÇÒ ¼ö ÀÖ´Ù. ±×·¯³ª ISO27001Àº ±Û·Î¹ú Ç¥ÁØÀ̱⠶§¹®¿¡ ´Ù¸¥ ±â¾÷°ú ´ëºñÇÏ¿© Á¶Á÷ÀÇ º¸¾ÈÈ°µ¿ÀÌ ¿øÈ°ÇÏ°Ô ¼öÇàµÇ°í ÀÖ´ÂÁö ºñ±³ÇØ º¼ ¼ö ÀÖÀ¸¸ç, °´°üÀû ½É»ç¸¦ ÅëÇÏ¿© Ÿ ±â¾÷ÀÇ ½ÇÇà»ç·Ê¸¦ Àڻ翡 Àû¿ëÇÒ ¼ö ÀÖ´ÂÁö È®ÀÎÇØ º¼ ¼öµµ ÀÖ´Ù.
±Û·Î¹úÀûÀÎ ISO27001 È®»ê ¹è°æ
ÃÖ±Ù 1~2³â °£ ÁÖ¿ä ±Û·Î¹ú ±â¾÷µéÀº ÆÄÆ®³Êµé°ú ºñÁî´Ï½º Çù¾÷À» Çϱâ Àü¿¡ ±×µéÀÇ º¸¾È ¼öÁØÀ» È®ÀÎÇÏ±æ ¿øÇÏ°í ÀÖ´Ù. ¿¹¸¦ µé¸é ¸î¸î ±Û·Î¹ú ±â¾÷µéÀº ºñÁî´Ï½º ÆÄÆ®³ÊµéÀÇ ±â¾÷ÇöÀå¿¡ Á÷Á¢ ¹æ¹®ÇÏ¿© Á¤º¸º¸È£ ¼öÁØÀ» Á÷Á¢ Á¡°ËÇÏ¸é¼ ±×µéÀÌ ¿øÇÏ´Â º¸¾È ¿ä±¸¼öÁØÀ» ¸¸Á·½Ãų °ÍÀ» ÆÄÆ®³Êµé¿¡°Ô °·ÂÇÏ°Ô ¿ä±¸ÇÑ´Ù. ½ÉÁö¾î º¸¾È ¿ä±¸»çÇ×ÀÌ ÀÌÇàµÇÁö ¾Ê´Â´Ù¸é ºñÁî´Ï½º ÀÚü¸¦ Áß´ÜÇϱ⵵ ÇÑ´Ù. ÀÌ¿Í °°Àº Çö»óÀº ºñÁî´Ï½º ÆÄÆ®³Ê ¹× Çù·Â»ç¿¡°Ô Á¦°øµÈ Á¤º¸°¡ °æÀï»ç¿¡°Ô À¯ÃâµÉ °æ¿ì µæº¸´Ù ½ÇÀÌ ÈξÀ Å©´Ù´Â »ç½ÇÀ» °¢ ±â¾÷µéÀÌ ¿¹Àüº¸´Ùµµ ½É°¢ÇÏ°Ô ÀÎÁöÇÏ°í ÀÖ´Ù´Â °ÍÀ» ÀǹÌÇÑ´Ù. µû¶ó¼ ±â¾÷µéÀº ISO27001ÀÇ ÀÎÁõÀ» ȹµæÇÑ ÆÄÆ®³Ê»çÀÇ °æ¿ì ÀÌ¿Í °°Àº Á¤º¸º¸¾È ¿ä±¸»çÇ×À» ¸¸Á·½ÃÅ°°í ÀÖ´Ù°í °£ÁÖÇϱ⵵ Çϸç, ±×·¸Áö ¾Ê´õ¶óµµ Á¤º¸º¸È£ ¿ä±¸»çÇ×À» ISO27001ÀÇ ÇÁ·¹ÀÓ¿öÅ©·Î ÁØ¿ëÇÏ´Â °æ¿ì°¡ Çã´ÙÇÏ´Ù. Áï, ÀÌ´Â Á¤º¸º¸È£È°µ¿ Áß¿¡¼ °ü¸®ÀûÀÎ ºÎºÐÀº ISO27001ÀÇ °ü¸®Ã¼°è·Î ÅëÀÏȵǰí ÀÖÀ½À» ¹ÝÁõÇÑ´Ù.
Á¤º¸º¸È£°æ¿µÃ¼°èÀÇ È¿°úÀû ¼ö¸³ÀýÂ÷
ISO27001¿¡ ´ëÇÑ ÀÎÁõÀº °ü·ÃÇÑ ¹®¼¸¦ ÀÛ¼ºÇÏ¿© º¸°üÇÏ°í ÀÖ´Ù°í Çؼ ȹµæÇÒ ¼ö ÀÖ´Â °ÍÀÌ ¾Æ´Ï´Ù. Áï ±â¾÷¿¡¼ ½Äº°ÇÑ Á¤º¸º¸È£È°µ¿À» ¿Ã¹Ù·Î ÀÌÇàÇÏ°í ÅëÁ¦ÀÇ È¿°ú¼ºÀ» ȹµæÇÏ°í ÀÖ´ÂÁö¸¦ °æ¿µÃþ ·¹º§, ½Ç¹« ·¹º§, ½Ã½ºÅÛ ·¹º§ µî¿¡¼ ½É»ç¿øÀÌ Á÷Á¢ ´«À¸·Î È®ÀÎÇÏ´Â °ÍÀÌ ISO27001 ÀÎÁõ½É»çÀÌ´Ù.
µû¶ó¼ ÀÎÁõÀ» ȹµæÇϱâ À§Çؼ´Â ÀûÇÕÇÑ Á¤º¸º¸È£ °ü¸®Ã¼°è¸¦ ¼ö¸³ÇÏ´Â °ÍÀÌ ¿ì¼±ÀÌ´Ù. °£·«ÇÑ ÃßÁøÀýÂ÷´Â ´ÙÀ½°ú °°´Ù.
ÃßÁøÆÀ ±¸¼º ¹× Àü·« ÇÕÀÇ
ÃÖ°í ÀÇ»ç°áÁ¤±ÇÀÚÀÇ Á¤º¸º¸È£¿¡ ´ëÇÑ ½ºÆù¼½ÊÀ» ȹµæÇÏ°í ÃÖ»óÀ§ÀÇ Á¤º¸º¸È£ Á¤Ã¥À» ¼ö¸³ÇÑ´Ù. ÀÌ ´Ü°è¿¡¼ Á¤º¸º¸È£ °ü¸®Ã¼°è°¡ Á¶Á÷ Àüü¿¡ Àû¿ëµÉ Áö ¾Æ´Ï¸é Çϳª ȤÀº ±× ÀÌ»óÀÇ ºÎ¹®¿¡ Àû¿ëµÉ Áö ¹üÀ§¸¦ °áÁ¤ÇØ¾ß ÇÑ´Ù. ¹üÀ§°¡ °áÁ¤µÇ¸é °ü¸®Ã¼°è¸¦ ¼ö¸³Çϱâ À§ÇÑ Å½ºÅ©Æ÷½ºÆÀÀ» ±¸¼ºÇÑ´Ù.
ÄÁ¼³ÆÃÀÇ Çʿ伺 °ËÅä
Á¤º¸º¸È£ °ü¸®Ã¼°èÀÇ È¿°úÀûÀÎ ±¸Ãà ¹× ½ÇÇà ¹æ¹ý¿¡ ´ëÇÏ¿© Á¶Á÷ ¿ÜºÎÀÇ µ¶¸³ÀûÀÎ ÄÁ¼³ÅÏÆ®·ÎºÎÅÍ µµ¿òÀ» ¹ÞÀ» °ÍÀΰ¡¸¦ °áÁ¤ÇÑ´Ù.
À§ÇèÆò°¡ ¼öÇà
ÀÌ ´Ü°è¿¡¼´Â ¸ðµç ÀáÀçÀû º¸¾ÈÀ§Çè¿¡ ´ëÇÑ °ËÅä°¡ ¼öÇàµÇ¾î¾ß ÇÑ´Ù. ÀÌ´Â IT ½Ã½ºÅÛ¿¡¸¸ ±¹ÇÑÇÏ´Â °ÍÀÌ ¾Æ´Ï¶ó Á¶Á÷ ³»ºÎÀÇ ¸ðµç ¹Î°¨ÇÑ Á¤º¸¸¦ Æ÷ÇÔÇØ¾ß ÇÑ´Ù.
°ü·Ã ¹®¼ °³¹ß
Á¤º¸º¸È£ Á¤Ã¥À» Áö¿øÇÒ ¼ö ÀÖ´Â Àû¿ë¼ºº¸°í¼(SoA) ¹× Áöħ, ÀýÂ÷µéÀ» °³¹ßÇÑ´Ù. ¿©±â¿¡´Â ÀÚ»ê ºÐ·ù ¹× ÅëÁ¦Ç׸ñ, ÀÎ»ç º¸¾È, ¹°¸®Àû ȯ°æÀû º¸¾È ¹× ºñÁî´Ï½º ¿¬¼Ó¼º °ü¸® µîÀÇ ¿µ¿ªÀ» ´Ù·ç°Ô µÈ´Ù.
Á¤º¸º¸È£°æ¿µ ½Ã½ºÅÛ ½ÇÇà
Á¤º¸º¸È£°æ¿µ¡¤½Ã½ºÅÛÀÇ ½ÇÇà¿¡ ÀÖ¾î Áß¿äÇÑ Á¡Àº ÀÇ»ç¼ÒÅë ¹× ±³À°ÈÆ·ÃÀÌ´Ù. ½ÇÇà´Ü°è¿¡¼, ¸ðµç ÀοøÀº ÀýÂ÷¿¡ µû¶ó ¾÷¹«¸¦ ¼öÇàÇÏ°í ¼öÇàÇÑ ¾÷¹«ÀÇ Áõ°Å ¹× ºÐ¼®ÀÇ ±â¹Ýµ¥ÀÌÅÍ·Î »ç¿ëÇÏ°Ô µÉ ±â·ÏÀ» ³²±ä´Ù.
ÀÎÁõ ½Åû ¹× ½É»ç ÀýÂ÷
1´Ü°è ±â¾÷Àº ISO 27001:2005ÀÇ ¿ä±¸»çÇ× ¹× ÅëÁ¦Ç׸ñ¿¡ µû¶ó ISMS¸¦ ¼ö¸³(Plan), ½ÇÇà(Implementation) ¹× ¿î¿µ(Operate)ÇÏ°í ¸ð´ÏÅ͸µ(Monitor) ¹× °ËÅä(Review)¿Í Áö¼ÓÀûÀÎ °³¼±(Improvement)À» ¼öÇà.
2´Ü°è ¼³¹® ¹× ½É»ç°ßÀû - ±â¾÷ÀÇ Æ¯¼ºÀ» ½Äº°ÇÏ´Â ¼³¹® ´Ü°è¸¦ °ÅÃÄ BSI´Â ISO27006¿¡ ±â¹ÝÀ» µÐ °ø½ÄÀûÀÎ ½É»ç¿¡ ´ëÇÑ ºñ¿ë ¹× ±â°£À» Á¦½Ã.
3´Ü°è °è¾à¼ Á¦Ãâ - Á¶Á÷Àº BSI¿¡ °ø½Ä ½Åû¼¸¦ Á¦Ãâ.
4´Ü°è ¹®¼°ËÅä(Stage1) - BSI´Â À§Ç輺Æò°¡, ¹æħ, ¹üÀ§, Àû¿ë¼ºº¸°í¼(SoA) ¹× ÀýÂ÷¿¡ ´ëÇÑ ¹®¼½É»ç¸¦ ¼öÇàÇÔ. À̸¦ ÅëÇØ Á¶Á÷ÀÇ °æ¿µ ½Ã½ºÅÛ¿¡¼ ÇØ°áÇÒ ÇÊ¿ä°¡ ÀÖ´Â ¾àÁ¡ ¹× ´©¶ôµÈ »çÇ×À» ÆľÇÇÔ.
5´Ü°è ÇöÀå½É»ç(Stage 2) - BSI´Â ÇöÀå½É»ç¸¦ ½Ç½ÃÇÏ°í ±Ô°Ý ÀûÇÕ¼º¿©ºÎ ÆÇ´Ü.
6´Ü°è ½É»çÁ¾·á - ½É»ç°¡ ¼º°øÀûÀ¸·Î ¿Ï·áµÇ¸é Á¤º¸º¸È£°æ¿µ ½Ã½ºÅÛÀ» ¸íÈ®ÇÏ°Ô ´ã°í ÀÖ´Â ÀÎÁõ¼¸¦ ¹ßÇàÇÔ. ÀÎÁõ¼´Â 3³â°£ À¯È¿Çϸç ÀÌ ±â°£ µ¿¾È¿¡´Â Áö¼ÓÀûÀÎ »çÈÄ°ü¸® ½É»ç°¡ 6°³¿ù¸¶´Ù ¼öÇàµÊ.
ISO27001ÀÇ ÀÎÁõÀº 1ȸ¼º ÀÎÁõ¼ ȹµæÇà»ç°¡ ¾Æ´Ï´Ù. 6°³¿ù ÁÖ±â·Î ¹æ¹®ÇÏ¿© ÀÎÁõÀÇ È¿°ú¼ºÀ» À¯ÁöÇÏ°í ÀÖ´ÂÁö ½É»ç¿øÀÌ ÇöÀå¿¡¼ Á÷Á¢ È®ÀÎÇÑ´Ù. µû¶ó¼ ISO27001ÀÇ ÀÎÁõÀ» ȹµæÇß´Ù Çصµ Áö¼ÓÀûÀ¸·Î ÀÎÁõÀÇ À¯È¿¼ºÀ» À¯ÁöÇÏÁö ¸øÇÑ´Ù¸é ÀÎÁõȹµæ ¿©ºÎ´Â Àǹ̰¡ ¾ø´Ù. Á¤º¸º¸È£ À§ÇèÀÌ ÀÏ°Å¿¡ Á¦°ÅµÇÁö ¾Ê°í ²÷ÀÓ¾øÀÌ »õ·Î¿î ȯ°æ¿¡ »õ·Î¿î º¸¾ÈÀ§ÇèÀÌ »ý¼ºµÇ´Â °Í°ú °°Àº ¸Æ¶ôÀÏ °ÍÀÌ´Ù.
<ÀÚ·áÁ¦°ø : ºñ¿¡½º¾ÆÀÌ ¸Å´ÏÁö¸ÕÆ®½Ã½ºÅÛÁî ÄÚ¸®¾Æ(www.bsigroup.com)>
[¿ù°£ ½ÃÅ¥¸®Æ¼¿ùµå Åë±Ç Á¦160È£(sw@infothe.com)]
<ÀúÀÛ±ÇÀÚ : ½ÃÅ¥¸®Æ¼¿ùµå(www.securityworldmag.co.kr) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>