ISO 27001은 정보 보안 제어 구현을 중심으로 구축되었지만 일반적으로 규정 준수를위한 필수 사항은 없습니다.

표준은 ISMS를 개발할 때 모든 조직이 고유 한 요구 사항을 갖고 있으며 모든 제어가

대신 조직은 구현할 통제에 관한 결정을 알리는 활동을 수행해야합니다. 이 블로그에서는 이러한 프로세스에 수반되는 사항과이를 완료하는 방법에 대해 설명합니다.

필수 인증 요구 사항

ISO 27001을 구현할 때 가장 중요한 두 가지 활동은 다음과 같습니다.

• 보호해야하는 정보를 정의하는 ISMS 범위 (4.3 절) 그리고
• 위험 평가를 수행하고 위험 처리 방법론을 정의합니다 (6.12 절). 여기에서 정보에 대한 위협을 식별합니다.

조직도 완료해야합니다. 다음 필수 조항 :

• 정보 보안 정책 및 목적 (5.2 및 6.2 절)
• 정보 위험 처리 프로세스 (6.1.3 절)
• 위험 처리 계획 (6.2.3 e 및 6.2 절)
• 위험 평가 보고서 (8.2 절)
• 훈련, 기술, 경험 및 자격 기록 (7.2 절)
• 모니터링 및 측정 결과 (9.1 절)
• 내부 감사 프로그램 (9.2 절)
• 내부 감사 결과 (9.2 절)
• 경영진 검토 (9.3 절)
• 시정 조치의 결과 (10.1 절)

부속서 A 통제는?

부속서 A는 통제를 요약합니다. 다양한 위험과 관련이 있습니다. 조직에서 선택한 제어에 따라 다음을 문서화해야합니다.

적용 성명서

여기에서 이러한 모든 프로세스를 자세히 살펴볼 수 없습니다 ( 자세한 내용은 당사 웹 사이트를 참조 할 수 있습니다.) 그러나 정보 위험 처리 프로세스 내에서 필수적인 문서 인 SoA (적용 성 설명)를 강조 할 가치가 있습니다.

SoA는 어떤 부록 A를 설명하는지 설명합니다. 선택했거나 생략 한 컨트롤과 그 이유를 설명합니다. 또한 각 컨트롤에 대한 추가 정보와 해당 구현에 대한 관련 문서 링크가 포함되어야합니다.

문서화 프로세스 해결

준수 프로젝트를 시작하면 문서가 프로세스는 요구 사항 자체를 구현하는 것보다 훨씬 많은 시간이 소요됩니다.

각 절에는 자체 문서 요구 사항이 있습니다. 즉, IT 관리자와 구현자는 수백 개의 문서를 처리해야합니다. 각 정책 및 절차는 연구, 개발, 승인 및 구현되어야하며 수개월이 소요될 수 있습니다.

문서화 프로세스 용이성

조직은 ISO 27001 ISMS 문서화를 통해 준수 프로세스를 단순화 할 수 있습니다. 툴킷.

ISO 27001 전문가가 개발 한이 사용자 정의 가능한 템플릿 세트는 가능한 한 번거 로움없이 표준의 문서 요구 사항을 충족하는 데 도움이됩니다.

문서를 직접 포함 할 수 있습니다. 시간과 비용을 절약하고 12 개월 동안 지원을받을 수 있으므로 ISO 27001 문서화 프로세스와 관련된 내용이 확실하지 않은 경우 전문가의 도움을받을 수 있습니다.

ISO 27001 ISMS 문서 도구 키트에 대해 자세히 알아보기 > >

이 블로그의 버전은 원래 2016 년 3 월 24 일에 게시되었습니다.

권장 자료 :

• ISO 27001 표준에는 몇 개의 컨트롤이 있습니까?