🏛 국제 정보보안 인증 ISO/IEC 27001
ISO/IEC 27001은 국제표준화기구 (ISO : International Organization for Standardization) 국제전기기술위원회
(IEC : International Electrotechnical Commission)에서 제정한 정보보호 관리체계에 대한 국제 인증입니다.
정보보호, 물리적 보안, 관리적 보안, 기술적 보안 등 11개 영역/133개 항목에 대한 ISO인증기관의 엄격한 심사와 기준을 통과해야 인증을 취득할 수 있습니다.
정보보호 : 정보흐름 전체의 보호 물리적 보안 : 보안위협으로 대비하기 위한 물리적 수단 (Ex : CCTV, 출입통제) 관리적 보안 : 보안위협 대비를 위한 조직 내 정보보호 절차 및 규정 (Ex : 인력관리, 보안감사) 기술적 보안 : 보안위협 대비를 위해 사용할 수 있는 모든 보안 시스템 (Ex : 네트워크 보안, 시스템 보안)
##### ISO/IEC 27001:2013에 개정 된 이후 9년만에 ISO/IEC 27001:2022로 개정되어,
기존 2013을 취득하신 기관에서도 전환을 준비하셔야 하기에 소개드리게 되었습니다 😊
1. ISO/IEC 27001은 왜 취득해야 하는 것일까요?
ISO 27001은 법적으로 강요받는것은 아닙니다. 그러나 국제적으로 대부분의 기관은 정보보안 인증이 없는 기관과 비지니스를 하지 않습니다. 이는 코로나를 기점으로 디지털 전환 시대가 되면서 정보보안의 필요성이 더욱 대두 되었기 때문입니다.
2. ISO 27001을 취득하면 어떤 장점이 있을까요?
- 정보보호 관리체계 구축: 조직은 정보자산을 안전하게 관리할 수 있고, 정보보호 위협으로부터 보호하기 위한 정책, 절차 및 지침을 수립할 수 있습니다.
- 위험 관리: 조직은 위험을 식별하고, 분석하고, 평가하고, 대응할 수 있습니다.
- 정보보호 인식 제고: 조직 구성원이 정보보호 정책, 절차 및 지침을 숙지하고, 이를 준수하도록 유도함으로써 실현됩니다.
- 고객 신뢰 확보: 고객들에게 조직 내의 정보자산이 안전하게 보호된다는 신뢰감을 줄 수 있습니다
3. ISO 27001을 어떻게 취득할 수 있나요?
ISO 27001의 인증심사는 국내 심사 대행업체를 통해서 진행됩니다. 최초 취득 한 후 2년간 사후심사를 하고 3년째 갱신심사를 하여 유지하게 됩니다. 대부분의 기관은 ISO 27001 전문 컨설팅 사를 통해 정보보호관리체계를 구축하고 3개월 이상을 운영 한 후 심사를 받게 됩니다.
파인더갭 역시 버그바운티와 더불어 기술력 높은 컨설팅 협력업체와 함께 고객사의 ISO 27001인증 컨설팅을 제공하고 있으며, 최근 고객사 중 HR SaaS 기업 코드프레소의 인증 취득을 지원하였습니다.
정보자산을 잘 지켜내고 나아가 고객의 개인정보를 안전하게 관리하기 위한, ISO 27001 인증, 더 궁금하시다면 support@findthegap.co.kr로 연락주시면 자세히 안내 드리겠습니다😊
🔏 국내 정보보안/개인정보 관련 입법 동향
국내 정보보안/개인정보 관련 법령은 “개인정보 보호법”, “정보통신망법”, 위치정보 보호 이용에 관한 법률”, “신용 정보 이용 및 보호에 관한 법률”, 통신비밀 보호법”, “전자금융 보호법”, 전자 상거래 등에서의 소비자 보호에 관한 법률” 등 너무나 다양합니다.
산업 환경이 변화하여, 법률이 주기적으로 개정됨에 따라 정보보안 법률 동향 파악이 필요하고, 이는 컴플라이언스 인증 등에서도 요구하고 있습니다.
손쉬운 동향 파악을 돕기 위해 파인더갭이 매달 관련 정보를 정리하여 공유드립니다.
▶ <공포된 법령>
1. 「정보보호산업의 진흥에 관한 법률」 일부개정법률(23. 4. 18. 공포, 23. 10. 19. 시행)
최근 판교 데이터센터 화재사고 등으로 인해 기업 정보보호 공시 자료의 정확성과 신뢰성이 중요해진 상황으로, 과학기술정보통신부장관이 정보보호 공시 내용을 검증하고, 공시내용이 다를 경우 수정을 요청할 수 있도록 하며, 이를 거부 또는 방해하거나 수정요청에 따르지 않을경우 1천만원 이하의 과태료를 부과함(제 13조, 제 41조 신설)
💡 법령 신구법 비교 : 국가법령정보센터 | 법령 > 신구조문대비표 - 정보보호산업의 진흥에 관한 법률(law.go.kr)
▶ <국회 제출 법률안>
「정보통신기반 보호법」 일부개정법률안(정필모의원 대표발의, 2023. 4. 11. 제안) 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 일부개정법률안(정필모의원 대표발의, 2023. 4. 11. 제안) 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 일부개정법률안(김영식의원 대표발의, 2023. 4. 21. 제안) 「전기통신사업법」 일부개정법률안(김영주의원 대표발의, 2023. 4. 3. 제안) 「온라인플랫폼거래공정화에 관한 법률」 제정법률안(박주민의원 대표발의, 2023. 4. 7. 제안) 「온라인플랫폼시장의 독점규제 및 공정거래에 관한 법률」 제정법률안(백혜련의원 대표발의, 2023. 4. 11. 제안)
🚨보안 업데이트 안내
각 벤더사가 자사제품에 대한 보안업데이트를 아래와 같이 발표 했습니다.
해당 제품을 보유하고 있는 기업에서는 최신 업데이트를 적용하시는 것이 필요해보입니다 😊
😁 보안업데이트 권고
| 게시글명 | 게시일 |
|---|---|
| WordPress 제품 보안 업데이트 권고 | 2023.05.16 |
| 나모 웹에디터 제품군 보안패치 적용 및 웹페이지 파일 업로드 보안 강화 권고 | 2023.05.15 |
| 리눅스 권한 상승 취약점 보안 업데이트 권고 | 2023.05.11 |
| MS 5월 보안 위협에 따른 정기 보안 업데이트 권고 | 2023.05.11 |
| Hikvision 제품 보안 업데이트 권고 | 2023.05.03 |
| Oracle 제품 보안 업데이트 권고 | 2023.04.26 |
| Cisco 제품 보안 업데이트 권고 | 2023.04.26 |
| 국내외 사이버 위협 고조에 따른 국내 기업 대상 사이버 공격 대비 보안 강화 권고 | 2023.04.21 |
| 구글 Chrome 브라우저 보안 업데이트 권고 | 2023.04.21 |
| Mozilla 제품 보안 업데이트 권고 | 2023.04.20 |
🔗 출처 : KISA 인터넷 보호나라& Krcert
