ISO교육및인증 ISO 27001 국제심사원과정 ISO 27001
-
ISO 27001란?
International Organization for Standardization의 ISO/IEC 27001은 기업이나 기관이 정보보호를 체계적으로 관리하기 위한 국제표준입니다.
정식 명칭은 “정보보호 경영시스템(ISMS, Information Security Management System)”입니다.쉽게 말하면, 회사의 중요한 정보와 데이터를 안전하게 보호하기 위해 필요한 관리 체계를 구축·운영·개선하는 기준입니다.
-
1. ISO 27001의 목적
ISO 27001은 다음과 같은 위험으로부터 정보를 보호하기 위해 만들어졌습니다.
- 1. 해킹 및 랜섬웨어
- 2. 고객정보 유출
- 3. 내부 직원의 정보 오남용
- 4. 서버 장애 및 데이터 손실
- 5. 문서 분실
- 6. 이메일 피싱 공격
- 7. 클라우드 보안 문제
즉, 기업의 정보 자산을 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability) 관점에서 보호하는 것이 핵심입니다.
-
2. ISO 27001의 핵심 개념
① 기밀성 (Confidentiality)
허가된 사람만 정보를 볼 수 있도록 관리
- 예:
- 비밀번호 관리
- 접근권한 제한
- 고객정보 암호화
② 무결성 (Integrity)
정보가 임의로 변경되지 않도록 보호
- 예:
- 변경이력 관리
- 백업 관리
- 승인 절차 운영
③ 가용성 (Availability)
필요할 때 정보를 사용할 수 있도록 유지
- 예:
- 서버 백업
- 장애 대응 계획
- UPS 및 재해 복구 체계
-
3. ISO 27001 적용 대상
다음과 같은 모든 조직에 적용가능합니다.
- 1. IT/소프트웨어 회사
- 2. 클라우드 서비스 기업
- 3. 제조업
- 4. 병원
- 5. 금융기관
- 6. 물류회사
- 7. 온라인 쇼핑몰
- 8. 중소기업
- 9. 공공기관
- 10. 특히 개인정보나 고객 데이터를 다루는 기업에서 많이 도입합니다.
-
4. ISO 27001 주요 요구사항
ISO 27001은 일반적으로 다음 순서로 운영됩니다.
단계 내용 조직 상황 분석 정보보호와 관련된 내부, 외부 이슈 파악 리더십 경영진의 정보보호 의지 위험 평가 정보보호 위험 식별 및 분석 통제 대책 수립 보안 조치 선정 운영관리 정책 및 절차 운영 성과 평가 내부 심사 및 모니터링 개선 시정조치 및 지속적 개선 -
5. ISO 27001의 대표 문서
보통 다음과 같은 문서를 구축합니다.
- - 정보보호 방침
- - 정보 자산목록
- - 위험성 평가서
- - 접근권한 관리 절차
- - 백업 관리 절차
- - 개인정보보호 절차
- - 사고대응 절차
- - 내부 심사 절차
- - 비상 복구 계획
-
6. Annex A (보안 통제)
ISO 27001에는 “Annex A”라는 보안 통제 항목이 있습니다.
최근 개정판 기준으로 약 93개의 보안 통제가 포함됩니다.
- - 예:
- - 접근통제
- - 암호 관리
- - 네트워크 보안
- - 모바일기기 관리
- - 클라우드 보안
- - 공급업체 보안
- - 사고대응
- - 로그 관리
-
7. ISO 27001 인증 효과
장점
1. 고객 신뢰 확보
- “우리 회사는 정보보호 체계를 갖추고 있다”는 신뢰 제공
2. 대기업/공공기관 거래 대응
- 입찰 또는 공급망 요구사항 대응 가능
3. 개인정보 유출 예방
- 보안사고 위험 감소
4. 업무 체계화
- 보안 관련 업무 절차 표준화
5. 법규 대응 지원
- 개인정보보호법, 정보통신망법 등 대응에 도움
-
8. ISO 27001 인증 절차
일반적인 인증 절차는 다음과 같습니다.
- 1. 현황 분석(Gap Analysis)
- 2. 시스템 구축
- 3. 위험성 평가
- 4. 문서화
- 5. 내부 심사
- 6. 경영 검토
- 7. 인증기관 심사
- 8. 인증 취득
보통 3~12개월 정도 소요됩니다.
-
9. 중소기업도 가능한가?
가능합니다.
최근에는 5인 이하 소기업도 많이 구축합니다.
특히 아래 기업은 필요성이 높습니다.
- - SaaS 기업
- - 쇼핑몰 운영사
- - 고객 DB 보유 기업
- - 클라우드 사용 기업
- - OEM/ODM 제조사
- - IT 유지보수 기업
-
10. ISO 27001과 한국 ISMS 차이
구분 ISO 27001 한국 ISMS 성격 국제표준 국내 법적 인증 운영기관 ISO 기반 인증기관 KISA 적용 범위 전 세계 한국 중심 목적 국제 신뢰 확보 법규 준수 -
SO/IEC 27001 정보보호 경영시스템(ISMS) 심사원 과정 상세 강의계획서(Syllabus)
1. 과정 개요
항목 내용 과정명 ISO/IEC 27001 정보보호 경영시스템(ISMS) 심사원 양성 과정 과정 목적 ISO 27001 요구사항 및 심사 기법을 이해하고 내부 심사 및 인증 심사를 수행할 수 있는 심사원 역량 확보 교육 대상 정보보호 담당자, 내부 심사원, 인증 심사원, 컨설턴트 IT 관리자, 품질/ 보안 담당자 교육 기간 3일(24시간)~ 5일(40시간) 교육 방법 강의, 사례연구, 워크숍, 그룹 토의, Role Play. 모의심사 수료 기준 출석 80% 이상 + 필기 평가 + 실습 평가 합격 관련 규격 ISO/IEC 27001, ISO/IEC 27002, ISO 19011 -
2. 교육목표
본 과정 수료 후 교육생은 다음 역량을 확보한다.
- 1. ISO 27001 요구사항 이해
- 2. 정보보호 위험관리 수행
- 3. Annex A 통제 항목 이해
- 4. 내부 심사 수행 능력 확보
- 5. 심사 체크리스트 작성
- 6. 부적합 판정 및 시정조치 검증
- 7. 인증 심사 대응 능력 확보
-
3. 세부 강의계획서
DAY 1 — ISO 27001 및 정보보호 기본 이해
Module 1. ISO 27001 개요 (2H)
교육목표
ISO 27001의 목적과 구조를 이해한다.
교육 내용
- - ISO/IEC 27001 개요
- - ISMS 정의
- - 인증제도 개요
- - 국내 ISMS-P와 비교
- - 정보보호 관리 체계 개념
- - PDCA 기반 운영체계
실습
조직별 정보보호 이슈 토론
Module 2. 정보보호 기본 개념 (2H)
교육목표
정보보호 핵심 개념을 이해한다.
교육 내용
- - 기밀성(Confidentiality)
- - 무결성(Integrity)
- - 가용성(Availability)
- - 정보 자산 개념
- - 위협·취약점·위험
- - 보안사고 유형
- - 개인정보보호 개요
- - 사례연구
- - 랜섬웨어 사례 분석
- - 개인정보 유출 사례
Module 3. ISO 27001 구조 및 요구사항 해설 (4H)
교육목표
ISO 27001 조항별 요구사항을 이해한다.
교육 내용
Clause 4 조직 상황
- - 이해관계자 요구사항
- - 적용 범위 설정
Clause 5 리더 십
- - 정보보호 방침
- - 역할과 책임
Clause 6 기획
- - 위험 및 기회
- - 정보보호 목표
Clause 7 지원
- - 자원관리
- - 역량 및 인식
- - 문서화 정보
Clause 8 운영
- - 운영계획 및 통제
Clause 9 성과 평가
- - 내부 심사
- - 경영 검토
Clause 10 개선
- - 시정조치
- - 지속적 개선
Workshop
- - 적용 범위 작성 실습
-
DAY 2 — 위험관리 및 Annex A 통제
Module 4. 정보보호 위험성 평가 (4H)
교육목표
위험성 평가 프로세스를 수행할 수 있다.
교육 내용
- - 위험관리 프로세스
- - 자산 식별
- - 위협 분석
- - 취약점 분석
- - 위험도 평가
- - 위험처리 방법
- - 실습
- - 위험성 평가표 작성
- - 위험등록부(Risk Register) 작성
- - 실습 결과물
- - 위험 평가 보고서
Module 5. Annex A 통제 이해 (4H)
교육목표
Annex A 통제 항목을 이해하고 적용할 수 있다.
- - 교육 내용
- - 조직적 통제
- - 정책 관리
- - 역할 및 책임
- - 공급업체 보안
- - 인적 통제
- - 보안 인식
- - 퇴직자 관리
- - 물리적 통제
- - 출입통제
- - 시설 보호
- - 기술적 통제
- - 접근통제
- - 암호화
- - 로그 관리
- - 백업 관리
- - 악성코드 대응
- - 실습
- - 적용성 명세서(SOA) 작성
-
DAY 3 — 심사 기법 및 내부 심사 실무
Module 6. ISO 19011 심사 기법 (3H)
교육목표
심사 수행 원칙과 방법을 이해한다.
교육 내용
- - 심사 원칙
- - 심사 프로그램
- - 심사 프로세스
- - 인터뷰 기법
- - 샘플링 기법
- - 객관적 증거 확보
- - 실습
- - 인터뷰 시뮬레이션
Module 7. 내부 심사 실무 (5H)
교육목표
내부 심사를 실제 수행할 수 있다.
- - 교육 내용
- - 심사 계획 수립
- - 체크리스트 작성
- - 현장 심사 방법
- - 심사보고서 작성
- - 부적합 판정 기준
실습
- 심사 체크리스트 작성
- Mock Audit 수행
제출물
- 내부 심사보고서
-
DAY 4 — 인증 심사 대응 및 사례연구
Module 8. 인증 심사 대응 실무 (4H)
교육목표
인증 심사 대응 방법을 이해한다.
교육 내용
- - Stage 1 심사
- - Stage 2 심사
부적합 대응
- - 시정조치 작성법
- - 인증 유지 심사
실습
- - 부적합 사례 분석
- - 시정조치 작성
Module 9. 정보보호 사고 사례 분석 (4H)
교육목표
실제 사고 사례를 통해 개선 방안을 도출한다.
교육 내용
- - 랜섬웨어 공격
- - 이메일 피싱
- - 내부정보 유출
- - 공급망 공격
- - 클라우드 보안사고
- - 그룹워크
- - 사고 원인 분석
- - 재발 방지 대책 수립
-
DAY 5 — 종합 모의 심사 및 평가
Module 10. 종합 모의 심사 (5H)
교육목표
- - 심사 전 과정을 실습한다.
- - 진행 절차
- - Opening Meeting
- - 문서 검토
- - 인터뷰
- - 현장 심사
- - 부적합 작성
- - Closing Meeting
- - 평가 항목
- - 인터뷰 능력
- - 증거 수집
- - 부적합 판정
- - 보고서 작성
Module 11. 최종 평가 및 수료 (3H)
평가 방법
- - 필기시험
- - 객관식
- - 주관식
- - 실기 평가
- - 심사 수행 평가
- - 보고서 평가
-
4. 교육교재 구성
교재 명 내용 ISO 27001 요구사항 해설서 조항별 해설 심사 기법 교재 ISO 19011 기반 사례집 실제 사고 사례 실습 워크북 위험 평가 및 심사 실습 -
5. 교육 제공 양식(예시)
- - 제공문서
- - 정보보호 방침 샘플
- - 위험 평가표
- - 자산목록
- - SOA 양식
- - 내부 심사 체크리스트
- - NCR 양식
- - 시정조치서
- - 심사보고서 양식
-
6. 권장 실습 비율
- - 구분 비율
- - 이론 40%
- - 실습 60%
-
7. 권장 교육 운영 방식
- - 효과적인 운영 방법
- - 사례 중심 교육
- - 실제 문서 기반 실습
- - 그룹 워크숍 운영
- - Role Play 인터뷰
- - 실제 심사 시나리오 적용
-
8. 교육 수료 후 기대 역량
- - 수료자는 다음 업무를 수행할 수 있다.
- - ISO 27001 내부 심사 수행
- - 정보보호 위험성 평가
- - SOA 작성
- - 인증 심사 대응
- - 시정조치 관리
- - 정보보호 문서 운영
- - ISMS 구축 지원
-
ISO 27001 신청서
ISO 27001 심사원 과정 신청서 다운로드신청서 작성 후 ykpark@ktcr.co.kr로 보내주세요!
