블록체인 기반 연구노트 솔루션 ’구노’를 개발하는 레드윗의 김지원 대표입니다. ‘구노하우’는 많은 스타트업이 겪는 고민에 대한 해결책을 안내해드리는 칼럼입니다.

ISO 27001이란?

ISO 27001은 정보보호경영시스템에 대한 인증입니다. 기업의 정보보호경영시스템을 구축하고 이행, 관리에 대한 국제 표준입니다. 기술에 대한 외부 유출이나 내부 정보 유출 현상이 늘어나면서 ISO 27001인증에 대한 관심이 높아지고 있습니다. ISO27001은 정보보호 정책이 수립되어 있는지, 물리적인 보안은 어떻게 되어있는 지 등 11개 영역에 133개 항목을 확인합니다. 인증 대상은 제조업, S/W, 도소매업 등 정보자산을 다루는 모든 산업분야입니다.

ISO 27001 심사

ISO 27001은 보안 정책, 정보 보안 조직, 자산 분류 및 통제 등 정보 자산을 안전하게 관리하기 위한 11가지 큰 분야들로 나뉘어 있습니다. 보안 정책 분야를 예를 들어 설명하자면 조직내에 보안 정책에 대한 문서는 있는지, 책임자는 누구인지 등 확인해야 하는 요소들이 있습니다. 이런 확인해야 하는 요소들이 133개가 있으며 이에 대해 우리 조직은 어떤 식으로 하고 있는지 심사 받게 됩니다.

ISO 27001은 유일한 국제 표준 시스템이기에 획득하게 되면 그 조직이 정보 보호에 대한 체계화가 되어있다는 신뢰를 얻을 수 있습니다. 또한 내부에서 정보 보안에 대한 체계를 수립하는 기회가 됩니다. ISO 27001은 기업 규모에 따라 인증 비용과 소요 시간이 달라집니다. 만약 인증에 대한 관심이 있다면 적어도 3개월은 생각하고 준비하셔야 합니다.

최근 불특정 다수의 사용자를 노린 공급망 공격에 대한 사이버 위협이 고조되고 있음에 따라, IT제품이나 서비스를 개발하는 기업이라면 공급망의 공격 위협 요소를 초기부터 제거하고 고객에게 한 차원 높은 정보보안 체계를 제공하는 ISO 27001심사를 보다 빠르게 준비하는 것을 추천 드립니다.

글: 김지원 / 전자연구노트 솔루션 개발사 레드윗 대표 / 저자 블로그