Exemplar Global 의 소개

1) Exemplar Global은 2005년 USA를 기반으로 하는 Register Accreditation Board(RAB)와 Asia Pacific을 기반으로 하는, Quality Society of Austrailia International(QSA)가 합병하여 RABQSA가 만들어 졌고 2013년 Exemplat Global로 개명되었다.

2) Exemplar Global은 자체적인 TPECS 프로그램(Training Provider & Exeminer Certification Schema)을 통하여 호주 이외의 국가에서 Exemplar Gobal 심사원 교육 과정을 운영할 수 있는 연수기관을 두고 있으며 연수기관으로 지정된 곳은 심사원 Certificiation 발행 권한이 있다.

3) 호주 시드니에 본사를 두고 있는 Exemplar Global은 한국 및 미국에 지역본부와 기타 베트남, 대만, 일본, 터키 등에 사무소를 가지고 있다.

4) ISO / IEC 27000의 Family

    * ISO / IEC 27000(Overview & Vocabulary) : ISMS 수립 및 인증에 관한 원칙과 용어를 규정하는 표준

    * ISO / IEC 27001(ISMS requirements Standard) : ISMS의 계획, 운영, 지원, 평가 및 개선을 위한 요구사항을 규정

    * ISO / IEC 27002(Code of practice for ISMS) : ISMS 운영 및 유지하기 위해 공통적으로 적용할 수 있는 실무적인 지침         및 일반적인 원칙

     * ISO / IEC 27003(ISMS Implementation Guide) : 보안범위 및 자산의 정의, 정책시행, 모니터링과 검토, 지속적인 개선         등 ISMS 구현 권고사항을 규정한 규격

     * ISO / IEC 27004(ISMS Measurement) : ISMS에 구현된 정보보안 통제의 유효성을 측정하기 위한 프로그램과 프로

       세스를 규정한 규격

     * ISO / IEC 27005(ISMS Risk Management) : 위험관리과정을 환경설정, 위험평가, 위험처리, 위험수용, 위험소통,

       위험모니터링 및 검토 등 6개의 프로세스로 구분하고, 각 프로세스 활동을 input, action, impletation guidance, output          으로 구분하여 기술한 문서 

 

0. 개요

0.1 일반사항

     본 표준은 정보보호 경영시스템(information Security Managemdnt System; ISMS) 의 수립, 구현, 유지, 지속적 개선에 필요한 요구사항을 제공하기 위하여 개발하였다.

 

   ISMS 채택여부는 조직의 전략적 결정에 따른다. 이 말은 조직의 자율성을 보장해주는 말이지만, 일정 규모 조직 이상에서는 이 기준을 반드시 준수하여야 한다. 조직의 필요성과 목적, 보안 요구사항, 사용된 조직의 프로세스, 조직의 규모 및 구조에 영향을 받는다. 영향을 주는 모든 요소는 시간에 따라 변화할 수 있다. 

 

 정보보호 경영시스템은 위험관리 프로세스를 적용하여 정보의 기밀성, 무결성, 가용성을 보존하고 이해당사자에게 위험이 적절하게 관리된다는 믿음을 제공한다. 

  정보보호 경영시스템을 조직의 프로세스와 전체 경영 구조의 일부분으로 통합하고, 정보보호는 프로세스, 정보시스템, 통제의 설계로 간주하는 것이 중요하다. 정보보호 경영시스템의 구현은 조직의 필요에 따라 확장될 것으로 예상한다. 

 

 본 표준은 자신의 정보보호 요구사항을 충족하는 조직의 능력을 평가하기 위하여 내부자 및 외부자가 사용할 수 있다. 

 본 표준에서 제시하는 요구사항의 순서는 중요성을 반영하거나 구현해야 하는 순서를 의미한 것이 아니다.

  목록의 항목은 단순히 참조용으로 열거한 것이다.

 

  ISO / IEC 27000은 정보보호 경영시스템에 대한 표준패밀리 ISO / IEC 27003[2], ISO / IEC 27004[3], ISO / IEC 27005[4]에서 참조할 수 있도록 정보보호 경영세스템의 개요와 관련 용어 및 정의를 설명하고 있다. 

 

0.2 타 경영시스템 표준과의 호환성

  본 표준은 ISO / IEC 지시서(Directive) 제 1주 "통합 ISO 부록(Consolidated ISO Supplement)의 부속서 SL에서 정의하고 있는 상위 수준의 구조, 동일 절 제목, 동일 문구, 공통 용어, 핵심 정의를 적용한 것이므로 부속서 SL을 채택한 타 경영시스템 표준과 일관성을 유지한다.

  부속서 SL에서 정의하고 있는 공통 접근방법은 둘 이상의 경영시스템 표준에 대한 요구사항을 만족하는 단일한 경영시스템을 운영하고자 하는 조직에 유용할 것이다. 

 

0.3 ISMS 이점

* 보안 위반 (침해) 내용에 대한 조사시간 단축

* 신규 직원을 훈련시키는 프로세스 단축

* 소송(기소) 건수 감소

* 법무 비용 감소

* 보험료 감소

* 기업(광고) / 대중적 이미지 개선 

* 정보자산 보호

* 정보보호 인식 

 

1. 적용 범위

  본 표준은 조직의 상황에 맞게 정보보호 경영시스템을 유지, 지속적 개선하기 위한 요구사항을 명시하고 있다. 또한 본 표준은 조직의 필요성에 맞추어 수행되는 정보보호 위험의 평가와 처리에 대한 요구사항을 포함하고 있다. 본 표준의 요구사항은 조직의 유형, 규모, 특성에 상관없이 모든 조직에 적용할 수 있도록 일반적인 내용으로 수립된 것이다.