ISO/IEC 27001:2013 정보 보안 관리 표준

ISO/IEC 27001 개요

ISO(International Organization for Standardization: 국제 표준화 기구)는 독립적인 비정부 조직으로 세계 최대의 자발적 국제 표준 개발자입니다. IEC(International Electrotechnical Commission: 국제 전기 표준 회의)는 전기, 전자 및 관련 기술과 관련된 국제 표준을 입안 및 발표하는 세계 최고 조직입니다.

공동 ISO/IEC 분과 위원회에서 발표하는 ISO/IEC 27000 표준군은 수백 개의 통제 및 통제 메커니즘을 요약하여 업종과 규모에 상관 없이 모든 조직이 정보 자산의 보안 상태를 유지할 수 있도록 도와줍니다. 이러한 국제 표준은 조직의 정보 위험 관리 프로세스에 수반되는 모든 법적, 물리적 및 기술적 통제 수단을 포함하는 정책 및 절차의 프레임워크를 제공합니다.

ISO/IEC 27001은 명시적 관리 통제 하에서 정보 보안을 유지하기 위한 ISMS(정보 보안 관리 시스템)을 공식적으로 규정하는 보안 표준입니다. 공식적인 규격으로, ISMS를 구현하고, 모니터링하고, 유지 관리하고 지속적으로 개선하는 방법을 정의하는 요구 사항을 준수해야 함을 의미합니다. 또한 이 규정은 문서 요구 사항, 책임 분배, 가용성, 액세스 제어, 보안, 감사 및 시정 및 예방 조치에 대한 요구 사항을 포함하는 모범 사례를 규정합니다. ISO/IEC 27001에 대한 인증은 조직이 정보 보안과 관련된 다양한 규제 및 법적 요구 사항을 준수할 수 있도록 도와줍니다.

Microsoft와 ISO/IEC 27001

ISO/IEC 27001의 인증이 정보 보안 구현 및 관리에 대한 Microsoft 접근 방식이 최전방에 있는 중요한 이유는 바로 이 표준의 국제적 승인 및 적용성 때문입니다. Microsoft의 ISO/IEC 27001 인증은 비즈니스, 보안 준수 관점에서 고객 약속을 지키겠다는 약속을 나타냅니다. 현재 Azure Public과 Azure Germany는 일년에 한 번 타사 공인된 인증 기관을 통해 ISO/IEC 27001 규정 준수에 대한 감사를 받으며 보안 통제 수단이 있고 효과적으로 작동하는지 독립적으로 검증합니다.

Microsoft 클라우드: ISO/IEC 27001: 2013 다운로드에서 ISO/IEC 27001의 이점에 대해 알아봅니다.

Microsoft 범위 내 클라우드 플랫폼 및 서비스

  • Azure, Azure Government, Azure Germany
  • Azure DevOps Services
  • Microsoft Defender for Cloud Apps
  • 엔드포인트용 Microsoft Defender
  • Dynamics 365, Dynamics 365 Government, Dynamics 365 Germany
  • Microsoft Graph
  • Microsoft Healthcare Bot
  • Intune
  • Microsoft Managed Desktop
  • 독립 실행형 서비스 혹은 Office 365 혹은 Dynamics 365에 브랜딩된 플랜 또는 제품군에 포함된 형태로서의 Power Automate(이전 Microsoft Flow) 클라우드 서비스
  • Office 365, Office 365 U.S. Government, Office 365 U.S. Government Defense
  • Office 365 Germany
  • OMS 서비스 지도
  • 독립 실행형 서비스 혹은 Office 365 혹은 Dynamics 365에 브랜딩된 플랜 또는 제품군에 포함된 형태로서의 PowerApps 클라우드 서비스
  • 독립 실행형 서비스 혹은 Office 365에 브랜딩된 플랜 또는 제품군에 포함된 형태로서의 Power BI 클라우드 서비스
  • Power BI Embedded
  • 파워 가상 에이전트
  • Microsoft 전문 서비스
  • Microsoft Stream
  • Microsoft 위협 전문가
  • Microsoft Translator
  • Topics
  • Windows 365

Azure, Dynamics 365 및 ISO 27001

Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 Azure ISO 27001 제품을 참조하세요.

Office 365 및 ISO 27001

Office 365 환경

Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.

이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.

  • 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
  • Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
  • Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
  • Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
  • Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.

이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.

조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.

Office 365 적용 가능성 및 범위 내 서비스

다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.

적용 가능성 범위 내 서비스
상업용 Access Online, Microsoft Entra ID, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Exchange Online, Exchange Online Protection, Forms, Griffin, Identity Manager, Lockbox(Torus), Office 365용 Microsoft Defender, Microsoft Teams, Microsoft Viva Topics, MyAnalytics, Office 365 Advanced Compliance 추가 기능, Office 365 고객 포털, Office 365 마이크로 서비스(Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Online 문서 서비스, 쿼리 주석 서비스, 학교 데이터 동기화, Siphon, Speech, StaffHub, eXtensible 애플리케이션 프로그램 포함) Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, Office 서비스 인프라, 비즈니스용 OneDrive, Planner, PowerApps, Power BI, Project Online, Microsoft Purview 고객 키를 사용한 서비스 암호화, SharePoint Online, 비즈니스용 Skype, Stream
GCC Microsoft Entra ID, Azure Communications Service, Compliance Manager, Delve, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, Microsoft Viva Topics, MyAnalytics, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype, Stream
GCC High Microsoft Entra ID, Azure Communications Service, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype
DoD Microsoft Entra ID, Azure Communications Service, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, Power BI, SharePoint Online, 비즈니스용 Skype

Office 365 감사, 보고서 및 인증서

Office 365 클라우드 서비스는 적어도 매년 ISO 27001:2013 표준에 따라 감사를 수행합니다.

Office 365 평가 및 보고서

자주 하는 질문

Office 365가 ISO/IEC 27001을 준수하는 것이 중요한 이유는 무엇인가요?

공인 감사자에 의해 확인된 이러한 표준에 대한 준수 사실은 Microsoft가 서비스를 지원하고 제공하는 인프라와 조직을 관리하는 데 국제적인 인정되는 프로세스 및 모범 사례를 사용함을 입증합니다. 이 인증서는 Microsoft가 정보 보안 관리 개시, 구현, 관리 및 개선에 대한 지침 및 일반적인 원칙을 구현했음을 입증합니다.

Office 365 서비스에 대한 ISO/IEC 27001 감사 보고서와 범위 기술서는 어디에서 구할 수 있나요?

서비스 보안 포털은 독립적으로 감사를 거친 규정 준수 보고서를 제공합니다. 귀사의 감사자는 이 포털을 통해 Microsoft의 클라우드 서비스 결과와 귀사의 법적 및 규제 요건을 비교할 수 있도록 보고서를 요청할 수 있습니다.

Office 365 인프라 오류에 대해 연간 테스트가 실행되고 있나요?

예. Microsoft 클라우드 인프라 및 운영 그룹에 대한 연간 ISO/IEC 27001 인증 프로세스에는 운영 복원력에 대한 감사가 포함됩니다. 최신 인증서를 보려면 아래 링크를 선택하세요.

우리 회사의 자체 ISO/IEC 27001 규정 준수 활동은 어느 것부터 시작해야 하나요?

ISO/IEC 27001 채택은 전략적인 약속입니다. ISO/IEC 27000 디렉터리를 살펴보는 것이 좋은 출발점이 될 수 있습니다.

우리 회사의 인증 업무에 Office 365 서비스의 ISO/IEC 27001 규정 준수를 사용할 수 있나요?

예. Microsoft 서비스에 배포되는 구현에 대해 ISO/IEC 27001 인증을 받아야 하는 고객은 규정 준수 평가 시 해당 인증서를 사용할 수 있습니다. 하지만 귀하는 조직 내 통제, 프로세스, ISO/IEC 27001 준수에 대한 구현을 평가하기 위한 평가자와의 계약에 대한 책임이 있습니다.

Microsoft Purview 준수 관리자를 사용하여 위험 평가

Microsoft Purview 준수 관리자는organization 규정 준수 상태를 이해하고 위험을 줄이기 위한 조치를 취하는 데 도움이 되는 Microsoft Purview 규정 준수 포털 기능입니다. 준수 관리자는 Enterprise E5 고객에게 이 규제에 대해 사전에 빌드된 평가를 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 평가 빌드를 위한 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.

리소스