ISO/IEC 27001:2013 정보 보안 관리 표준ISO/IEC 27001:2013 Information Security Management Standards

ISO/IEC 27001 개요ISO/IEC 27001 overview

ISO(International Organization for Standardization: 국제 표준화 기구)는 독립적인 비정부 조직으로 세계 최대의 자발적 국제 표준 개발자입니다.The International Organization for Standardization (ISO) is an independent nongovernmental organization and the world’s largest developer of voluntary international standards. IEC(International Electrotechnical Commission: 국제 전기 표준 회의)는 전기, 전자 및 관련 기술과 관련된 국제 표준을 입안 및 발표하는 세계 최고 조직입니다.The International Electrotechnical Commission (IEC) is the world’s leading organization for the preparation and publication of international standards for electrical, electronic, and related technologies.

공동 ISO/IEC 분과 위원회에서 발표하는 ISO/IEC 27000 표준군은 수백 개의 통제 및 통제 메커니즘을 요약하여 업종과 규모에 상관 없이 모든 조직이 정보 자산의 보안 상태를 유지할 수 있도록 도와줍니다.Published under the joint ISO/IEC subcommittee, the ISO/IEC 27000 family of standards outlines hundreds of controls and control mechanisms to help organizations of all types and sizes keep information assets secure. 이러한 국제 표준은 조직의 정보 위험 관리 프로세스에 수반되는 모든 법적, 물리적 및 기술적 통제 수단을 포함하는 정책 및 절차의 프레임워크를 제공합니다.These global standards provide a framework for policies and procedures that include all legal, physical, and technical controls involved in an organization’s information risk management processes.

ISO/IEC 27001은 명시적 관리 통제 하에서 정보 보안을 유지하기 위한 ISMS(정보 보안 관리 시스템)을 공식적으로 규정하는 보안 표준입니다.ISO/IEC 27001 is a security standard that formally specifies an Information Security Management System (ISMS) that is intended to bring information security under explicit management control. 공식적인 규격으로, ISMS를 구현하고, 모니터링하고, 유지 관리하고 지속적으로 개선하는 방법을 정의하는 요구 사항을 준수해야 함을 의미합니다.As a formal specification, it mandates requirements that define how to implement, monitor, maintain, and continually improve the ISMS. 또한 이 규정은 문서 요구 사항, 책임 분배, 가용성, 액세스 제어, 보안, 감사 및 시정 및 예방 조치에 대한 요구 사항을 포함하는 모범 사례를 규정합니다.It also prescribes a set of best practices that include documentation requirements, divisions of responsibility, availability, access control, security, auditing, and corrective and preventive measures. ISO/IEC 27001에 대한 인증은 조직이 정보 보안과 관련된 다양한 규제 및 법적 요구 사항을 준수할 수 있도록 도와줍니다.Certification to ISO/IEC 27001 helps organizations comply with numerous regulatory and legal requirements that relate to the security of information.

Microsoft와 ISO/IEC 27001Microsoft and ISO/IEC 27001

ISO/IEC 27001의 인증이 정보 보안 구현 및 관리에 대한 Microsoft 접근 방식이 최전방에 있는 중요한 이유는 바로 이 표준의 국제적 승인 및 적용성 때문입니다.The international acceptance and applicability of ISO/IEC 27001 is the key reason why certification to this standard is at the forefront of Microsoft’s approach to implementing and managing information security. Microsoft의 ISO/IEC 27001 인증은 비즈니스, 보안 준수 관점에서 고객 약속을 지키겠다는 약속을 나타냅니다.Microsoft’s achievement of ISO/IEC 27001 certification points up its commitment to making good on customer promises from a business, security compliance standpoint. 현재 Azure Public과 Azure Germany는 일년에 한 번 타사 공인된 인증 기관을 통해 ISO/IEC 27001 규정 준수에 대한 감사를 받으며 보안 통제 수단이 있고 효과적으로 작동하는지 독립적으로 검증합니다.Currently, both Azure Public and Azure Germany are audited once a year for ISO/IEC 27001 compliance by a third-party accredited certification body, providing independent validation that security controls are in place and operating effectively.

Microsoft 클라우드에서 ISO/IEC-27001의 혜택에 대해 알아보세요. ISO/IEC 27001:2013 다운로드Learn about the benefits of ISO/IEC 27001 on the Microsoft Cloud: Download the ISO/IEC 27001:2013

Microsoft 범위 내 클라우드 서비스Microsoft in-scope cloud services

감사, 보고서 및 인증서Audits, reports, and certificates

감사 주기: Microsoft 클라우드 서비스는 적어도 매년 ISO 27001:2013 표준에 따라 감사를 수행합니다.Audit cycle: Microsoft cloud services are audited at least annually against the ISO 27001:2013 standard.

AzureAzure

Office 365Office 365

Azure DevOps 서비스Azure DevOps Services

Microsoft 전문 서비스Microsoft Professional Services

평가 및 보고서Assessments and reports

AzureAzure

Office 365Office 365

Azure DevOps ServicesAzure DevOps Services

추가 감사 보고서 보기See additional audit reports

자주하는 질문Frequently asked questions

Microsoft가 ISO/IEC 27001을 준수하는 것이 중요한 이유는 무엇인가요?Why is Microsoft compliance with ISO/IEC 27001 important?

공인 감사자에 의해 확인된 이러한 표준에 대한 준수 사실은 Microsoft가 서비스를 지원하고 제공하는 인프라와 조직을 관리하는 데 국제적인 인정되는 프로세스 및 모범 사례를 사용함을 입증합니다.Compliance with these standards, confirmed by an accredited auditor, demonstrates that Microsoft uses internationally recognized processes and best practices to manage the infrastructure and organization that support and deliver its services. 이 인증서는 Microsoft가 정보 보안 관리 개시, 구현, 관리 및 개선에 대한 지침 및 일반적인 원칙을 구현했음을 입증합니다.The certificate validates that Microsoft has implemented the guidelines and general principles for initiating, implementing, maintaining, and improving the management of information security.

Microsoft 서비스에 대한 ISO/IEC 27001 감사 보고서와 범위 기술서는 어디에서 구할 수 있나요?Where can I get the ISO/IEC 27001 audit reports and scope statements for Microsoft services?

Service Trust Portal은 독립적으로 감사를 거친 규정 준수 보고서를 제공합니다.The Service Trust Portal provides independently audited compliance reports. 귀사의 감사자는 이 포털을 통해 Microsoft의 클라우드 서비스 결과와 귀사의 법적 및 규제 요건을 비교할 수 있도록 보고서를 요청할 수 있습니다.You can use the portal to request reports so that your auditors can compare Microsoft's cloud services results with your own legal and regulatory requirements.

Microsoft는 인프라 장애에 대한 연례 테스트를 실시하나요?Does Microsoft run annual tests for infrastructure failures?

예.Yes. Microsoft 클라우드 인프라 및 운영 그룹에 대한 연간 ISO/IEC 27001 인증 프로세스에는 운영 복원력에 대한 감사가 포함됩니다.The annual ISO/IEC 27001 certification process for the Microsoft Cloud Infrastructure and Operations group includes an audit for operational resiliency. 최신 인증서를 미리 보려면 아래 링크를 클릭하세요.To preview the latest certificate, click the link below.

우리 회사의 자체 ISO/IEC 27001 규정 준수 활동은 어느 것부터 시작해야 하나요?Where do I start my organization’s own ISO/IEC 27001 compliance effort?

ISO/IEC 27001 채택은 전략적인 약속입니다.Adopting ISO/IEC 27001 is a strategic commitment. ISO/IEC 27000 디렉터리를 살펴보는 것이 좋은 출발점이 될 수 있습니다.As a starting point, consult the ISO/IEC 27000 Directory.

우리 회사의 인증 업무에 Microsoft의 ISO/IEC 27001 규정 준수를 사용할 수 있나요?Can I use the ISO/IEC 27001 compliance of Microsoft services in my organization’s certification?

예.Yes. Microsoft 서비스에 배포되는 구현에 대해 ISO/IEC 27001 인증을 받아야 하는 고객은 규정 준수 평가 시 해당 인증서를 사용할 수 있습니다.If your business requires ISO/IEC 27001 certification for implementations deployed on Microsoft services, you can use the applicable certification in your compliance assessment. 하지만 귀하는 조직 내 통제, 프로세스, ISO/IEC 27001 준수에 대한 구현을 평가하기 위한 평가자와의 계약에 대한 책임이 있습니다.You are responsible, however, for engaging an assessor to evaluate the controls and processes within your own organization and your implementation for ISO/IEC 27001 compliance.

Microsoft 준수 점수를 사용하여 위험 평가Use Microsoft Compliance Score to assess your risk

Microsoft 준수 점수는 조직의 준수 입장을 이해하고 위험을 줄이기 위한 조치를 취하도록 돕는 Microsoft 365 컴플라이언스 센터의 미리 보기 기능입니다.Microsoft Compliance Score is a preview feature in the Microsoft 365 compliance center to help you understand your organization’s compliance posture and take actions to help reduce risks. 준수 점수를 설정한 후, 서식 파일 드롭다운 메뉴에서 사전 구성된 ISO 27001 서식 파일을 선택하여 조직이 이 규정에 대한 요구 사항을 충족할 수 있도록 하십시오.After setting up Compliance Score, select the pre-configured ISO 27001 template from the Template drop-down menu to help your organization meet the requirements for this regulation.

리소스Resources

백서White papers