한샘이유지는 ISO 27001(정보보안경영시스템) 인증을 획득하였습니다. 한국생산성본부인증원(원장 박인수)은 (주)한샘이유지(대표 김양숙)에 대해 인증을 수여하였습니다.

2019.10.14 Scripted by
Hergé
LS Div.

ISO 27001은 국제 합의를 통해 제정된 정보보안 경영시스템

ISO 27001은 기업의 비즈니스와 관련된 정보의 기밀성, 무결성, 가용성을 보장하기 위해 제정된 국제표준입니다. ISO 9001은 회사의 품질경영 관련 전반적인 프로세스를 심사한다면, ISO 27001은 고객과 자사의 데이타 보안과 관련하여 14개 분야에 총 114개 통제 요건을 충족하느냐를 심사하는 것입니다.

한샘이유지는 정보 유출이나 해킹, 내외부 보안위협에 효과적인 대응이 가능한 보안정책을 실행하고 지속적으로 개선하며 운영 관리할 수 있음을 공인 기관으로부터 인정받았습니다.

정보보안 경영시스템 도입 배경

한샘이유지는 이미 품질경영 관련하여 매뉴얼 개발은 ISO 9001, 번역 서비스는 ISO 17100 이라는 국제표준에 맞추어 프로세스를 표준화하고 체계적으로 품질 확보를 정착시켰습니다. 그리고 수십 년 동안 고객 데이터에 대해 철저히 보안을 유지하며 프로젝트를 수행해 왔습니다. 보안 자료나 디바이스는 별도 접근 제한이 있는 룸에서만 작업하고, 자료의 접근도 각 개인별로 부여하여 유출의 위험을 최소화하여 고객사의 보안 요구사항을 충족하고 있었습니다.

그런데도 굳이 ISO 27001 인증을 받을 필요가 있을까요? 내부에서도 의견이 분분하였습니다. 구색 갖추기 용이 아닌가, 대외 홍보용 외에 무엇이 달라질 것인가 등 ISO 27001 도입에 대한 부정적인 의견도 있었습니다.

하지만 김양숙 사장님은 최근의 글로벌 경영환경을 보면서 보안의식을 조직에 정착시키고 고객 요구사항을 선제적으로 충족시킬 필요를 직시하였습니다. 이에 최고경영자는 강력한 리더십을 발휘하여 전방위적으로 보안 시스템을 도입하도록 이끌었습니다.

ISO 27001:2013 요구사항

ISO 27001은 표준 요구사항 및 부속서 요구사항으로 정의되어 있습니다. 모든 회사는 ISO 27001 표준과 부속서 요구사항을 만족해야 합니다.

ISO 27001:2013 통제 항목은 14개 영역의 114개 항목으로 관리되고 있습니다. 아래는 부속서A에 기술된 영역들입니다.

ISO 27001:2013 통제영역

내부심사원 활동을 통한 보안의 내재화

조직에 보안이 적용되려면 내부 직원의 육성이 필요합니다. 그래서 각 팀별 최소 2명의 담당자를 배정하여 내부 심사원으로 육성하였습니다.

내부 심사원들은 보안의식을 조직 내에 확산시키고 각 팀 별 또는 전사적인 위험을 파악하여 이를 최소화하거나 제거하기 위해 목표활동들을 수립합니다. 발굴된 위험들은 객관적인 평가를 거쳐서 목표 관리 대상으로 선정하였습니다.

내부심사원들은 각 팀 내 리스크 목표 관리에 따라 모니터링하고 실행을 독려하는 추진력이 되었습니다.

첫 인증심사를 통해 이전보다 개선된 보안 체계가 내부 조직에 적용되었으며, 2020년도 한샘이유지는 자생적인 보안 활동과 점진적인 보안의 개선을 바라보게 되었습니다.