개정일 : 2024-02-23
ISO 27001:2022의 기후 변화 추가 개정안(Amd 1:2024)이 2024년 2월 23일에 발행되었습니다.
ISO 표준의 개정안은 발행 즉시 효력이 발생하여 기존 표준의 일부가 됩니다.
O 주요 개정 내용
- 4.1 조직과 상황의 이해
- 4.2 이해관계자의 요구와 기대 파악
O 실무적 영향 및 의의
공식적 요구사항으로 격상: 이전에도 컨설팅 시 고려할 수 있었던 환경 리스크가 이제는 심사 시 반드시 확인해야 하는 공식적인 요구사항이 되었습니다.
위험관리 범위 확대: 정보보안 위험평가의 대상이 해킹, 악성코드 등 전통적인 위협에서 자연재해, 에너지 수급 불안정 등 물리적/환경적 위협으로 확대되었습니다.
문서화의 중요성 증대: '내외부 이슈 분석표', '이해관계자 요구사항 정의서' 등에 기후 변화 검토 과정과 결론을 명확하게 기록하는 것이 심사 대응의 핵심이 되었습니다.
정보보안의 재정의: 이 개정은 정보보안이 "어떻게 기후 변화가 우리 조직의 정보 자산(기밀성, 무결성, 가용성)을 위협할 수 있는가?"라는 질문에 답해야 함을 의미합니다.
O 인증기업 기후 변화 이슈 관련 심사 시, 관련 양식 예시
- 경영시스템 요구사항 파악서 : 기후변화관련 여부(유무) '열' 추가
- [참고표준] ISO 14091, 기후변화에 대한 적응(취약성, 영향 및 위험평가에 대한 지침)
: 아쉽게도, ISO 27001에 대한 언급은 포함되지 않았습니다.
ISO 27001의 경우 'ESG 경영', '탄소 배출권'과 해당 기업이 연관이 있는지 여부가 관건이라고 생각 됩니다.
ISO 인증 심사 준비 시, 참고 바랍니다.
개정일 : 2024-02-23
ISO 27001:2022의 기후 변화 추가 개정안(Amd 1:2024)이 2024년 2월 23일에 발행되었습니다.
ISO 표준의 개정안은 발행 즉시 효력이 발생하여 기존 표준의 일부가 됩니다.
O 주요 개정 내용
- 4.1 조직과 상황의 이해
추가된 원문: "The organization shall determine whether climate change is a relevant issue."
한글 번역: "조직은 기후 변화가 관련 이슈인지 여부를 결정하여야 한다."
핵심 의미:
의무적 검토: 조직의 내/외부 이슈를 분석할 때, '기후 변화'를 반드시 검토 항목에 포함해야 합니다.
결정 및 근거 마련: 검토 후, 기후 변화가 우리 조직의 정보보안에 '관련이 있는지 없는지'를 명시적으로 결정하고, 그 판단 근거를 문서화해야 합니다. "우리는 관련 없다"고 결론 내리더라도 왜 그렇게 판단했는지에 대한 근거가 필요합니다.
예시) "우리 IDC는 소규모이며, 현재 냉각 시스템 용량은 충분하고 정부의 에너지 규제 대상이 아니므로 직접적인 영향은 제한적임"
- 4.2 이해관계자의 요구와 기대 파악
추가된 원문: "NOTE: Relevant interested parties can have requirements related to climate change."
한글 번역: "참고: 관련 이해관계자는 기후 변화와 관련된 요구사항을 가질 수 있다."
핵심 의미:
강력한 고려사항: 이는 단순 참고사항이 아니라, 이해관계자(고객, 투자자, 정부, 그룹사 등)의 요구사항을 파악할 때 기후 변화 관련 주제를 적극적으로 살펴보라는 강력한 지침입니다.
ESG 연계: 특히 투자자나 고객의 ESG(환경·사회·지배구조) 경영 요구가 정보보안 요구사항(예: 데이터센터의 에너지 효율 데이터 공개, 친환경 IT 정책)으로 이어질 수 있음을 시사합니다.
O 실무적 영향 및 의의
공식적 요구사항으로 격상: 이전에도 컨설팅 시 고려할 수 있었던 환경 리스크가 이제는 심사 시 반드시 확인해야 하는 공식적인 요구사항이 되었습니다.
위험관리 범위 확대: 정보보안 위험평가의 대상이 해킹, 악성코드 등 전통적인 위협에서 자연재해, 에너지 수급 불안정 등 물리적/환경적 위협으로 확대되었습니다.
문서화의 중요성 증대: '내외부 이슈 분석표', '이해관계자 요구사항 정의서' 등에 기후 변화 검토 과정과 결론을 명확하게 기록하는 것이 심사 대응의 핵심이 되었습니다.
정보보안의 재정의: 이 개정은 정보보안이 "어떻게 기후 변화가 우리 조직의 정보 자산(기밀성, 무결성, 가용성)을 위협할 수 있는가?"라는 질문에 답해야 함을 의미합니다.
O 인증기업 기후 변화 이슈 관련 심사 시, 관련 양식 예시
- 경영시스템 요구사항 파악서 : 기후변화관련 여부(유무) '열' 추가
- [참고표준] ISO 14091, 기후변화에 대한 적응(취약성, 영향 및 위험평가에 대한 지침)
: 아쉽게도, ISO 27001에 대한 언급은 포함되지 않았습니다.
ISO 27001의 경우 'ESG 경영', '탄소 배출권'과 해당 기업이 연관이 있는지 여부가 관건이라고 생각 됩니다.
ISO 인증 심사 준비 시, 참고 바랍니다.