스위스 제네바에 본부를 두고 있는 국제표준화기구(ISO)에 따르면 올해 10월 중 ISO 27001 정보보호경영시스템 관련 표준의 일부가 수정될 것으로 전망된다.

현재 전문가 그룹에 의해 업데이트가 진행되고 있다. ISO 27001 표준은 기업이나 공공기관이 효과적인 정보보안경영시스템 구축을 위해 필요한 요구사항을 열거함으로써 데이터를 보호하도록 제정됐다.

ISO 27001 요구조건을 충족하는 기관은 외부 인증된 기관에 의해 감사를 받아야 한다. 따라서 인증을 받는다면 데이터 보안에 대한 기관의 명성을 높이는 데 도움이 된다.  이러한 이유로 기업들이 ISO 27001 인증을 획득하려고 노력한다.

또한 인증을 받음으로써 보안 감사의 횟수 및 기간을 줄일 수 있다. 완전한 정보보호경영시스템을 이행하기 위해 노력하려는 기관은 선택된 통제를 적용하면 된다.

이는 비록 기관이 ISO 27001 인증은 충족하지 못하지만 통제는 인가되지 않은 접근으로부터 데이터를 보호하는데 도움이 된다. 또한 이러한 과정을 통해 직원들에게 데이터 보안의 중요성을 인식시킬 수 있다.

현재 ISO 27001 암호 관리 통제는 9장 부록 A에 명시된 '접근통제'에 기술돼 있다. 이 내용은 4개 통제 그룹 내에 14개 통제로 구성돼 있다. 세부 내역은 다음과 같다.

9.1 접근 통제
1.1 접근 통제 정책
1.2 네트워크와 네트워크 서비스에 대한 접근

9.2 사용자 접근 관리
2.1 사용자 등록과 해지
2.2 사용자 접근 권한 설정
2.3 우선 접근권의 관리
2.4 사용자의 비밀 인증 정보 관리
2.5 사용자 접근권 리뷰
2.6 접근권의 삭제와 조정

9.3 사용자 책임
3.1 비밀인증 방법의 사용

9.4 어플리케이션 접근 통제
4.1 정보 접근 제한
4.2 로그인 절차 보호
4.3 암호 관리 시스템
4.4 우선 유틸리티 프로그램의 사용
4.5 프로그램 소스 코드에 접근 통제

사용자의 접근권을 설정, 관리, 리뷰, 조정하는 것은 복잡한 업무이기 때문에 많은 기관들은 ISO 27001 암호 관리 통제를 적용하려고 한다. 보안 및 컴플라이언스 프로그램을 보유한 비트워던과 같은 볼트 기반 암호관리자는 ISO 27001 표준에 기반하고 있다.