로그인 회원가입
클라우드 보안·개인정보 경영시스템

ISO/IEC 27017·27018 · 클라우드 보안·개인정보

ISO 인증 상담 요청
인증이란? 도입배경 표준의 목적 시스템의 구조 표준의 주요내용 인증취득의 효과 품질 사례(요약) 규격 요구사항 수립 및 인증취득 절차 FAQ

ISO/IEC 27017·27018 인증이란?

ISO/IEC 27017(클라우드 보안 통제)과 ISO/IEC 27018(클라우드 개인정보보호)은 ISO/IEC 27001 기반 ISMS에 클라우드 특화 통제와 PII 보호 지침을 추가합니다.

01

핵심 포인트

이 표준은 “정책→운영→성과→개선” 흐름으로 관리체계를 요구합니다. 심사에서는 문서 존재보다 “실제로 운영되고 있는지”가 핵심입니다.

  • “현장 운영(Records)”을 남길 수 있는 프로세스 설계가 중요합니다.
  • 업무 단위로 역할·책임·승인을 정의하면 유지·확산이 쉬워집니다.
02

적용 범위

조직의 업무·사업장·서비스 범위와 이해관계자(고객/규제/협력사 등)를 정의하고, 범위 내 프로세스에 요구사항을 연결합니다.

  • “현장 운영(Records)”을 남길 수 있는 프로세스 설계가 중요합니다.
  • 업무 단위로 역할·책임·승인을 정의하면 유지·확산이 쉬워집니다.
03

준비 자료

정책/목표, 역할·책임, 절차서/기록, 지표(성과), 내부심사·경영검토 체계를 기본으로 준비합니다.

  • “현장 운영(Records)”을 남길 수 있는 프로세스 설계가 중요합니다.
  • 업무 단위로 역할·책임·승인을 정의하면 유지·확산이 쉬워집니다.

도입배경

클라우드 전환이 확대되면서 책임공유 모델, 다중테넌시, 서브프로세서 등 특유 리스크가 커졌습니다.

클라우드 책임 분담
현황에 맞게 기준·절차·책임을 정하고 운영/기록으로 관리합니다.
가상화/운영통제
현황에 맞게 기준·절차·책임을 정하고 운영/기록으로 관리합니다.
개인정보 처리 통제
현황에 맞게 기준·절차·책임을 정하고 운영/기록으로 관리합니다.
공급자/고객 관리
현황에 맞게 기준·절차·책임을 정하고 운영/기록으로 관리합니다.

표준의 목적

클라우드 환경에서 보안 통제(27017)와 개인정보(PII) 처리 원칙(27018)을 구체화해 고객 신뢰를 높이는 것이 목적입니다.

01
일관성

누가 수행해도 같은 기준으로 처리되도록 프로세스를 표준화합니다.

02
예방

리스크를 사전에 관리해 문제/사고를 줄입니다.

03
투명성

역할·책임·지표를 명확히 해 실행력을 높입니다.

04
개선

점검·측정·검토를 통해 성과를 지속적으로 개선합니다.

  • 조직 목표와 프로세스를 연결해 “일관된 운영”을 확보합니다.
  • 성과(지표)를 측정하고, 개선활동을 루틴으로 만듭니다.
  • 이해관계자 신뢰(고객/규제/사회)를 높입니다.

시스템의 구조

27001 운영체계 위에 클라우드 역할/책임, 가상화·관리콘솔, 공급자/이용자 통제, PII 처리 원칙이 추가됩니다.

P · Plan(계획)

범위·리스크·목표·계획을 정의합니다.

  • 범위(스코프)·프로세스·책임/권한을 명확히 정의
  • 리스크/기회 및 법규/요구사항을 식별하고 반영
  • 목표(KPI)·측정 기준·달성 일정(로드맵) 설정
  • 필수 문서/기록 체계(양식, 보관, 승인) 설계
  • 외부 이해관계자(고객/협력사) 요구사항 정리
  • 정책/목표와 현장 운영이 분리되지 않도록 설계합니다.
  • 데이터(지표) 기반으로 의사결정이 가능해집니다.

D · Do(실행)

프로세스를 실행하고 기록합니다.

  • 역할별 업무 수행 기준과 절차를 현장에 적용
  • 교육/역량 관리로 담당자 편차를 최소화
  • 변경관리·외주/협력사 관리 기준을 운영에 반영
  • 기록(증빙)을 남겨 ‘했다’가 아니라 ‘증명’ 가능하게
  • 불일치/부적합 발생 시 즉시 조치·기록
  • 정책/목표와 현장 운영이 분리되지 않도록 설계합니다.
  • 데이터(지표) 기반으로 의사결정이 가능해집니다.

C · Check(점검)

모니터링/측정, 내부심사로 운영 상태를 확인합니다.

  • 모니터링/측정(지표, 점검, 고객피드백) 수행
  • 내부심사로 요구사항 충족 여부와 운영 미흡을 점검
  • 부적합/불만/사고 데이터 분석 및 재발 패턴 확인
  • 경영검토로 목표 달성도·자원·리스크를 리뷰
  • 개선 과제의 우선순위와 책임/기한 확정
  • 정책/목표와 현장 운영이 분리되지 않도록 설계합니다.
  • 데이터(지표) 기반으로 의사결정이 가능해집니다.

A · Act(개선)

부적합/시정조치와 개선 과제를 실행합니다.

  • 원인 분석(5Why 등) 후 시정조치 계획 수립/실행
  • 개선 결과를 절차서/양식/교육에 반영
  • 변경관리로 영향도 평가 및 재발 방지 체계화
  • 성과를 지표로 확인하고 다음 주기 계획에 반영
  • 조직 변화(인사/라인 변경)에도 유지되도록 표준화
  • 정책/목표와 현장 운영이 분리되지 않도록 설계합니다.
  • 데이터(지표) 기반으로 의사결정이 가능해집니다.

표준의 주요내용

표준은 “무엇을 해야 하는지”보다 “어떻게 관리할지”에 초점을 둡니다. 조직 상황에 맞는 프로세스를 만들고, 실행/점검/개선이 실제로 돌아가도록 기록을 남깁니다.

01

클라우드 책임 분담

현황에 맞게 기준·절차·책임을 정하고 운영/기록으로 관리합니다.

02

가상화/운영통제

현황에 맞게 기준·절차·책임을 정하고 운영/기록으로 관리합니다.

03

개인정보 처리 통제

현황에 맞게 기준·절차·책임을 정하고 운영/기록으로 관리합니다.

04

문서체계(규정/절차/양식)

업무 기준을 문서화해 일관된 실행을 가능하게 합니다.

05

역량/교육·의사소통

구성원이 이해하고 수행할 수 있도록 교육·소통을 운영합니다.

06

성과평가 및 개선

지표, 내부심사, 경영검토로 성과를 확인하고 개선합니다.

준비 자료 체크리스트
  • 범위 정의서(스코프) · 프로세스 맵
  • 정책/목표 · KPI/지표 체계
  • 규정/절차/양식 · 기록 관리 기준
  • 리스크 평가/처리 계획(표준별로 범위 상이)
  • 내부심사 보고서 · 경영검토 회의록
  • 부적합/시정조치 · 개선 과제 리스트
심사에서 자주 보는 포인트
  • 스코프가 실제 사업/서비스와 일치하는가
  • 주요 프로세스가 문서와 실제 운영이 일치하는가
  • 리스크/기회가 식별되고 통제되고 있는가
  • 기록(증거)이 일관되게 남고 관리되는가
  • 내부심사·경영검토가 “형식”이 아닌 개선으로 연결되는가

인증취득의 효과

인증은 ‘마크’가 아니라, 조직 운영의 신뢰를 보여주는 도구입니다. 대외 신뢰와 내부 효율을 동시에 개선하는 구조를 목표로 합니다.

대외 신뢰

거래처/입찰/RFP 요구 대응을 체계화합니다.

업무 안정화

표준화로 인수인계·품질·속도를 안정화합니다.

리스크 예방

사고/클레임/보안사건 등 리스크를 예방 중심으로 전환합니다.

지속적 개선

점검·리뷰 기반의 개선 습관이 자리잡습니다.

  • 재작업/오류 감소로 리드타임과 비용을 줄입니다.
  • 역할과 책임이 명확해져 실행력이 높아집니다.
  • 데이터 기반으로 개선 우선순위를 정할 수 있습니다.

ISO/IEC 27017·27018 · 클라우드 보안·개인정보 사례(요약)

비슷한 상황의 조직에서 자주 나오는 이슈를 기준으로, 적용 흐름을 한 번에 이해할 수 있게 요약했습니다.

문제

ISO/IEC 27017·27018 도입 전 자주 겪는 상황

  • 업무 표준이 개인 역량에 의존해 결과 편차가 커짐
  • 고객/심사 대응이 담당자 경험에 따라 달라 재작업이 발생
  • 기록/증빙이 분산되어 추적·인수인계가 어려움
접근

핵심을 잡는 실행 순서

  • 스코프·프로세스 정의 → 핵심 문서/기록 체계 정리
  • 현장 적용 가능한 절차서/양식으로 단순화
  • 내부심사·경영검토 루틴을 운영 캘린더에 고정
결과

짧은 기간에 체감되는 변화

  • 요구사항 대비 갭이 명확해져 개선 과제가 우선순위로 정리
  • 심사 대응 속도가 빨라지고 재작업이 감소
  • 운영 지표를 기준으로 개선이 반복되는 구조가 됨
정착

운영 루틴으로 굳히는 방법

  • 월간/분기 점검(내부심사·경영검토)을 주기로 정착
  • 지표(KPI)로 성과를 모니터링하고 개선 과제를 지속 업데이트
  • 변경관리/교육을 루틴화해 신규 인력/조직 변경에도 흔들리지 않게 운영

규격 요구사항

요구사항은 고수준 구조(HLS)를 바탕으로 범위/리더십/기획/지원/운영/성과평가/개선으로 구성됩니다.

4 조직상황

ISO/IEC 27017·27018(클라우드 보안·개인정보) 적용 범위(스코프)를 명확히 하고, 이해관계자 요구(고객·규제·협력사)를 클라우드 보안/개인정보(확장) 운영 기준에 반영합니다.

  • 범위(사업장/서비스/제품)와 제외사항을 문서화
  • 내·외부 이슈/이해관계자 요구사항 목록화
  • 클라우드 역할 관련 리스크/기회가 어디에서 발생하는지 식별
5 리더십

최고경영자가 방침과 목표를 승인하고, 클라우드 보안/개인정보(확장) 운영에 필요한 역할·책임·권한을 부여합니다.

  • 클라우드 보안/개인정보(확장) 방침/목표를 조직 목표와 정렬
  • 책임자/조직(위원회 등)과 보고 체계 정의
  • 필요 자원(인력/예산/도구)을 확보
6 기획

리스크 기반으로 목표를 설정하고, 가상화/테넌트/로그/모니터링 관점의 실행 계획과 변경관리를 수립합니다.

  • 리스크·기회 평가(우선순위/통제계획)
  • 측정 가능한 목표·지표(KPI) 설정
  • 변경관리(프로세스/시스템/외주) 기준 마련
7 지원

역량·교육, 문서화 정보, 커뮤니케이션, 필요한 도구/인프라를 마련해 클라우드 보안/개인정보(확장) 운영을 뒷받침합니다.

  • 직무별 역량/교육 계획과 이수 기록
  • 절차·양식·기록(문서화 정보) 관리
  • 내부/외부 커뮤니케이션(고객/협력사 포함) 체계
8 운영

핵심 프로세스를 운영 기준에 따라 실행하고, 로그/모니터링 중심으로 통제·기록·검증을 수행합니다.

  • 프로세스 기준서(표준/절차) 운영
  • 외주/협력사 관리 및 공급망 통제
  • 비상상황/사고 대응 절차와 훈련
9 성과평가

지표로 운영 성과를 모니터링하고 내부심사/경영검토로 클라우드 보안/개인정보(확장) 성숙도를 점검합니다.

  • 지표 대시보드/정기 보고
  • 내부심사(프로세스·기록·현장 일치성 확인)
  • 경영검토(의사결정/자원/개선 승인)
10 개선

부적합을 원인 기반으로 시정하고, 개선 과제를 관리해 클라우드 보안/개인정보(확장) 성과를 지속적으로 높입니다.

  • 부적합/시정조치(CAPA) 관리
  • 재발방지(원인분석/효과 확인)
  • 개선 과제(우선순위/책임/기한) 운영
08 책임공유 모델

CSP와 고객의 책임 경계를 문서화하고 통제로 연결합니다.

09 관리콘솔 통제

관리자 권한, 콘솔 접근, 구성 변경에 대한 통제를 강화합니다.

10 PII 보호 원칙

목적 제한, 최소수집, 보관/파기, 제3자(서브프로세서) 관리를 구체화합니다.

※ 적용 범위/규제/업종에 따라 세부 통제(절차·기록) 깊이는 달라질 수 있습니다.

수립 및 인증취득 절차

ISMS(27001) 진단 → 클라우드 자산/책임정의 → 27017 통제 적용 → 27018 원칙 반영 → 내부점검 후 인증심사

01

사전 진단(갭 분석)

현재 운영(문서·현장·기록)을 점검하고 클라우드 역할 중심의 갭을 도출합니다.

  • 현장 흐름부터 — 프로세스(업무 흐름) → 기록(증빙) → 지표(성과) 순으로 설계하면 빠르게 안정화됩니다.
  • 심사 관점으로 점검 — 요구사항별 “증빙(Records)”을 미리 매칭해두면 부적합을 줄일 수 있습니다.
  • 운영 1~2사이클 — 최소 1회 내부심사·경영검토 사이클을 돌린 후 심사에 들어가는 것이 안전합니다.
우리 조직에 맞는 스코프/기간/우선순위를 빠르게 잡고 싶다면
표준 선택 → 스코프 정의 → 갭 분석 → 실행 계획까지 한 번에 정리해드립니다.
상담 요청

FAQ

자주 묻는 질문을 표준 특성에 맞게 정리했습니다.

27001만으로 부족한가요?
클라우드 고객/규제 요구가 있는 경우 27017/27018이 클라우드 특화 기준을 제공합니다.
이용자도 필요하나요?
이용자도 책임공유 범위에서 통제를 갖추면 도움이 됩니다.
서브프로세서는 어떻게 관리하나요?
계약 조건, 목록화, 변경 통지, 요구사항 강제 등으로 관리합니다.
로그는 어디까지 남기나요?
관리자 행위, 구성 변경, 접근 기록 등 핵심 이벤트를 우선합니다.
법과 충돌하나요?
법 우선입니다. 표준은 법 준수를 체계화하는 도구로 활용합니다.