[정보관리기술사 Topic] 정보보안 관리체계 (ISMS / ISO/IEC 27001)

🔥 출제 빈도: 최상

🔥 단독 문제 + 데이터·클라우드·AI와 융합

🔥 “관리·통제·책임”을 보여주는 핵심 토픽

1️⃣ 출제자가 ISMS를 묻는 진짜 이유

기술사 시험에서 보안은 기술이 아니라 관리 능력입니다.

“이 수험생은

보안을 제품이 아닌 ‘체계’로 이해하는가?

사고 이후가 아니라 사전 관리를 말하는가?”

---

2️⃣ ISMS 핵심 정의 (답안용 공식 문장)

정보보안 관리체계(ISMS)란

조직의 정보자산을 보호하기 위해

정책·조직·절차·기술적 통제를 체계적으로 수립·운영하는 관리체계

📌 절대 빠지면 안 되는 키워드

• 정보자산
• 위험 관리
• 정책·절차
• 지속적 개선

---

3️⃣ ISMS 도입 목적 (서술형 필수)

관점 내용

보호	정보자산 보호
관리	위험 사전 통제
준수	법·규제 대응
신뢰	고객 신뢰 확보

👉 4가지로 묶어서 서술

---

4️⃣ ISMS 구성 요소 (시험 핵심)

🔹 관리적 보호대책

• 정보보안 정책
• 조직 및 책임
• 인적 보안
• 사고 대응 절차

🔹 기술적 보호대책

• 접근 통제
• 암호화
• 로그 및 모니터링

🔹 물리적 보호대책

• 출입 통제
• 시설 보호

📌 관리 / 기술 / 물리 = 3대 분류는 무조건

---

5️⃣ ISO/IEC 27001 구조 (고득점 포인트)

• PDCA 기반
  • Plan: 위험 분석, 정책 수립
  • Do: 보호대책 적용
  • Check: 점검·감사
  • Act: 개선

👉 PDCA 쓰면 채점자 바로 체크

---

6️⃣ ISMS vs ISO 27001 (비교 단골)

구분 ISMS (국내) ISO 27001

범위	국내 법·제도	국제 표준
인증 주체	KISA	국제 인증기관
목적	법적 준수	글로벌 신뢰

---

7️⃣ 단골 서술형 문제 예시

Q. 정보보안 관리체계(ISMS)의 개념과 구성요소를 설명하고,

효과적인 운영 방안을 제시하시오.

🧠 답안 구조 (이대로 연습)

1. ISMS 개요
2. 도입 필요성
3. 구성 요소
4. 운영 시 고려사항
5. 기대 효과

---

8️⃣ 실무형 가산점 문장

“정보보안은 시스템 구축 이후의 문제가 아니라

경영 의사결정 단계에서부터 고려되어야 할 관리 영역이다.”

---

9️⃣ 최신 트렌드 연결 (1줄 가산점)

• 클라우드 보안
• 제로 트러스트
• 개인정보 보호 강화
• AI 보안