ISO 27001:2022 적용성 보고서 (Statement of Applicability, SoA) 예
문서번호: ISO27001-SOA-2025-001
작성일자: 2025년 1월 3일
작성자: [작성자 이름]
검토자: [검토자 이름]
승인자: [승인자 이름]
1. 조직 정보
조직명:
범위: 다이캐스팅 제품 및 가공품의 제조
주요 프로세스: 설계, 다이캐스팅, 가공, 품질 관리, 포장 및 납품
지원 프로세스: 인사, 구매, 물류 및 IT 관리
적용 사업장: 본사 및 제조 공장
인원: 345명
주소:
연락처:
본 보고서는 ISO/IEC 27001:2022의 Annex A에 명시된 통제를 기반으로 하여, 조직의 정보보호관리체계에서 채택된 통제와 제외된 통제에 대한 근거를 설명합니다.
2. ISO 27001:2022 적용 통제
2.1 SoA 개요
목적: ISO 27001:2022 요구사항에 따라 정보보안 관리체계(ISMS)의 적합성과 효과성을 보장하기 위한 통제 항목의 적용성과 비적용성을 명확히 문서화.
적용 표준: ISO/IEC 27001:2022
적용성 결정 원칙: 정보보안 위험평가 결과, 조직의 비즈니스 요구사항, 법적 요구사항, 계약 및 규제 요구사항을 기반으로 결정.
1. 정보보안 관리 체계 통제
| 통제 번호 | 통제명 | 적용 여부 | 적용 사유 및 설명 |
| A.5.1 | 정보보안 정책 | 적용 | 정보보안 정책 문서를 통해 보안 목표와 방향성을 명확히 설정. |
| A.5.2 | 정보보안 역할과 책임 | 적용 | 정보보안 책임 및 역할을 명확히 지정하고 이를 모든 직원과 이해관계자와 공유. |
| A.5.3 | 계약 및 법적 요구사항 | 적용 | 계약 체결 시 정보보안 조항 포함 및 관련 법적 요구사항 준수 |
| A.6.1 | 위험관리 프로세스 | 적용 | 정기적인 정보보안 위험 식별, 분석, 평가 및 대응 계획 수립. |
| A.6.2 | 인적 자원 보안 | 적용 | 신규 채용 시 신원 확인 절차 및 정기적인 보안 교육 |
| A.7.1 | 자산 식별 및 관리 | 적용 | 모든 자산 (IT 장비, 데이터, 시설)을 식별하고 분류하여 보호 |
| A.7.2 | 소유권 및 책임 | 적용 | 각 자산에 대한 소유권 및 관리 책임을 정의 |
| A.8.1 | 접근 통제 | 적용 | 정보 및 시스템 접근 권한을 최소화하고, 접근 기록 관리 |
| A.8.2 | 사용자 인증 및 권한 관리 | 적용 | |
| A.8.3 | 물리적 보안 | 적용 | 시설 출입 통제 및 CCTV 모니터링 도입 |
| A.8.4 | 네트워크 보안 | 적용 | 방화벽, IDS/IPS 등 네트워크 보호 장비를 활용한 네트워크 보안 관리 |
3. 비적용 통제 항목
비적용 통제
A.14.1 (시스템 개발 및 유지보수)
설명: 해당 조직은 소프트웨어 개발 및 유지보수 활동을 수행하지 않으므로 비적용.
비적용 근거: 조직의 운영 환경과 업무 특성에 따라 소프트웨어 개발과 무관함.
4. SoA 유지 및 관리
검토 주기: 연 1회 이상 또는 주요 변화 시.
책임 부서: 정보보안팀 (ISMS 운영팀)
업데이트 기준: 정보보안 위험평가 결과, 내부 감사 결과 및 법적 요구사항 변경.
5. 서명
작성자:
검토자:
승인자:
문서 관리 번호: ISO27001-SOA-2025-001
배포 제한: 내부 문서로 제한하며, 외부 공개 금지.