ISO 27001:2022 적용성 보고서 (Statement of Applicability, SoA) 예

[최인권]

ISO 27001:2022 적용성 보고서 (Statement of Applicability, SoA) 예

문서번호: ISO27001-SOA-2025-001

작성일자: 2025년 1월 3일

작성자: [작성자 이름]

검토자: [검토자 이름]

승인자: [승인자 이름]

1. 조직 정보

조직명:

범위: 다이캐스팅 제품 및 가공품의 제조

주요 프로세스: 설계, 다이캐스팅, 가공, 품질 관리, 포장 및 납품

지원 프로세스: 인사, 구매, 물류 및 IT 관리

적용 사업장: 본사 및 제조 공장

인원: 345명

주소:

연락처:

본 보고서는 ISO/IEC 27001:2022의 Annex A에 명시된 통제를 기반으로 하여, 조직의 정보보호관리체계에서 채택된 통제와 제외된 통제에 대한 근거를 설명합니다.

2. ISO 27001:2022 적용 통제

2.1 SoA 개요

목적: ISO 27001:2022 요구사항에 따라 정보보안 관리체계(ISMS)의 적합성과 효과성을 보장하기 위한 통제 항목의 적용성과 비적용성을 명확히 문서화.

적용 표준: ISO/IEC 27001:2022

적용성 결정 원칙: 정보보안 위험평가 결과, 조직의 비즈니스 요구사항, 법적 요구사항, 계약 및 규제 요구사항을 기반으로 결정.

1. 정보보안 관리 체계 통제

통제 번호	통제명	적용 여부	적용 사유 및 설명
A.5.1	정보보안 정책	적용	정보보안 정책 문서를 통해 보안 목표와 방향성을 명확히 설정.
A.5.2	정보보안 역할과 책임	적용	정보보안 책임 및 역할을 명확히 지정하고 이를 모든 직원과 이해관계자와 공유.
A.5.3	계약 및 법적 요구사항	적용	계약 체결 시 정보보안 조항 포함 및 관련 법적 요구사항 준수
A.6.1	위험관리 프로세스	적용	정기적인 정보보안 위험 식별, 분석, 평가 및 대응 계획 수립.
A.6.2	인적 자원 보안	적용	신규 채용 시 신원 확인 절차 및 정기적인 보안 교육
A.7.1	자산 식별 및 관리	적용	모든 자산 (IT 장비, 데이터, 시설)을 식별하고 분류하여 보호
A.7.2	소유권 및 책임	적용	각 자산에 대한 소유권 및 관리 책임을 정의
A.8.1	접근 통제	적용	정보 및 시스템 접근 권한을 최소화하고, 접근 기록 관리
A.8.2	사용자 인증 및 권한 관리	적용
A.8.3	물리적 보안	적용	시설 출입 통제 및 CCTV 모니터링 도입
A.8.4	네트워크 보안	적용	방화벽, IDS/IPS 등 네트워크 보호 장비를 활용한 네트워크 보안 관리

3. 비적용 통제 항목

비적용 통제

A.14.1 (시스템 개발 및 유지보수)

설명: 해당 조직은 소프트웨어 개발 및 유지보수 활동을 수행하지 않으므로 비적용.

비적용 근거: 조직의 운영 환경과 업무 특성에 따라 소프트웨어 개발과 무관함.

4. SoA 유지 및 관리

검토 주기: 연 1회 이상 또는 주요 변화 시.

책임 부서: 정보보안팀 (ISMS 운영팀)

업데이트 기준: 정보보안 위험평가 결과, 내부 감사 결과 및 법적 요구사항 변경.

5. 서명

작성자:

검토자:

승인자:

문서 관리 번호: ISO27001-SOA-2025-001

배포 제한: 내부 문서로 제한하며, 외부 공개 금지.