원칙은 운영적 사용을 위해 제안되어야 하며, 보안 활동의 더 좁은 영역에 초점을 맞춰야 합니다. 이러한 정책의 예는 다음과 같습니다. 분류 원칙, 정보 자산의 동의 가능한 사용 원칙, 백업 원칙, 명령에 대한 액세스 원칙, 암호 원칙, 깨끗한 책상 및 깨끗한 컴퓨터 디스플레이 정책, 메시 서비스 사용 정책, 모바일 컴퓨팅 원칙, 암호화 제어 사용 원칙 등. 참고: ISO 27001은 이러한 모든 원칙을 적용 및/또는 문서화할 필요가 없습니다. 이러한 제어가 적용 가능한지 여부와 범위에 대한 결론은 위험 평가 결과에 달려 있기 때문입니다 침해사고조사.
이러한 원칙은 더 많은 옵션을 규정해야 하기 때문에 일반적으로 적용하고 유지하기가 매우 어렵습니다. 다른 말로 하면, 정보 보안은 단일 정책으로 특징지어지기에는 너무 복잡한 문제입니다. ISMS의 여러 측면과 “대상 어셈블리”에 대해 서로 다른 원칙이 있어야 합니다. 중소 규모 조직은 일반적으로 ISMS에 대해 최대 15개의 원칙을 구축합니다. 정보 보안은 단일 원칙으로 특징지어지기에는 너무 복잡한 문제입니다. ISMS의 여러 측면과 “대상 어셈블리”에 대해 서로 다른 정책이 있어야 합니다. 중소 규모 협회는 일반적으로 ISMS에 대해 최대 15개의 정책을 구축합니다.
누군가는 이 원칙의 숫자가 사업에 대한 간접비에 불과하다고 주장할 수 있습니다. 저는 그러한 정책이 인증 검토를 염두에 두고 서면으로 작성된다면 확실히 동의할 것입니다. 그러한 원칙은 관료주의 외에는 아무것도 전달하지 않을 것입니다. 그러나 원칙이 위험을 줄이는 것을 목표로 서면으로 작성된다면, 사고 수를 줄이는 경우 가치가 있을 가능성이 큽니다.
ISO 27001 카타르는 회사에 일련의 통제를 제공하므로 경쟁 시장에서 큰 우위를 제공합니다. 시장에 진출하는 회사가 점점 더 많아지면서 경쟁이 치열해지고 있으며 회사가 국제 표준을 달성하면 평판이 향상되어 고객의 신뢰를 얻는 것이 쉬워집니다. 회사가 민감한 정보를 더 나은 방식으로 처리하고 항상 데이터를 사용할 수 있도록 하는 데 도움이 됩니다.