구분 | 설명 |
ISO/IEC 27000 (Overview & Vocabulary) |
- ISMS 수립 및 인증에 관한 원칙과 용어를 규정하는 표준 |
ISO/IEC 27001 (ISMS requirements standard) |
- ISMS 수립, 구현, 운영, 모니터링, 검토, 유지 및 개선하기 위한 요구사항을 규정 - ISMS Requirements/ISMS에 대한 심사 및 인증 규격 (BS7799 part Ⅱ) - 정보보안관리시스템 문서화 수립 실행에 대한 요구사항 규정 - 기업에 대한 정보보안 관리 규격을 정의하고 있으며 실심사/인증용으로 사용 |
ISO/IEC 27002 (code of practice for ISMS) |
- ISMS 수립, 구현 및 유지하기 위해 공통적으로 적용할 수 있는 실무적인 지침 및 일반적인 원칙 |
ISO/IEC 27003 (ISMS Implementation Guide) |
- 보안범위 및 자산정의, 정책 시행, 모니터링과 검토, 지속적인 개선 등 ISMS 구현을 위한 프로젝트 수행 시 참고할 만한 구체적인 구현 권고사항을 규정한 규격으로, 문서구조를 프로젝트관리 프로세스에 맞춰 작성 |
ISO/IEC 27004 (ISM Measurement) |
- ISM에 구현된 정보보안통제의 유효성을 측정하기 위한 프로그램과 프로세스를 규정한 규격으로 무엇을, 어떻게, 언제 측정할 것인지를 제시하여 정보보안의 수준을 파악하고 지속적으로 개선시키기 위한 문서 |
ISO/IEC 27005 (ISM Risk Management) |
- 위험관리과정을 환경설정, 위험평가, 위험처리, 위험수용, 위험소통, 위험모니터링 및 검토 등 6개의 프로세스로 구분하고, 각 프로세스별 활동을 input, action, implementation guidance, output으로 구분하여 기술한 문서 |
ISO/IEC 27006 (certification or registration process) |
- ISMS 인증기관을 인정하기 위한 요구사항을 명시한 표준으로서 인증기관 및 심사인의 자격요건 등을 기술 |
** ISO (International Organization for Standardization, International Standardization Organization)
1) ISO 27001
- 국제표준 정보보호 인증으로 정보보호 분야에서 가장 권위있는 인증이다. 원래는 영구표준(BS, British Stadard)이던 BS7799이었으나 2005년 11월에 ISO 표준으로 승격됐다. 인증범위는 정보보호 정책, 통신ㆍ운영, 접근통제, 정보보호 사고 대응 등 정보보호 관리 11개 영역, 133개 항목에 대해 얼마나 잘 계획하고 구현하며, 점검하고, 개선하는가를 평가하고 이에 대해 인증을 수여한다
① ISO 27001의 평가 항목
- ISO 27001에서는 평가 항목을 11가지로 정의하고 있다
ISO/IEC 27001 | 2005 1.0 | ▶ | ISO/IEC 27001 | 2013 2.0 |
통제분야 | 통제항목수 | 통제분야 | 통제항목 수 | |
정보보안 정책 | 2 | 정보보안 정책 | 2 | |
정보보안 조직 | 11 | 정보보안 조직 | 7 | |
자산 관리 | 5 | 자산관리 | 10 | |
인적자원 보안 | 9 | 인적자원 보안 | 6 | |
물리적 및 환경적 보안 | 13 | 물리적 및 환경적 보안 | 15 | |
통신 및 운영관리 | 32 | 통신보안 | 7 | |
접근통제 | 25 | 접근통제 | 14 | |
정보시스템 취득, 개발 및 유지보수 | 16 | 정보시스템 취득, 개발 및 유지보수 | 13 | |
정보보안 사고관리 | 5 | 정보보안 사고관리 | 7 | |
업무연속성 관리 | 5 | 업무연속성 관리 | 4 | |
준수 | 10 | 준수 | 8 | |
합계 | 133 | 공급자 관계 | 5 |
* 참고 : 2005년에 있는 「통신 및 운영관리」 통제분야는 2013년 버전에서는 제외되었다
** 「통신 및 운영관리」 통제분야 : 정보처리시설의 정확하고 안전한 운영을 보장
***ISO/IEC 27001: 2013 2.0 ver
1. 정보보호 정책 (Information Security Policy)
- 정보보호에 대한 경영방침과 지원 사항을 제공
2. 정보 보안 조직 (Organization of Information Security)
- 조직 내에서 보호를 효과적으로 관리하기 위해 보호에 대한 책임을 배정
3. 자산관리 (Asset management)
- 조직의 자산에 대한 적절한 보호책 유지
4. 인적 자원 보안 (Human Resource Security)
- 사람에 의한 실수, 절도, 부정수단이나 설비의 잘못 사용으로 인한 위험을 감소하기 위함
5. 물리적 및 환경적 보안 (Physical and Environmental Security)
- 사업장의 비인가된 접근 및 방해요인을 예방하고, 사업장에 대한 손상과 정보에 대한 영향을 방지하기 위함
6. 통신보안 (Communications Security)
- 네트워크 및 지원 정보 처리 시설의 안전한 통신을 보장하기 위함
7. 접근통제 (Access Control)
- 정보에 대한 접근통제를 보장하기 위함
8. 정보 시스템의 구축과 개발 및 운영 (Information Systems Acquisition, Development & Maintenance)
- 정보시스템 내에 보안이 수립되었음을 보장하기 위함
9. 정보 보안 사고관리 (Information Security Incident Management)
- 보안사고에 대한 대응 절차의 수립 및 이행을 보장함
10. 사업의 연속성 (Business Continuity Management)
- 사업활동에 방해요소를 완화시키며 주요 실패 및 재해의 영향으로부터 주요 사업 활동을 보호하기 위함
11. 준거성 (Regulatory Compliance)
- 범죄 및 민사항의 법률, 법규, 규정 또는 계약 의무사항 및 보호 요구사항의 불일치를 방지하기 위함
12. 공급자 관계 (Supplier Relationship)
- 협력업체(공급자)에서 접근가능한 조직 내 정보보호에 대한 보장과 협력업체와의 계약에 따라 정보 보안 및 서비스 제공에 합의된 수준을 유지하기 위함
13. 암호화 (Cryptography)
- 기밀성, 인증 또는 정보의 무결성을 보장하기 위해 암호화를 함. 이런 암호화의 적절하고 효과적인 사용을 보장
14, 운영 보안 (Operations Security)
- 정보처리 설비의 정확하고 안전한 운영을 보장하기 위함
2) ISO 27002
- ISO 27002는 27001의 요구사항에 대한 실무 규약
- ISO 27002 (INformation Security, 정보보호표준)는 ISO 27000시리즈의 하나로, 전신은 영국에서 제정한 BS 7799 표준이다. BS 7799는 Part1과 Part2 부분으로 제정 및 공표되었으며, Part1은 2005년에 ISO 17799라는 이름으로 표준화되었으며, 이 문서가 2007년도에 ISO 27002로 발전되었다. BS 7799의 Part2 부분이 ISO 27001로 발전되었다
- ISO 27001은 조직의 정보보호 요구사항을 정의하고 있는 반면, ISO 27002는 조직 내에 정보 보안 관리의 시작, 실행, 유지, 개선에 대한 지침에 대한 내용으로 이루어져 있다. ISO 27002의 실질적인 통제 영역은 형식적인 위험평가에 의하여 확인된 특정한 요구사항을 다루기 위한 내용이다. 또한 조직적인 보안표준과 효과적인 보안관리 실행의 발전에 기여하고 내부조직 활동에 신뢰를 구축하기 위해서 필요하다
★ 보안통제 범주
1. 위험평가
2. 보안정책
- 비즈니스 요구사항, 관련 법률 및 규정을 준수하여 관리 방향 및 정보 보안 지원을 제공
3. 정보보호의 조직
4. 자산관리
- 조직의 자산에 대한 적절한 보호를 성취하고 관리하며, 정보가 적절히 분류될 수 있도록 보장
5. 인적자원 보안
- 고용 전, 고용 중, 고용 종료 및 직무 변경에 대한 내용을 통제한다
6. 물리 및 환경적 보안
7. 소통 및 운영관리
8. 접근통제
9. 정보 시스템 획득, 개발 유지보수
10. 정보보호 사고관리
11. 비즈니스 연속성 관리
- 비즈니스 활동에 대한 방해에 대처하고, 중대한 비즈니스 프로세스를 정보 시스템 실패 또는 재난으로부터 보호하며, 정보 시스템의 시의 적절한 재개를 보장
12. 컴플라이언스
■ 정보 시스템 감사 (Information System Audit)
- 컴퓨터 시스템의 효율성, 신뢰성, 안전성을 확보하기 위해 컴퓨터 시스템에서 독립한 감사(인)들이 일정한 기준에 근거하여 컴퓨터 시스템을 종합적으로 점검, 평가하고, 운용 관계자에게 조언 및 권고하는 것이다
★ 정보 시스템 감사자 (Certified Information Systems Auditor : CISA)
- 정보 시스템에 대한 감독 역할을 하는 전문가
- 정보 시스템 감사자는 보안 목적이 적절하고 정보보호 정책, 표준, 대책, 실무 및 절차가 조직의 보안목적에 따라 적절하게 이루어지고 있음을 독립적이고 객관적인 입장에서 관리자에게 보증할 책임이 있다
'정보보호론 > 정보보안관리' 카테고리의 다른 글
BCP (Business Continuity Planning), BIA (Business Impact Assessment) (0) | 2020.09.22 |
---|---|
재해복구계획과 RTO (Recovery Time Objective) (0) | 2020.09.22 |
위험평가와 위험대책 (0) | 2020.09.21 |
위험관리 (Risk Management) (0) | 2020.09.21 |
정보보호 정책 (0) | 2020.09.16 |