ISO/IEC 27002는 정보 보안 통제를 위한 국제 표준으로, 1999년 BS 7799-1:1999로 시작하여 여러 차례 개정을 거쳐 ISO/IEC 27000 시리즈의 일부가 되었다. 이 표준은 조직적, 인적, 물리적, 기술적 통제 등 4가지 주요 영역을 다루며, 각 영역별로 정보 보안 통제와 그 목적, 실행 요건을 제시한다. ISO/IEC 27002는 특정 정보 보안 위험에 따라 유연하게 적용되도록 설계되었으며, ISO/IEC 27001과 함께 정보 보안 관리 시스템(ISMS) 구축에 활용된다.
더 읽어볼만한 페이지
컴퓨터 보안 표준 - 콘텐츠 보안 정책 콘텐츠 보안 정책(CSP)은 웹 사이트의 XSS 공격과 데이터 주입 공격을 완화하기 위해 웹 서버 응답 헤더에 선언적 허용 목록 정책을 적용하여 인라인 JavaScript, CSS, 동적 코드 평가 등을 비활성화하는 웹 브라우저 보안 기능이다.
영국 규격 BS 7799-1:1999(1999년은 발행 연도)가 초판 ISO/IEC 17799:2000이 되었고, 2005년에 개정되었다. 2007년에 '''ISO/IEC 27002''':2005로 이름이 바뀌어 ISO/IEC 27000 시리즈의 일부가 되었다.
2. 1. 제정 및 개정
↓ ISO/IEC 27002
JIS X 5080 ↓ JIS Q 27002
ISM 실천을 위한 규범
3. 주요 내용
ISO/IEC 27002영어는 정보 보안 관리를 위한 지침을 제공하는 국제 표준이다. 이 표준은 크게 12개의 주요 장으로 구성되어 있으며, 각 장은 특정한 정보 보안 통제 영역을 다룬다.[1] 각 장의 내용은 다음과 같다.
번호
제목
내용
1
위험 평가 및 위험 대응
조직의 정보 자산에 대한 위험을 평가하고 적절한 대응 방안을 마련한다.
2
보안 기본 방침
조직의 정보 보안 정책을 수립하고, 경영진의 승인을 받는다.
3
정보 보안을 위한 조직
정보 보안 관리 체계를 구축하고, 역할과 책임을 정의한다.
4
자산 관리
정보 자산을 식별하고 분류하며, 중요도에 따라 관리한다.
5
인적 자원의 보안
직원 채용, 이동, 퇴직 시 정보 보안 절차를 준수하도록 한다.
6
물리적 및 환경적 보안
정보 처리 시설을 물리적, 환경적 위협으로부터 보호한다.
7
통신 및 운영 관리
시스템 및 네트워크 운영 시 보안을 유지하고, 기술적 취약점을 관리한다.
8
접근 통제
네트워크, 시스템, 애플리케이션, 데이터에 대한 접근 권한을 통제한다.
9
정보 시스템의 획득, 개발 및 유지보수
정보 시스템 개발 및 유지보수 시 보안을 고려한다.
10
정보 보안 사고 관리
정보 보안 사고 발생을 예측하고, 사고 발생 시 적절히 대응한다.
11
사업 연속성 관리
업무 중단 시에도 정보 보안을 유지하고, 신속하게 복구할 수 있도록 한다.
12
준수
정보 보안 관련 법규, 규정, 정책, 표준을 준수한다.
각 조직은 이러한 통제들을 일률적으로 적용하기보다는, 자체적인 위험 평가를 통해 필요한 통제를 선택하고 구현해야 한다. 모든 통제가 모든 조직에 필수적인 것은 아니기 때문이다.[1] 또한, 통신, 금융, 의료 등 특정 산업 분야에서는 별도의 지침이 필요할 수 있으며, 이를 위해 ISO/IEC 27001과 ISO/IEC 27002영어의 산업별 지침이 작성될 예정이다.[1]
3. 1. 2022년 판 (3판)
2022년 판은 4개의 소개 챕터와 4개의 주요 챕터, 그리고 12개의 주요 장으로 구성되어 있다. 각 장에서는 정보 보안 통제와 그 목적, 실행 요건이 설명되지만, 개별 통제가 필수적인 것은 아니다.[1]
각 조직은 상황에 맞는 통제를 선택하기 위해 구조화된 정보 보안 위험 평가를 실시해야 한다. 위험 평가 프로세스 개요는 도입부에 있지만, ISO Technical Report TR 13335 GMITS Part 3 또는 BS 7799-3 (ISO/IEC 27005)을 참고할 수 있다.[1]
모든 통제를 나열하는 것은 불가능하므로, ISO/IEC 27001과 27002의 통신, 금융, 의료 등 산업 분야별 지침이 작성될 예정이다.[1]
3. 1. 1. 개요
표준은 4개의 소개 챕터로 시작한다.
1. 적용 범위
2. 규범적 참조
3. 용어, 정의 및 약어
4. 이 문서의 구조
이어서 4개의 주요 챕터가 이어진다.
1. 조직적 통제
2. 인적 통제
3. 물리적 통제
4. 기술적 통제
도입부 이후, 규격은 다음 12개의 주요 장으로 구성되어 있다.
1. 위험 평가 및 위험 대응
2. 보안 기본 방침 ― 관리 방침
3. 정보 보안을 위한 조직 ― 정보 보안의 거버넌스
4. 자산 관리 ― 정보 자산의 목록 및 분류
5. 인적 자원의 보안 ― 직원의 고용/이동/해고에 따른 보안
6. 물리적 및 환경적 보안 ― 컴퓨터 장비의 보호
7. 통신 및 운영 관리 ― 시스템 및 네트워크에서의 기술적 보안 관리
8. 접근 통제 ― 네트워크/시스템/애플리케이션/기능 및 데이터에 대한 접근 권한 제한
9. 정보 시스템의 획득, 개발 및 유지보수 ― 애플리케이션에 대한 보안 통합
10. 정보 보안 사고 관리 ― 위반 예측 및 위반에 대한 적절한 대처
11. 사업 연속성 관리 ― 업무상 중요한 프로세스와 시스템을 보호, 유지 및 복구
12. 준수 ― 정보 보안 정책/규격/법률/규정의 준수
각 장 안에서, 정보 보안 통제와 그 목적이 설명되어 있다. 정보 보안 통제는 일반적으로 그러한 목적을 달성하는 최선의 방법으로 간주된다. 각 통제에 대해, 실행 요건이 제공된다. 개별적인 통제가 필수적인 것은 아니다.
각 조직은, 고유한 상황에 적절한 통제를 선택하기 전에, 그 특정 요구 사항을 결정하기 위해, 구조화된 정보 보안 위험 평가 프로세스를 실시할 것이 기대된다. 도입부에는 위험 평가 프로세스의 개요도 쓰여져 있지만, 그 부분을 커버하는 다른 표준으로 ISO Technical Report TR 13335 GMITS Part 3 - Guidelines for the management of IT security - Security Techniques 나 BS 7799-3 (ISO/IEC 27005) 등이 있다.
범용적인 규격으로, 생각할 수 있는 모든 통제를 리스트업하는 것은, 사실상 불가능하다. ISO/IEC 27001과 27002의 개별 산업 분야에 관한 지침으로, 통신업, 금융 서비스업, 의료 관계 등 각종 산업을 위한 지침 작성이 예정되어 있다.
3. 1. 2. 통제 영역
ISO/IEC 27002는 조직의 정보 보안 관리를 위한 다양한 통제 영역을 제시한다. 이러한 통제 영역은 크게 조직적 통제, 인적 통제, 물리적 통제, 기술적 통제로 나눌 수 있다.
규격은 다음과 같은 주요 내용으로 구성되어 있다.
번호
제목
내용
1
위험 평가 및 위험 대응
2
보안 기본 방침
관리 방침
3
정보 보안을 위한 조직
정보 보안 거버넌스
4
자산 관리
정보 자산 목록 및 분류
5
인적 자원의 보안
직원 고용, 이동, 해고에 따른 보안
6
물리적 및 환경적 보안
컴퓨터 장비 보호
7
통신 및 운영 관리
시스템 및 네트워크 기술적 보안 관리
8
접근 통제
네트워크, 시스템, 애플리케이션, 기능 및 데이터 접근 권한 제한
9
정보 시스템의 획득, 개발 및 유지보수
애플리케이션 보안 통합
10
정보 보안 사고 관리
위반 예측 및 적절한 대처
11
사업 연속성 관리
업무상 중요 프로세스와 시스템 보호, 유지 및 복구
12
준수
정보 보안 정책, 규격, 법률, 규정 준수
각 조직은 고유한 상황에 맞는 통제를 선택하기 위해 구조화된 정보 보안 위험 평가 프로세스를 실시해야 한다. 모든 통제를 일괄적으로 적용하는 것은 불가능하며, 산업 분야별 지침(통신업, 금융 서비스업, 의료 관계 등)을 참고할 수 있다.
3. 2. 2013년 판 (2판)
2013년 판은 5개의 소개 챕터와 14개의 주요 챕터로 구성되어 있다. 각 장에서는 정보 보안 통제와 그 목적이 설명되어 있으며, 이는 해당 목적을 달성하는 최선의 방법으로 간주된다. 각 통제에 대해서는 실행 요건이 제공된다.
개별적인 통제가 필수적인 것은 아니다. 각 조직은 고유한 상황에 적절한 통제를 선택하기 전에, 특정 요구 사항을 결정하기 위해 구조화된 정보 보안 위험 평가 프로세스를 실시할 것이 기대된다.
3. 2. 1. 개요
이 표준은 5개의 소개 챕터로 시작한다.
1. 서론
2. 적용 범위
3. 규범적 참조
4. 용어 및 정의
5. 이 표준의 구조
이어서 14개의 주요 챕터가 있다.
1. 정보 보안 정책
2. 정보 보안 조직
3. 인적 자원 보안
4. 자산 관리
5. 접근 통제
6. 암호화
7. 물리적 및 환경적 보안
8. 운영 보안 - 절차 및 책임, 맬웨어로부터의 보호, 백업, 로깅 및 모니터링, 운영 소프트웨어 제어, 기술적 취약성 관리 및 정보 시스템 감사 조정
9. 통신 보안 - 네트워크 보안 관리 및 정보 전송
10. 시스템 획득, 개발 및 유지보수 - 정보 시스템의 보안 요구 사항, 개발 및 지원 프로세스의 보안 및 테스트 데이터
11. 공급자 관계 - 공급자 관계에서의 정보 보안 및 공급자 서비스 제공 관리
12. 정보 보안 사고 관리 - 정보 보안 사고 관리 및 개선
13. 비즈니스 연속성 관리의 정보 보안 측면 - 정보 보안 연속성 및 중복성
14. 준수 - 법적 및 계약적 요구 사항 준수 및 정보 보안 검토
도입부 이후, 규격은 다음 12개의 주요 장으로 구성되어 있다.
# 위험 평가 및 위험 대응
# 보안 기본 방침 ― 관리 방침
# 정보 보안을 위한 조직 ― 정보 보안의 거버넌스
# 자산 관리 ― 정보 자산의 목록 및 분류
# 인적 자원의 보안 ― 직원의 고용/이동/해고에 따른 보안
# 물리적 및 환경적 보안 ― 컴퓨터 장비의 보호
# 통신 및 운영 관리 ― 시스템 및 네트워크에서의 기술적 보안 관리
# 접근 통제 ― 네트워크/시스템/애플리케이션/기능 및 데이터에 대한 접근 권한 제한
# 정보 시스템의 획득, 개발 및 유지보수 ― 애플리케이션에 대한 보안 통합
# 정보 보안 사고 관리 ― 위반 예측 및 위반에 대한 적절한 대처
# 사업 연속성 관리 ― 업무상 중요한 프로세스와 시스템을 보호, 유지 및 복구
# 준수 ― 정보 보안 정책/규격/법률/규정의 준수
각 장 안에서, 정보 보안 통제와 그 목적이 설명되어 있으며, 정보 보안 통제는 일반적으로 그러한 목적을 달성하는 최선의 방법으로 간주된다. 각 통제에 대해 실행 요건이 제공되지만, 개별적인 통제가 필수적인 것은 아니다.
각 조직은, 고유한 상황에 적절한 통제를 선택하기 전에, 특정 요구 사항을 결정하기 위해 구조화된 정보 보안 위험 평가 프로세스를 실시할 것이 기대된다. 도입부에는 위험 평가 프로세스의 개요도 쓰여져 있지만, 그 부분을 커버하는 다른 표준으로 ISO Technical Report TR 13335 GMITS Part 3 - Guidelines for the management of IT security - Security Techniques 나 BS 7799-3 (ISO/IEC 27005) 등이 있다.
범용적인 규격으로, 생각할 수 있는 모든 통제를 리스트업하는 것은 사실상 불가능하다. ISO/IEC 27001과 27002의 개별 산업 분야에 관한 지침으로, 통신업, 금융 서비스업, 의료 관계 등 각종 산업을 위한 지침 작성이 예정되어 있다.
3. 2. 2. 통제 영역
ISO/IEC 27002영어는 다음과 같은 14개의 주요 통제 영역을 다룬다.
# 정보 보안 정책
# 정보 보안 조직
# 인적 자원 보안
# 자산 관리
# 접근 통제
# 암호화
# 물리적 및 환경적 보안
# 운영 보안 (절차 및 책임, 맬웨어로부터의 보호, 백업, 로깅 및 모니터링, 운영 소프트웨어 제어, 기술적 취약성 관리, 정보 시스템 감사 조정)
# 통신 보안 (네트워크 보안 관리, 정보 전송)
# 시스템 획득, 개발 및 유지보수 (정보 시스템의 보안 요구 사항, 개발 및 지원 프로세스의 보안, 테스트 데이터)
# 공급자 관계 (공급자 관계에서의 정보 보안, 공급자 서비스 제공 관리)
# 정보 보안 사고 관리 (정보 보안 사고 관리 및 개선)
# 비즈니스 연속성 관리의 정보 보안 측면 (정보 보안 연속성, 중복성)
# 준수 (법적 및 계약적 요구 사항 준수, 정보 보안 검토)
각 영역 안에서 정보 보안 통제와 그 목적이 설명되어 있으며, 각 통제에 대한 실행 요건이 제공된다. 모든 통제가 필수적인 것은 아니며, 조직은 자체적인 위험 평가를 통해 필요한 통제를 선택해야 한다.
3. 3. 정보 보안 통제
ISO/IEC 27000 시리즈 표준의 중요한 특징은 정보 보안 위험 분석을 사용하여 정보 보안 통제의 선택 및 구현을 추진한다는 것이다. 즉, 이 표준의 일반적인 모범 사례 조언이 각 사용자 조직의 특정 상황에 맞게 조정되며 기계적으로 적용되지 않는다. 예를 들어 39개 통제 목표 중 모든 조직에 관련이 있는 것은 아니므로, 전체 통제 범주가 필요하지 않다고 간주될 수 있다.
대부분의 조직은 ISO/IEC 27002에서 일반적인 용어로 권장하는 광범위한 정보 보안 관련 통제를 구현한다. 정보 보안 통제 체계를 ISO/IEC 27002에 따라 구성하면 다음과 같은 이점이 있다.
잘 알려진 국제 표준과 관련이 있다.
적용 범위 격차 및 중복을 방지하는 데 도움이 된다.
ISO/IEC 표준에 익숙한 사람들에게 인지될 가능성이 높다.
ISO/IEC 27002 규격은 다음 12개의 주요 장으로 구성되어 있으며, 각 장에는 정보 보안 통제 및 그 목표가 설명되어 있다.
1. 위험 평가 및 위험 대응
2. 보안 기본 방침 ― 관리 방침
3. 정보 보안을 위한 조직 ― 정보 보안의 거버넌스
4. 자산 관리 ― 정보 자산의 목록 및 분류
5. 인적 자원의 보안 ― 직원의 고용/이동/해고에 따른 보안
6. 물리적 및 환경적 보안 ― 컴퓨터 장비의 보호
7. 통신 및 운영 관리 ― 시스템 및 네트워크에서의 기술적 보안 관리
8. 접근 통제 ― 네트워크/시스템/애플리케이션/기능 및 데이터에 대한 접근 권한 제한
9. 정보 시스템의 획득, 개발 및 유지보수 ― 애플리케이션에 대한 보안 통합
10. 정보 보안 사고 관리 ― 위반 예측 및 위반에 대한 적절한 대처
11. 사업 연속성 관리 ― 업무상 중요한 프로세스와 시스템을 보호, 유지 및 복구
12. 준수 ― 정보 보안 정책/규격/법률/규정의 준수
4. 구현 예시
ISO/IEC 27002 표준은 정보 보안 관리를 위한 다양한 통제 영역과 그 구현 방법을 제시한다. 다음은 그 예시이다.
위험 평가 및 대응: 조직은 정보 보안 위험을 평가하고 적절한 대응 방안을 마련해야 한다. ISO/IEC 27005와 같은 표준을 참고할 수 있다.
정보 보안 정책: 조직의 정보 보안 기본 방침을 수립하고, 이를 통해 정보 보안 관리에 대한 방향을 제시한다.
정보 보안 조직: 정보 보안 거버넌스를 구축하고, 정보 보안을 위한 조직 구조를 마련한다.
자산 관리: 정보 자산을 목록화하고 분류하여 관리한다.
인적 자원 보안: 직원의 채용, 이동, 해고 시 보안 절차를 준수한다. 모든 직원은 채용 전 심사를 받고, 기밀 유지 계약을 체결해야 한다.[1][2] 인사 부서는 직원의 상태 변경 시 관련 부서에 통보하여 접근 권한을 갱신하도록 하며,[3][4] 퇴사하는 직원은 회사 자산을 반납해야 한다.[5]
물리적 및 환경적 보안: 컴퓨터 장비 등 주요 시설에 대한 물리적 접근을 통제하고, 무단 접근을 방지한다. 건물 출입구에 비디오 감시 카메라를 설치하고, 접근 카드 시스템을 운영하며, 방문객 기록을 관리하는 것이 그 예이다.
통신 및 운영 관리: 시스템 및 네트워크의 기술적 보안을 관리한다.
접근 통제: 네트워크, 시스템, 애플리케이션, 데이터 등에 대한 접근 권한을 제한한다. 사용자 접근 권한은 역할에 따라 부여하고, 비밀번호는 복잡하게 설정하며, 인증 정보는 안전하게 보호하는 것이 바람직하다.
정보 시스템 획득, 개발 및 유지보수: 애플리케이션 개발 시 보안을 통합한다.
정보 보안 사고 관리: 보안 위반 예측 및 대응 절차를 마련한다.
사업 연속성 관리: 업무상 중요한 프로세스와 시스템을 보호하고, 유지 및 복구 계획을 수립한다.
준수: 정보 보안 정책, 규격, 법률, 규정을 준수한다.
위 예시는 모든 조직에 적용될 수 있는 것은 아니며, 조직의 특성에 따라 적절한 통제를 선택하고 구현해야 한다.
4. 1. 물리적 및 환경적 보안
건물 및 통신, 전력, 냉방 등 지원 인프라에 대한 물리적 접근은 무단 접근, 변조, 기물 파손, 범죄 피해, 절도 등을 방지, 탐지 및 최소화하기 위해 모니터링하고 제한해야 한다.
보안 구역 접근 권한자 목록은 관리 부서 또는 물리적 보안 부서에서 최소 1년에 한 번 정기적으로 검토하고 승인해야 하며, 해당 부서 관리자가 교차 확인해야 한다.
지정된 당국의 사전 허가 없이는 제한 구역 내에서 사진 촬영이나 비디오 녹화가 금지된다.
건물의 모든 출입구와 기타 제한 구역과 같은 전략적 지점에 적절한 비디오 감시 카메라를 설치하고, 최소 한 달 동안 녹화 및 저장하며, 훈련된 인력이 24시간 모니터링해야 한다.
일반 및/또는 특정 구역에 대한 시간 제한 접근을 허용하는 접근 카드(Access card)는 해당 구역에 접근하도록 식별, 인증 및 권한을 부여받은 교육생, 공급업체, 컨설턴트, 제3자 및 기타 직원에게 제공될 수 있다.
접수 로비와 같은 공공 구역과 휴게실과 같은 사적 구역을 제외하고, 방문객은 건물에 있는 동안 항상 직원의 안내를 받아야 한다.
방문객의 출입 날짜와 시간, 방문 목적을 현장 보안 또는 접수처에서 관리하고 제어하는 등록부에 기록해야 한다.
현장에 있는 모든 사람(직원 및 방문객)은 유효하게 발급된 출입증을 항상 착용하고 표시해야 하며, 관리자, 경비원 또는 관련 직원의 요청 시 검사를 위해 출입증을 제시해야 한다.
접근 제어 시스템 자체는 무단/부적절한 접근 및 기타 위협으로부터 적절하게 보호되어야 한다.
화재/대피 훈련은 최소 1년에 한 번 정기적으로 실시해야 한다.
지정된 흡연 구역을 제외하고 건물 내에서는 흡연이 금지된다.
4. 2. 인적 자원 보안
모든 직원은 채용 전에 심사를 받아야 하며, 여기에는 여권 또는 유사한 사진이 부착된 신분증을 사용한 신원 확인과 최소 2개의 만족스러운 전문가 추천서가 포함된다.[1] 신뢰할 수 있는 직책을 맡는 직원의 경우 추가적인 확인이 필요하다.[1]
모든 직원은 고용 과정에서 자신에게 제공되거나 생성된 개인 정보 및 기밀 정보에 대한 기밀 유지 또는 비공개 계약을 공식적으로 수락해야 한다.[2]
인사 부서는 직원이 채용, 전근, 사임, 장기 휴직으로 정직 또는 해고되거나, 고용이 종료될 때 행정, 재무 및 운영 부서에 알려야 한다.[3]
직원의 상태가 변경되었다는 인사부의 통지를 받은 후, 행정 부서는 물리적 접근 권한을 업데이트해야 하며, IT 보안 관리는 이에 따라 논리적 접근 권한을 업데이트해야 한다.[4]
직원의 관리자는 직원이 퇴사일 또는 그 이전에 모든 접근 카드, 열쇠, IT 장비, 저장 매체 및 기타 귀중한 회사 자산을 반환하도록 해야 한다.[5]
4. 3. 접근 통제
사용자 접근 권한은 관련 정보 자산 소유자가 지정한 접근 요구 사항에 따라, 일반적으로 사용자의 역할에 맞춰 기업 IT 시스템, 네트워크, 애플리케이션 및 정보에 대한 접근을 통제해야 한다.
일반 또는 테스트 ID는 관련 정보 자산 소유자가 특별히 승인하지 않는 한 운영 시스템에서 생성하거나 활성화해서는 안 된다.
정의된 횟수 이상 로그인에 실패하면 보안 로그 항목과 (해당하는 경우) 보안 경고가 생성되어야 하며, 관련 정보 자산 소유자가 요구하는 대로 사용자 계정이 잠겨야 한다.
비밀번호 또는 암호 구문은 추측하기 어렵도록 문자와 숫자, 특수 문자가 혼합된 길고 복잡한 형태로 구성되어야 한다.
비밀번호 또는 암호 구문은 기록하거나 읽을 수 있는 형식으로 저장해서는 안 된다.
비밀번호, 보안 로그, 보안 구성 등과 같은 인증 정보는 무단 또는 부적절한 접근, 수정, 손상 또는 손실로부터 적절하게 보호되어야 한다.
IT 시스템을 관리, 구성, 관리, 보호 및 모니터링하는 데 일반적으로 필요한 권한 있는 접근 권한은 정보 보안 부서에서 정기적으로(최소 1년에 두 번) 검토하고, 적절한 부서 관리자가 교차 확인해야 한다.
사용자는 자리를 비우기 전에 로그오프하거나 세션에 암호를 걸어 잠가야 한다.
모든 워크스테이션/PC에 10분 이내의 비활성 시간 제한이 있는 암호 보호 화면 보호기를 활성화해야 한다.
정당한 비즈니스상의 이유로 특별히 승인되지 않는 한, 이동식 미디어(USB 드라이브, CD/DVD 기록 장치 등)에 대한 쓰기 접근 권한은 모든 데스크톱에서 비활성화해야 한다.
ISO/IEC 27002는 여러 국가에서 직접적으로 동등한 국가 표준을 가지고 있다. 번역 및 현지 출판은 일반적으로 주요 ISO/IEC 표준이 개정 및 발표된 후 몇 달의 지연을 초래하지만, 각 국가 표준 기관은 번역된 내용이 ISO/IEC 27002를 정확하고 완전하게 반영하도록 노력한다.[4]
영국 규격 BS 7799-1:1999(1999년은 발행 연도)가 초판 ISO/IEC 17799:2000이 되었고, 2005년에 개정되었다. 2007년에 ISO/IEC 27002:2005로 이름이 바뀌어 ISO/IEC 27000 시리즈의 일부가 되었다.
규격 대응 관계
영국 규격
국제 규격
일본 산업 규격
비고
BS 7799-2
ISO/IEC 27001
JIS Q 27001
ISMS 요구 사항
BS 7799-1
ISO/IEC 17799 ISO/IEC 27002
JIS X 5080 JIS Q 27002
ISM 실천을 위한 규범
ISO/IEC 규격의 각국어 번역에는 수개월에서 수년이 걸린다.
6. 인증
ISO/IEC 27002는 모든 유형과 규모의 조직이 직면한 특정 정보 보안 위험에 따라 해석하고 적용하도록 설계된 자문 표준이다. 이러한 유연성 덕분에 사용자는 자신에게 적합한 정보 보안 통제를 자유롭게 채택할 수 있지만, 대부분의 공식 인증 제도가 요구하는 비교적 간단한 준수 테스트에는 적합하지 않다.
ISO/IEC 27001:2013(정보기술 - 보안 기술 - 정보 보안 관리 시스템 - 요구 사항)은 널리 인정받는 인증 가능한 표준이다. ISO/IEC 27001은 정보보안경영시스템(ISMS)을 수립, 구현, 유지 관리 및 개선하기 위한 여러 가지 확고한 요구 사항을 명시하고 있으며, 부록 A에는 조직이 ISMS 내에서 적절하게 채택하도록 권장되는 일련의 정보 보안 통제가 있다. 부록 A의 통제는 ISO/IEC 27002에서 파생되었으며 이에 맞춰 조정되었다.[1]
7. 지속적인 발전
ISO/IEC 27001과 ISO/IEC 27002는 최신성과 적합성을 유지하기 위해 ISO/IEC JTC1/SC27에 의해 몇 년마다 개정된다. 개정 시에는 ISO/IEC 27000, ISO/IEC 27004, ISO/IEC 27005 등 다른 발행된 보안 표준과 해당 분야의 최신 보안 관행을 참고하여 반영한다. 특히 ISO/IEC 27002는 ISO/IEC 27001을 준수하는 정보보호 관리체계(ISMS)를 지원하는 정보 보안 통제와 관련하여 이미 사용 중인 조직이 많으므로, 모든 변경 사항은 신중하게 검토하고 점진적인 방식으로 이루어져야 한다.[1]
본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.