ISO 인증제도
ISO 2700 시리즈 구성
ISO의 정보보호 및 개인정보보호 관리게쳬의 인증 요구사항은 ISO /IEC 27001을 기반으로 각종 가이드와 특화된 영역(Sector-specific)의 요구사항 등이 모듈 형태로 추가되는 구조로 구성되어 있음
ISO 인증제도
IISO / IEC 27001:2013
-
개요
Information technology-security techniques - Information Security - management Systems - Requirements
영국의 BIS(British Standard Institute)에서 제정한 BS7799를 기반으로, 2005년에 ISO 표준으로 채택된 정보보호 경영시스템 인증제도
-
대상
자율적(공공 및 민간 기업을 포함한 모든 규모 / 유형의 조직)
-
기준
인증기준은 “요구사항”과 “부록”의 2개부문으로 구성되어 있으며, 최신버전은 2013년도에 개정됨
구분 설명 요구사항(본문) PDCA(Plan-Do-Check Act) 사이클에 따라 모든경영시스템에 공통적으로 적용되는프로세스 요건으로 구성
7개 관리과정 요구사항부록 효과적인 정보보호 활동에 필요한 14개 분야 114개의 통제항목으로 구성
통제항목의 세부사항은 ISO / IEC 27002 “정보보호 경열을 위한 실무지침 을 참고
ISO / IEC 27001 : 2013-관리과정 요구사항(7개분야 22개 항목)
ISO / IEC 27001 : 2013-통제항목 요구사항(14개분야 114개 항목)
| NO | 통제분야(14개) | 통제항목 개수(114개) |
|---|---|---|
| 1 | 정보보호 정책(Security Policy) | 2 |
| 2 | 정보보호 조직(Organization of Information Security) | 7 |
| 3 | 인적자원 보안(Human Resources Security) | 6 |
| 4 | 자산관리(Asset Management) | 10 |
| 5 | 접근통제(Access Control) | 14 |
| 6 | 암호화(Cryptography) | 2 |
| 7 | 물리적 환경적 보안(Physical and Environmental Security) | 15 |
| 8 | 운영보안(Operations Security) | 14 |
| 9 | 통신보안(Communications Security) | 7 |
| 10 | 시스템 도입, 개발 및 유지보수(System acquisition, development and maintenance) | 13 |
| 11 | 공급자 관계(Supplier relationships) | 5 |
| 12 | 정보보호 사고관리(Information security incident management) | 7 |
| 13 | 정보보호 측면의업무연속성 관리(Informaition Security aspects of business continuity management) | 4 |
| 14 | 준거성(cCompliance) | 8 |
ISO / IEC 27001 : 2019
-
개요
Security techniques - Extension to ISO / IEC 27001 and ISO / IEC 27002 for privacy information management - Requirements and guideline
개인정보보호 관리체계에 관한 인증규격으로서 2019년에 표준화
개인식별 가능정보 와 관련된 프라이버시 리스크를 관리할 수 있도록 요구사항을 명시하고 개인정보경영시스템(PIMS)의 구축 / 구현 / 유지 및 지속적인 개선을 위한 지침을 제공
-
대상
자율적(공공 및 민간 기업을 포함한 모든 규모 / 유형의 조직)
-
기준
ISO /.IEC 27001 및 ISO / IEC 27002 관련 요구사항 지침과 추가 요구사항 및 관련 지침으로 구성
ISO / IEC 27001 또는 ISO / IEC 27002에서 정보보안 이라는 용어가 사용되는 경우에 대하 ISO / IEC 27701에서는 정보보안 및 개인정보 라는 용어가 대신적용
부록 (Annex)을 통해 개인정보보호 관련 표준이 ISO / IEC 29100, ISO / IEC 27018, ISO / IEC 29151 및 EU GDPR 과의 매핑표를 제시
ISO / IEC 27001 : 2019 - 인증기준 구성
IISO / IEC 27001 및 ISO / IEC 27002의 확장판 -> ISO / IEC 27701인증을 받기 위해서는 ISO / IEC 27001 인증이 필요
* KISA주관, 2022년 ISMS-P인증 심사원 온라인 워크샵 발표자료