ISO (International Organizaiton for Stnadardization, 국제표준화기구)에서는 보안 문제를 해결하기 위해 정보 보호 경영시스템 (ISMS : Information Security Management System)의 국제 보안 표준 규격을 제정하였으며, 오늘은 첫 번째 시간으로 개요의 개념인 ISO/IEC 27000에 대하여 알아보도록 하겠습니다.
ISO/IEC 27000 이란?
ISO 27000 시리즈에서 사용되는 정보 보안 용어를 정의햐는 Part입니다. 보안 용어는 해석이 다 다를 수 있으며, 의미를 정의하는데 어려움이 있음으로 ISO 27000의 용어 정리를 바탕으로 전 세계 모든 분야의 산업에서 공통적인 정보 보안 관리시스템을 정의할 수 있습니다.
ISMS (Information Security Management System) 이란?
정보 보호 자산의 위험을 해결하기 위한 정보 보호 경영 시스템으로서 고객, 공급업체, 비즈니스 파트너, 운영자(소유주) 및 3자를 포함한 조직의 모든 이해관계자의 이익과 정보 보안 요구사항을 반영합니다.
인터넷 비즈니스를 하는 모든 이해관계자들에게 필수적인 요소로 정보 자산의 공유 및 통제 할수 있는 수단을 제공하는데 목적이 있습니다. ISO/IEC 27000에서 정보 보안, 위험 및 보안 관리, 관리 시스템에 대하여 소개가 되어 있습니다.
개정 상태
2009년 ISO/IEC 27000이 제정 되었으며, 2012, 2014, 2016, 2018년에 개정되었습니다.
2018년 ISO/IEC 27000은 아래 사이트에서 무료로 다운로드할 수 있습니다. (영문)
standards.iso.org/ittf/PubliclyAvailableStandards/c073906_ISO_IEC_27000_2018_E.zip
Publicly Available Standards
You are about to download a document protected by copyright. When you download (an) ISO publication(s) from this site, you must accept the ISO Customer Licence Agreement (“Licence Agreement”), excluding clauses 2. Watermark, 5. Paper copies, and 6. Cod
standards.iso.org
ISO/IEC 27000 series
ISMS는 아래와 같은 ISO/IEC 문서들의 구성으로 이뤄집니다.
표에서 보시는 것처럼 27000이 용어 정리 Part이며, 적용 Standard, Guideline 등이 상세하게 번들로 구성이 됩니다.
산업군 및 적용 목적에 따라 ISMS 구성을 이해하시고 ISO 27000 시리즈에 접근하신다면 훨씬 효율적일 것 같네요..
일반 요구사항
ISO/IEC 27001 Information security management systems — Requirements
ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems
ISO/IEC 27009 Sector-specific application of ISO/IEC 27001 — Requirements
일반 가이드
ISO/IEC 27002 Code of practice for information security controls
ISO/IEC 27003 Information security management —Guidance
ISO/IEC 27004 Information security management — Monitoring, measurement, analysis and evaluation
ISO/IEC 27005 Information security risk management
ISO/IEC 27007 Guidelines for information security management systems auditing
ISO/IEC TR 27008 Guidelines for auditors on information security controls
ISO/IEC 27013 Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
ISO/IEC 27014 Governance of information security
ISO/IEC TR 27016 Information security management — Organizational economics
ISO/IEC 27021 Information security management — Competence requirements for information security management systems professionals
특정 분야 가이드
ISO/IEC 27010 Information security management for inter-sector and inter-organizational communications
ISO/IEC 27011 Code of practice for information security controls based on ISO/IEC 27002 for telecommunications organizations
ISO/IEC 27017 Code of practice for information security controls based on ISO/IEC 27002 for cloud services
ISO/IEC 27018 Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
ISO/IEC 27019 Information security controls for the energy utility industry
ISO 27799 Health informatics — Information security management in health using ISO/IEC 27002
'보안 > ISO,IEC' 카테고리의 다른 글
| ISO/IEC 27001 - ISMS Requirements (요구사항) (0) | 2021.05.11 |
|---|
댓글