ISO (International Organizaiton for Stnadardization, 국제표준화기구)에서는 보안 문제를 해결하기 위해 정보 보호 경영시스템 (ISMS : Information Security Management System)의 국제 보안 표준 규격을 제정하였으며, 오늘은 첫 번째 시간으로 개요의 개념인 ISO/IEC 27000에 대하여 알아보도록 하겠습니다.
ISO/IEC 27000 이란?
ISO 27000 시리즈에서 사용되는 정보 보안 용어를 정의햐는 Part입니다. 보안 용어는 해석이 다 다를 수 있으며, 의미를 정의하는데 어려움이 있음으로 ISO 27000의 용어 정리를 바탕으로 전 세계 모든 분야의 산업에서 공통적인 정보 보안 관리시스템을 정의할 수 있습니다.
ISMS (Information Security Management System) 이란?
정보 보호 자산의 위험을 해결하기 위한 정보 보호 경영 시스템으로서 고객, 공급업체, 비즈니스 파트너, 운영자(소유주) 및 3자를 포함한 조직의 모든 이해관계자의 이익과 정보 보안 요구사항을 반영합니다.
인터넷 비즈니스를 하는 모든 이해관계자들에게 필수적인 요소로 정보 자산의 공유 및 통제 할수 있는 수단을 제공하는데 목적이 있습니다. ISO/IEC 27000에서 정보 보안, 위험 및 보안 관리, 관리 시스템에 대하여 소개가 되어 있습니다.
개정 상태
2009년 ISO/IEC 27000이 제정 되었으며, 2012, 2014, 2016, 2018년에 개정되었습니다.
2018년 ISO/IEC 27000은 아래 사이트에서 무료로 다운로드할 수 있습니다. (영문)
standards.iso.org/ittf/PubliclyAvailableStandards/c073906_ISO_IEC_27000_2018_E.zip
ISO/IEC 27000 series
ISMS는 아래와 같은 ISO/IEC 문서들의 구성으로 이뤄집니다.
표에서 보시는 것처럼 27000이 용어 정리 Part이며, 적용 Standard, Guideline 등이 상세하게 번들로 구성이 됩니다.
산업군 및 적용 목적에 따라 ISMS 구성을 이해하시고 ISO 27000 시리즈에 접근하신다면 훨씬 효율적일 것 같네요..
일반 요구사항
ISO/IEC 27001 Information security management systems — Requirements
ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems
ISO/IEC 27009 Sector-specific application of ISO/IEC 27001 — Requirements
일반 가이드
ISO/IEC 27002 Code of practice for information security controls
ISO/IEC 27003 Information security management —Guidance
ISO/IEC 27004 Information security management — Monitoring, measurement, analysis and evaluation
ISO/IEC 27005 Information security risk management
ISO/IEC 27007 Guidelines for information security management systems auditing
ISO/IEC TR 27008 Guidelines for auditors on information security controls
ISO/IEC 27013 Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
ISO/IEC 27014 Governance of information security
ISO/IEC TR 27016 Information security management — Organizational economics
ISO/IEC 27021 Information security management — Competence requirements for information security management systems professionals
특정 분야 가이드
ISO/IEC 27010 Information security management for inter-sector and inter-organizational communications
ISO/IEC 27011 Code of practice for information security controls based on ISO/IEC 27002 for telecommunications organizations
ISO/IEC 27017 Code of practice for information security controls based on ISO/IEC 27002 for cloud services
ISO/IEC 27018 Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
ISO/IEC 27019 Information security controls for the energy utility industry
ISO 27799 Health informatics — Information security management in health using ISO/IEC 27002
'보안 > ISO,IEC' 카테고리의 다른 글
ISO/IEC 27001 - ISMS Requirements (요구사항) (0) | 2021.05.11 |
---|
댓글