ISO/IEC 27002:2022 정보 보안, 사이버 보안 및 개인 정보 보호 – 정보 보안 제어
페이지 정보
본문
ISO/IEC 27002:2022 정보 보안, 사이버 보안 및 개인 정보 보호
– 정보 보안 제어
1. ISO/IEC 27002:2022란?
ISO/IEC 27002:2022는 사이버 보안에 중점을 둔 정보 보안 관리 시스템(ISMS)을 수립, 구현 및 개선하려는 조직을 위한 지침을 제공하는 국제 표준입니다. ISO/IEC 27001을 기반으로 하는 정보보안 관리체계(ISMS)에서 정보보안 리스크 처리를 위한 통제를 결정하고 구현하기 위한 참고 자료로 사용됩니다. ISO/IEC 27002 가이드라인을 준수함으로써 기업은 사이버 보안 위험 관리에 대한 사전 예방적 접근 방식을 취하고 무단 액세스 및 손실로부터 중요한 정보를 보호할 수 있습니다.
ISO/IEC 27002:2022는 국제적으로 인정된 모범 사례에서 파생된 조직, 인력, 물리적 및 기술적 정보 보안 제어의 일반적인 조합을 제공합니다. 따라서 일반적으로 허용되는 정보 보안 제어를 결정하고 구현하는 조직을 위한 지침 문서로도 사용할 수 있습니다. 또한 특정 정보 보안 위험 환경을 고려하여 산업 및 조직 별 정보 보안 관리 지침을 개발하는 데 사용할 수 있습니다. 이 문서에 포함되지 않은 조직 또는 환경 별 제어는 필요에 따라 위험 평가를 통해 결정할 수 있습니다.
2. ISO/IEC 27001:2022 와 ISO/IEC 27002:2022
ISO/IEC 27001은 ISMS에 대한 요구사항을 설명하고 ISO/IEC 27002는 액세스 제어, 암호화, 인적 자원 보안 및 사고 대응을 포함한 주요 사이버 보안 측면과 관련된 모범 사례 및 제어 목표를 제공합니다.
ISO/IEC 27001:2022의 부록에는 정보 보안 통제에 대한 표가 나와 있으며 이를 정보 보안 리스크 처리에 사용하도록 나와 있습니다. 정보 보안 리스크 처리 과정에서 정보 보안 통제가 포함되는 부분은 다음과 같습니다.
- 1) 선택한 정보 보안 위험 처리 옵션을 구현하는 데 필요한 모든 통제를 결정합니다.
- 2) 결정된 통제를 부록 A의 통제와 비교하고 필요한 컨트롤이 생략되지 않았는지 확인합니다.
- 3) 적용성 보고서를 작성합니다. (필요한 통제와 통제가 구현되었는 지의 여부가 포함)
3. ISO/IEC 27001:2022로 개정 시 주요 변경사항
- - 기존 통제를 재구성하여 데이터 침해, 무단 액세스, 잠재적인 재정적 및 평판 손상의 위험을 최소화하였습니다.
- - 개정된 표준은 보안 통제 수가 114개에서 93개로 감소했습니다.
- - 11개의 신규 통제가 도입되었고, 24개의 통제가 병합되었으며, 58개의 통제가 업데이트 되었습니다.
- - 통제 구조가 수정되어 각 통제에 "속성" 및 "목적"을 도입하고 더 이상 컨트롤 그룹에 "목표"를 사용하지 않습니다.
4. 통제의 그룹화
통제는 위험을 수정하거나 유지하는 조치로 정의됩니다. 통제 중 일부는 위험을 수정하는 통제이고 다른 통제는 위험을 유지합니다. 또한 일부 컨트롤은 서로 다른 위험 내용에서 동일한 일반 측정값을 설명합니다. 2022년 개정판에서는 4가지 통제 영역을 그룹화 하였습니다.
- 1) 조직 통제
- 2) 사용자 제어
- 3) 물리적 통제
- 4) 기술적 통제
각 통제들은 5개의 속성으로 연결되어 있고 이 속성은 다양한 통제를 필터링, 정렬, 표시하는데 사용 할 수 있습니다. 각 속성은 다음과 같습니다.
- 1) 제어 유형 : 정보 보안 사고 발생과 관련하여 위험을 수정하는 시기와 방법의 관점에서 통제를 보는 특성.
- 속성 값 - 예방(Preventive), 탐지(Detective), 교정(Corrective)
-
- 2) 정보 보안 속성 : 통제가 정보의 어떤 특성을 보존하는데 기여하는 지의 관점.
- 속성 값 - 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)
- 3) 사이버 보안 개념 : ISO/IEC TS 27110에 설명된 사이버 보안 프레임워크와 연관시키는 관점.
- 속성 값 - 식별(Identify), 보호(Protect), 감지(Detect), 응답(Respond), 복구(Recover)
- 4) 운영 : 정보보안 능력에 대한 실무자의 관점에서 통제를 보는 속성.
- 속성 값 - 통치(Governance), 자산 관리(Asset_management), 정보 보호(Information_protection), 인적 자원 보안 (Human_resource_security), 물리적 보안(Physical_security), 시스템 및 네트워크 보안(System_and_network_ security), 애플리케이션 보안(Application_security), 보안 구성(Secure_configuration), 신원 및 접근 관리(Identity_and_access_management), 위협 및 취약성 관리(Threat_and_vulnerability_management), 연속성(Continuity), 공급업체 관계 보안(Supplier_relationships_security), 법규 준수(Legal_and_ compliance), 정보 보안 이벤트 관리 및 정보(Information_security_event_management), 정보 보안 보증 (Information_security_assurance)
- 5) 보안 도메인 : 4가지 정보 보안 도메인의 관점에서 제어를 볼 수 있는 속성으로 각 도메인은 아래와 같이 이루어져 있다.
- - 거버넌스 및 생태계(Governance and Ecosystem) : 정보 시스템 보안 거버넌스 및 위험 관리, 에코 시스템 사이버 보안 관리
- - 보호(Protection) : IT 보안 건설, IT 보안 관리, ID 및 액세스 관리, IT 보안 유지 관리, 물리적 및 환경적 보안
- - 방어(Defence) : 탐지, 컴퓨터 보안 사고 관리
- - 회복력(Resilience) : 운영의 연속성, 위기 관리
5. 추가된 통제
- 1) 위협 인텔리전스 : 정보 보안 위협과 관련된 정보를 수집하고 분석해야 합니다.
- 2) 클라우드 서비스 이용을 위한 정보 보안 : 클라우드 서비스의 획득, 사용, 관리 및 종료 프로세스는 조직의 정보 보안 요구사항에 따라 설정되어야 합니다.
- 3) 비즈니스 연속성을 위한 ICT 준비 : ICT 준비 상태는 비즈니스 연속성 목표와 ICT 연속성 요구 사항을 기반으로 계획, 구현, 유지 관리 및 테스트되어야 합니다.
- 4) 물리적 보안 모니터링 : 무단 물리적 접근이 있는지 사업장을 지속적으로 모니터링해야 합니다.
- 5) 구성 관리 : 보안 구성을 포함한 하드웨어, 소프트웨어, 서비스 및 네트워크의 구성은 확립, 문서화, 구현, 모니터링 및 검토되어야 합니다.
- 6) 정보 삭제 : 정보 시스템, 장치 또는 기타 저장 매체에 저장된 정보는 더 이상 필요하지 않으면 삭제해야 합니다.
- 7) 데이터 마스킹 : 데이터 마스킹은 해당 법률을 고려하여 액세스 제어에 대한 조직의 주제별 정책과 기타 관련 주제별 정책 및 비즈니스 요구 사항에 따라 사용해야 합니다.
- 8) 데이터 유출 방지 : 데이터 유출 방지 조치는 민감한 정보를 처리, 저장 또는 전송하는 시스템, 네트워크 및 기타 장치에 적용되어야 합니다.
- 9) 모니터링 활동 : 잠재적인 정보 보안 사고를 평가하기 위해 네트워크, 시스템 및 애플리케이션을 모니터링하여 비정상적인 동작과 적절한 조치를 취해야 합니다.
- 10) 웹필터링 : 악성 콘텐츠에 대한 노출을 줄이기 위해 외부 웹사이트에 대한 접근을 관리해야 합니다.
- 11) 보안 코딩 : 보안 코딩 원칙은 소프트웨어 개발에 적용되어야 합니다.
- 이전글식품 안전(SQF)을 위한 제품인증 안내 23.12.29
- 다음글MoCRA에 따른 화장품 시설등록 및 제품리스팅 시행 기한 연기 23.12.15
댓글목록
등록된 댓글이 없습니다.