정보보호능력은필수적인 기업의핵심경쟁력이다 국제정보보호표준 ISO/IEC 27001:2013 Information security systems Requirements ( 정보보호경영시스템 ISO 27001:2013) - 1 -
ISO 27001:2013 Framework Overview ISO27001:2013 은부속서 SL(Annex SL) 의부록 2(Appendix 2) 규격으로개정되어 High Level Structure 의구조로구성되어있으며조직에게정보보호경영시스템프레임워크를제공한다. ISO/IEC 27001:2013 은 ISO/IEC 270001, 27002, 27003, 27005 등과중복되거나충돌이 발생되는부분을줄이도록하는요구사항과모든 ISO 경영시스템이공통된구조를갖도록동일구문에 동일텍스트사용요구를반영하기위해최초제정이후 8 년만에개정되었다. ISO 27001 정보보호경영체계는비즈니스목표를달성하기위해조직의정보보안을수립하고, 구현하고, 운영하고, 모니터링하고, 검토하고, 유지하고, 지속적인개선을위한체계적인 Process Approach (Plan -> Do -> Check -> Act) 접근방법이다.( 조직의전략적인선택을위한경영시스템이다.) 설명 그림은 ISO 27001:2013 High Level Structure 정보보호경영프레임워크이다. - HLS 구조 (Clause) 는총 1절부터 10절로구성되어있으며 4절 (Clause) 부터 10절 (Clause) 은필수요구사항이다. 참고로 1절 Scope( 범위 ), 2절 Normative references( 참고문헌 ), 3절 Terms and definitions( 용어및정의 ) 구성이다. - 정보보호관리과정은 HLS 상위레벨구조 7개필수요구사항으로구성되어있다. - 정보보호통제과정은 14개영역 114개통제항목으로구성되어있다. - 추가적인통제항목선택및구현시개인정보보호통제항목을추가적으로구현할수있다. Annex SL (previously ISO Guide 83) structure 는 high level structure( 상위레벨구조 ), identical core text( 동일한핵심본문 ), common terms and core definitions( 공통용어및정의 ) 로구성되어있다. ISO 27001:2013 structure 는 1 조직의상황 (Context of the organization) 2 리더십 (Leadership) 3 기획 (Planning) 4 지원 (Support) 5 운영 (Operation) 6 성과평가 (Performance evaluation) 7 개선 (Improvement) 7 개관리과정요구사항 HLS(High Level Structure, common framework) 로구성되어있다. - 2 -
[ 참고 ] The common framework is defined in Appendix 3 of ISO/IEC Directives, Part 1 - High Level Structure common framework 에대해서더깊은학습을원하면참고자료를추천한다. ISO/IEC 27001:2013 은 3 개도메인이확대되었으며, 통제목표와통제항목은각각 4 개및 19 개로축소됨 - 3 -
[ 질문 ] ISO27001:2005(PDCA) and ISO 27001:2013(High Level Stucture) 차이점을설명하세요? [ 질문 ] ISO 9001:2015(High Level Stucture) 와 ISO27001:2013 High Level Stucture 차이점을설명하세요? - 4 -
ISO Guide 72 에서는경영시스템을 방침과목표를수립하고그목표를달성하기위한시스템 으로정의하고있다. ISO Guide 72 는경영시스템표준의 PDCA 모델이나프로세스 (Input-output) 모델에따른구조를제시해면서 6개 공통경영요소 ( 방침, 기획, 실행및운영, 성과평가, 지속적개선, 경영검토 ) 를포함하는것을요구하고있다. ISO Guide 83, Annex SL High level structure, identical core text, common terms and core definitions Q Mapping the clauses ISO 27001:2013 과 ISO 27001:2005 관리과정비교해주세요? A ISO 27001:2013 은 1 조직의상황, 2 리더십, 3 기획, 4 지원, 5 운영, 6 성과평가, 7 개선 7 개관리과정요구사항 HLS(High Level Structure) 로변경되었다. 1. 국제정보보호표준 Framework ISO 27001 은 1 조직의상황, 2 리더십, 3 기획, 4 지원, 5 운영, 6 성과평가, 7 개선으로 7 개관리과정요구사항으로구성되어있으며, 정보보호통제요구사항은부속서 A 통제목적및통제 로 14 개영역 114 개통제항목으로구성되어있다. Process Approach(PACA 접근 ): Plan -> Do -> Check -> Act HLS(High Level Structure): 조직상황, 리더십, 기획, 지원, 운영, 성과평가, 개선의 7 개구조로구성 Risk-based Approach: ISO 31000 기반원칙, 프레임워크, 프로세스 3 가지축으로구성된다. 1 2 3 HLS 구조 (Clause) PACA ISO 27001:2013 요구사항 Scope ( 범위 ) Normative references ( 참고문헌 ) Terms and definitions ( 용어및정의 ) 이국제표준은조직의 Context 내에서정보보호경영시스템의수립, 구현, 유지및지속적인개선을위한요구사항을규정하고있다. 이국제표준은조직의요구에맞게정보보호위험평가및조치하기위한요구사항을포함하고있다. ISO/IEC27000 - 정보보호경영시스템 - 개요및용어 ISO/IEC27000 에서주어진용어및정의가적용된다. 4 Context of the organization Plan ( 계획 ) 4. Context of the organization( 조직의상황 ) - 5 -
( 조직의상황 ) 4.1 Understanding of the organization and its context ( 조직과그상황의이해 ) 4.2 Understanding the needs and expectations of interested parties( 이해관계자의니즈및기대에대한이해 ) 4.3 Determining the scope of the information security system( 정보보호경영시스템범위의결정 ) 4.4 Information security system 5 Leadership ( 리더십 ) 5. Leadership( 리더십 ) 5.1 Management commitment( 경영진의의지 ) 5.2 Policy( 정책 ) 5.3 Organizational roles, responsibilities and authorities( 조직의역할, 책임및권한 ) 6 Planning ( 기획 ) 6. Planning( 기획 ) 6.1 Actions to address risks and opportunities ( 위험과기회에대한대처활동 ) 6.1.1 General 6.1.2 Information security risk assessment ( 정보보호위험평가 ) 6.1.3 Information security risk treatment ( 정보보호위험처리 ) Annex A control objectives and controls ( 부속서 A. 통제목표및통제 ) 6.2 Information security objectives and planning to achieve them ( 정보보안목표및목표달성계획 ) 7 Support ( 지원 ) Do ( 실행 ) 7. Support( 지원 ) 7.1 Resources( 자원 ) 7.2 Competence( 적격성 ) 7.3 Awareness and training( 인식및교육훈련 ) 7.4 Communication( 의사소통 ) 7.5 Documentation( 문서화 ) 7. 5. 1 일반 7. 5. 2 생성및갱신 7. 5. 3 문서화된정보의통제 8 Operation ( 운영 ) 8. Operation( 운영 ) 8.1 Operational planning and control( 운영계획및통제 ) 8.2 Information security risk assessment ( 정보보호위험평가 ) 8.3 Information security risk treatment ( 정보보호위험처리 ) 9 Performance evaluation ( 성과평가 ) Check ( 점검 ) 9. Performance evaluation ( 성과평가 ) 9.1 Monitoring, measurement, analysis and evaluation ( 모니터링, 측정, 분석및평가 ) 9.2 Internal audit( 내부감사 ) - 6 -
10 Improvement ( 개선 ) Action ( 조치 ) 9.3 Management review( 경영진의검토 ) 10. Improvement( 개선 ) 10.1 Nonconformity control and corrective actions ( 부적합사항에대한통제및시정조치 ) 10.2 Continual Improvement( 지속적개선 ) [ 표. ISO 27001 정보보호관리과정요구사항 ] 구분 ISO 27001:2013/KS ISO 27001:2014 요구사항 통제항목 A.5 Information security policies 정보보호정책 2 A.6 organization of information security 정보보호조직 7 A.7 Human resource security 인적자원보안 6 A.8 Asset 자산관리 10 A.9 Access control 접근통제 14 A.10 Cryptography 암호화 2 통제목적및통제 A.11 Physical & environmental security 물리적환경적보안 15 A.12 Operations security 운영보안 14 A.13 Communications security 통신보안 7 A.14 System acquisition, development & maintenance 정보시스템개발유지보수 13 A.15 Supplier relationships 공급자관계 5 A.16 Information security incident 정보보안사고관리 7 A.17 Information security aspects of business continuity 정보보호측면업무연속성관리 4 A.18 Compliance 컴플라이언스 8 14 개영역통제항목 114 개 aspect 측면통제설명 개인정보보호분야 클라우드보안분야 additional controls ( 추가통제 ) 조직상황 (Context), 보안요구사항, 정보보호, 개인정보보호 목표수준에따라추가통제선택및적용을고려할수있음 예시 ( ISO 27009: CD 단계로국제표준화예정 ) - 국내정보보호통제 (ISMS), 개인정보보호통제 (PIPL, PIMS) - ISO 27009 + ISO 29151( 개인정보보호통제 ) - ISO 27009 + ISO 27007, 27008 ( 클라우드정보보호및개인정보보호통제 ) [ 표. ISO 27001 정보보호통제요구사항 ] - 7 -
ISO 27001:2013 구축단계및인증취득준비안내 주요구축및심사준비내용설명 정보보호경영시스템구축단계별산출물 - Task 1: context 분석 ( 내부, 외부 ( 고객사, 법적 ), 이해관계자분석 ) - Task 2: 위험분석및위험평가 - Task 3: 정보보호정책및지침등정보보호경영체계수립 - Task 4: 정보보호대책구현및위험조치이행 - Task 5: 심사준비 ( 1단계문서심사, 2단계본심사 ) - Task 6: 인증취득단계 ( 부적합시정조치및완료 ) 구분 ISO 27001:2013/KS ISO 27001:2014 요구사항 output 산출물 4. Context of organisation 조직의상황범위정의서 5. Leadership 리더쉽정보보호정책 (5.2) 관리과정 6. Planning 기획 7. Support 지원 8. Operation 운영 9. Performance evaluation 성과평가 10. Improvement 개선 위험평가지침 (6.1.2) 위험평가보고서 (6.1.2) 위험처리결과보고서 (6.1.3) 적용성보고서 (6.1.3 d) 정보보호계획서 (6.2) 자원, 인식, 의사소통과관련된문서화된정보위험평가보고서 (8.2) 위험처리 ( 조치및이행 ) 결과보고서 (8.3) 정보보호성과평가보고서 (9.1) 내부감사계획및결과보고서 (9.2) 경영검토에관련된 문서화된정보지속적인개선과효과성과관련된 문서화된정보 - 8 -
구분 ISO 27001:2013/KS ISO 27001:2014 요구사항 output 산출물 A.5 Information security policies 정보보호정책정보보호정책, 지침 A.6 organisation of information security 정보보호조직 정보보호조직지침, 절차서 A.7 Human resource security 인적자원보안인적보안지침, 절차서 A.8 Asset 자산관리자산관리지침, 절차서 A.9 Access control 접근통제접근통제지침, 절차서 A.10 Cryptography 암호통제암호통제지침, 절차서 A.11 Physical & environmental security 물리적환경적보안 물리적보안지침, 절차서 통제목적및통제 A.12 Operations security 운영보안운영보안지침, 절차서 A.13 Communications security 통신보안 A.14 System acquisition, development & maintenance 정보시스템개발유지보수 네트워크보안지침, 절차서 개발보안지침, 절차서 A.15 Supplier relationships 공급자관계공급자보안지침, 절차 A.16 Information security incident A.17 Information security aspects of business continuity 정보보안사고관리 A.18 Compliance 컴플라이언스 정보보호측면업무연속성관리 정보보안사고대응지침, 절차서 정보보호측면업무연속성지침, 절차서 컴플라이언스지침, 절차서 개인정보보호지침내부관리계획, 법적요구사항근거자료 [ 표. ISO 27001:2013 개정된문서화된정보예시 ] - 9 -
Q & A Q Mapping the clauses ISO 27001:2013 과 ISO 27001:2005 관리과정비교해주세요? A ISO 27001:2013 은 1 조직의상황, 2 리더쉽, 3 기획, 4 지원, 5 운영, 6 성과평가, 7 개선 7 개관리과정요구사항 HLS(High Level Structure) 로변경되었다. ISO 27001: 2013 ISO 27001:2005 1. Scope of the standard 1. Scope of the standard 2. Normative references 2. Normative references 3. Terms and definitions 3. Terms and definitions 4. Context of organisation 4.2.1.a Define the scope & boundaries. 5. Leadership 5. 1 Leadership and commitment 5. 2 Policy 5. 3 Organizational roles, responsibilities 6. Planning 7. Support and authorities 5.1 Management Commitment 4.2.1 b) Define an ISMS policy 5.1 c) Establishing roles and responsibilities for information security 4.2.1.b Objectives 4.2.1.c Risk Assessment 5.2 Resource Management 4.3 Documentation Requirements 8. Operation 4.2.2 Implement and operate the ISMS 9. Performance evaluation 4.2.3 Monitor and Review the ISMS 6. Internal Audits 7. Management Review 10. Improvement 8. ISMS Improvement Q Mapping the clauses ISO 27001:2013 과 ISO 27001:2005 통제항목비교해주세요? A ISO 27001:20005 11개영역 133개통제항목에서 ISO 27001:2013 개정판은 14개영역 114개통제항목으로변경되었다. 분류 ISO 27001:2005 ISO 27001:2013 통제목적 A5 Security Policy A5 Security Policies - 10 -
및 통제항목 A6 Organization of information security A7 Asset A8 Human resource security A9 Physical and environmental security A10 Communications and operations A11 Access Control A12 Information systems acquisition, development and maintenance A13 Information security incident A.14 Business continuity A15 Compliance A6 Organization of information security A7 Human resource security A8 Asset A9 Access control A10 Cryptography A11 Physical and environmental security A12 Operations security A13 Communications security A14 System acquisition, development and maintenance A15 Supplier relationships A16 Information security incident A17 Information security aspects of Business Continuity A18 Compliance 합계 11 개영역 133 개통제항목 14 개영역 114 개통제항목 Q ISO 27001:2013 관리과정, 통제항목요구사항 ( 심사기준 ) 전체를설명해주세요? A 관리과정은, 1조직의상황 2 리더쉽 3 기획 4 지원 5 운영 6 성과평가 7 개선으로 7개정보보호경영시스템관리과정요구사항으로구성되어있으며 27개필수요구사항이다. 정보보호통제요구사항은부속서 A 통제목적및통제 로 14개영역 114개통제항목으로구성되어있다. 구분 ISO 27001:2013/KS ISO 27001:2014 요구사항통제항목 4. Context of organisation 조직의상황 4 관리과정 5. Leadership 리더쉽 3 6. Planning 기획 4 7. Support 지원 8 8. Operation 운영 3-11 -
9. Performance evaluation 성과평가 3 10. Improvement 개선 2 7개관리과정필수항목 27 개 ISO 27001:2013은 7개경영시스템 HLS 관리과정은 clauses 조항 (clauses 4절 ~10절 ) 기준으로 27개항목을도출함 구분 ISO 27001:2013/KS ISO 27001:2014 요구사항 통제항목 A.5 Information security policies 정보보호정책 2 A.6 organisation of information security 정보보호조직 7 A.7 Human resource security 인적자원보안 6 A.8 Asset 자산관리 10 A.9 Access control 접근통제 14 A.10 Cryptography 암호통제 2 통제목적및통제 A.11 Physical & environmental security 물리적환경적보안 15 A.12 Operations security 운영보안 14 A.13 Communications security 통신보안 7 A.14 System acquisition, development & maintenance 정보시스템개발유지보수 13 A.15 Supplier relationships 공급자관계 5 A.16 Information security incident 정보보안사고관리 7 A.17 Information security aspects of business continuity 정보보호측면업무연속성관리 4 A.18 Compliance 컴플라이언스 8 14 개영역통제항목 114 개 문의및연락처 한국품질보증원 (KQA) 국내 1 호 ISO 27001 인증기관최초인증팀남재상실장 031-469-9001-12 -