ISO / IEC 27001 : 2013 – 정보 기술 – 보안 기술 – 정보 보안 관리 시스템 – 요구 사항 (제 2 판)

< 이전 표준 ^ 한 단계 위로 ^ 다음 표준 >

소개

ISO / IEC 27001은 정보 위험 (표준에서 정보 보안 위험이라고 함)을 관리하는 구조화 된 활동 모음으로 구성된 거버넌스 계약 인 정보 보안 관리 시스템을 공식적으로 지정합니다. .

ISMS는 경영진이 조직의 정보 위험을 식별, 평가 및 처리 (해결)하는 가장 중요한 프레임 워크입니다. ISMS는 보안 위협, 취약성 및 비즈니스 영향의 변화에 보조를 맞추기 위해 보안 조치가 미세 조정되도록 보장합니다. 이는 이러한 동적 분야에서 중요한 측면이며 다음과 비교할 때 ISO27k의 유연한 위험 중심 접근 방식의 주요 이점입니다. 예를 들어 PCI-DSS입니다.

이 표준은 모든 산업 (예 : 소매, 은행, 국방, 의료)의 모든 규모 (소기업에서 거대 다국적 기업에 이르기까지)의 모든 유형의 조직 (예 : 상업 기업, 정부 기관, 비영리 단체)을 포함합니다. , 교육 및 정부). 이것은 매우 광범위한 요약입니다.

필요한 제어가 표준을 채택하는 광범위한 조직에 따라 현저하게 다르기 때문에 ISO / IEC 27001은 특정 정보 보안 제어를 공식적으로 요구하지 않습니다. ISO / IEC 27002의 정보 보안 제어는 메뉴처럼 오히려 ISO / IEC 27001의 부록 A에 요약되어 있습니다. ISO / IEC 27001을 채택한 조직은 특정 정보 위험에 적용 할 수있는 특정 정보 보안 제어를 자유롭게 선택할 수 있으며, 메뉴에 나열된 항목을 활용하고 잠재적으로 다른 개별 옵션 (확장 제어 세트라고도 함)으로 보완 할 수 있습니다. ISO / IEC 27002와 마찬가지로 적용 가능한 통제를 선택하는 핵심은 ISMS의 중요한 부분 중 하나 인 조직의 정보 위험에 대한 포괄적 인 평가를 수행하는 것입니다.

또한 경영진은 회피, 공유를 선택할 수 있습니다. 또는 통제를 통해 정보 위험을 완화하기보다는 수용 할 수 있습니다. 즉, 위험 관리 프로세스 내 위험 처리 결정입니다.

역사

ISO / IEC 27001은 BS 7799 Part 2에서 파생되었으며 1999 년 British Standards Institute에서 처음 출판했습니다.

BS 7799 Part 2는 2002 년에 개정되어 Deming 스타일을 명시 적으로 통합했습니다. Plan-Do-Check-Act주기.

BS 7799 파트 2는 2005 년 ISO / IEC 27001의 초판으로 채택되었으며 새로운 관리자를 반영하기 위해 다양한 변경 사항이 적용되었습니다. .

ISO / IEC 27001의 두 번째 버전은 2013 년에 발행되었으며 다른 ISO 관리 시스템 표준에 맞게 광범위하게 수정되었습니다. PDCA는 더 이상 명시 적이 지 않지만 지속적인 개선과 체계적인 개선의 개념은 확실히 남아 있습니다.

표준 구조

ISO / IEC 27001 : 2013에는 다음 섹션이 있습니다.

0 소개-표준은 체계적으로 관리하는 프로세스를 설명합니다. 정보 위험.

1 범위-모든 유형, 규모 또는 성격의 조직에 적합한 일반적인 ISMS 요구 사항을 지정합니다.

2 표준 참조-ISO / IEC 27000만이 절대적으로 필수적인 것으로 간주됩니다. 27001 사용자 : 나머지 ISO27k 표준은 선택 사항입니다.

3 용어 및 정의-ISO / IEC 27000 참조.

4 조직의 상황-조직의 상황, 요구 사항 이해 그리고 관심 당사자의 기대와 ISMS의 범위를 정의합니다. 4.4 절은 “조직은 ISMS를 수립, 구현, 유지 및 지속적으로 개선해야한다”고 매우 분명하게 설명합니다.

5 리더십-최고 경영진은 ISMS에 대한 리더십과 헌신을 입증하고 정책을 위임하고 정보 보안을 할당해야합니다. 역할, 책임 및 권한.

6 계획-정보 위험을 식별, 분석 및 계획하고 정보 보안의 목표를 명확히하는 프로세스를 설명합니다.

7 지원-적절 함, 유능한 리소스를 할당하고, 인식을 높이고, 문서를 준비하고, 통제해야합니다.

8 운영-정보 위험 평가 및 처리, 변경 관리 및 문서화에 대한 세부 정보 (부분적으로 감사를받을 수 있도록 인증 감사 자).

9 성과 평가-정보 보안 제어, 프로세스 및 관리 시스템을 모니터링, 측정, 분석 및 평가 / 감사 / 검토하고 필요한 경우 체계적으로 개선합니다.

10 즉석 ement-감사 및 검토 결과 처리 (예 : 부적합 및 시정 조치), ISMS를 지속적으로 개선합니다.

부록 A 참조 제어 목표 및 제어-실제로 ISO / IEC 27002의 제어 섹션 제목 목록보다 약간 더 많습니다. 부속서는 규범 적이며 인증 된 조직이이를 사용할 것으로 예상됨을 의미합니다. 그러나 본문은 특정 정보 위험을 해결하기 위해 자유롭게 벗어나거나 보완 할 수 있다고 말합니다. Annex A만으로는 해석하기 어렵습니다. 구현 지침을 포함하여 제어에 대한보다 유용한 세부 정보는 ISO / IEC 27002를 참조하십시오.

참고 문헌-독자에게 5 개의 관련 표준과 ISO / IEC 지침의 파트 1을 알려줍니다. 또한 ISO / IEC 27000은 표준 (즉 필수) 표준으로 표준 본문에서 식별되며 위험 관리에 대한 ISO 31000에 대한 몇 가지 참조가 있습니다.

인증을위한 필수 요구 사항

ISO / IEC 27001은 ISMS에 대한 공식화 된 사양으로 다음과 같은 두 가지 목적을 가지고 있습니다.

1. ISMS에 대한 설계를 배치하여 중요한 부분을 상당히 높은 수준으로 설명합니다. 수준;
2. 조직이 규정을 준수 함을 인증하기 위해 공인 인증 감사자가 공식 규정 준수 평가의 기초로 사용할 수 있습니다 (선택 사항).

다음 필수 문서 인증에 명시 적으로 필요합니다.

1. ISMS 범위 (4.3 절에 따름)
2. 정보 보안 정책 (5.2 절)
3. 정보 위험 평가 프로세스 ( 6.1.2 절)
4. 정보 위험 처리 프로세스 (6.1.3 절)
5. 정보 보안 목표 (6.2 절)
6. 정보 보안 분야에서 일하는 사람 (7.2 조)
7. 조직에서 필요하다고 간주하는 기타 ISMS 관련 문서 (7.5.1b 조)
8. 운영 계획 및 제어 문서 (8.1 조)

li>

9. 위험 평가 결과 (8.2 항)
10. 위험 처리에 관한 결정 (8.3 항)
11. 정보 보안 모니터링 및 측정 증거 (9.1 항) )
12. ISMS 내부 감사 프로그램 및 수행 된 감사 결과 (9.2 절)
13. ISMS에 대한 최고 경영진 검토의 증거 (9.3 절)
14. 증거 식별 된 부적합 사항 및 발생하는 시정 조치 (10.1 항)
15. 기타 기타 : 부속서 A는 자산, 액세스 제어 정책, 운영 절차, 기밀성 또는 비 적합성의 허용되는 사용에 대한 규칙을 포함하여 추가 문서를 언급하지만 완전히 지정하지는 않습니다. -공개 계약, 보안 시스템 엔지니어링 원칙, 공급 업체 관계에 대한 정보 보안 정책, 정보 보안 사고 대응 절차, 관련 법률, 규정 및 계약 의무와 관련 규정 준수 절차 및 정보 보안 연속성 절차. 그러나 부속서 A가 규범 적 임에도 불구하고 조직은 공식적으로 부속서 A를 채택하고 준수해야하는 것은 아닙니다. 정보 위험을 처리하기 위해 다른 구조와 접근 방식을 사용할 수 있습니다.

인증 감사관은 거의 확실합니다. 이러한 15 가지 유형의 문서가 (a) 존재하고 (b) 목적에 맞는지 확인하십시오.

표준은 문서가 어떤 형식을 취해야하는지 정확하게 지정하지 않지만 7.5.2 절은 제목, 저자, 형식, 미디어, 검토 및 승인과 같은 측면에 대해 설명하고 7.5.3은 문서 제어에 관한 것입니다. , 상당히 공식적인 ISO 9000 스타일 접근 방식을 의미합니다. 전자 문서 (예 : 인트라넷 페이지)는 종이 문서만큼 훌륭하며 실제로 제어 및 업데이트가 더 쉽다는 점에서 더 좋습니다.

ISMS 범위 및 적용 성 설명 (SoA)

이 표준은 전사적 ISMS 구현을 추진하기위한 것이지만, 조직의 모든 부분이 적절하고 체계적으로 관리되는 방식으로 정보 위험을 해결함으로써 이익을 얻도록합니다. , 조직은 ISMS 범위를 원하는대로 넓게 또는 좁힐 수 있습니다. 실제로 범위 지정은 고위 경영진에게 중요한 결정입니다 (4.3 절). 문서화 된 ISMS 범위는 인증을위한 필수 요구 사항 중 하나입니다.

적용 성 설명이 명시 적으로 정의되어 있지는 않지만 섹션 6.1.3의 필수 요구 사항입니다. SoA는 정보 위험 평가의 결과, 특히 이러한 위험을 처리하기위한 결정을 나타냅니다. 예를 들어 SoA는 한 축에서 다양한 유형의 정보 위험을 식별하고 다른 축에서 위험 처리 옵션을 식별하는 매트릭스의 형태를 취하여 위험이 신체에서 어떻게 처리되는지, 그리고 아마도 누가 그에 대한 책임이 있는지를 보여줍니다. 일반적으로 ISO / IEC 27002의 관련 컨트롤을 참조하지만 조직은 NIST SP800-53, ISF 표준, BMIS 및 / 또는 COBIT 또는 사용자 지정 방식과 같은 완전히 다른 프레임 워크를 사용할 수 있습니다.ISO / IEC 27002의 정보 보안 통제 목표 및 통제는 필요한 통제를 간과하는 것을 방지하기 위해 부록 A에 체크리스트로 제공됩니다. 필수는 아닙니다.

ISMS 범위 및 SoA는 제 3자가 조직의 ISO / IEC 27001 준수 인증서에 대한 의존성을 첨부하려는 경우 매우 중요합니다. 예를 들어 조직의 ISO / IEC 27001 범위에 “Acme Ltd. Department X”만 포함 된 경우 관련 인증서는 “Acme Ltd. Department Y”또는 실제로 “Acme Ltd”의 정보 보안 상태에 대해 전혀 언급하지 않습니다. 마찬가지로 어떤 이유로 경영진이 기존의 안티 바이러스 제어를 구현하지 않고 악성 코드 위험을 수용하기로 결정한 경우 인증 감사자는 그러한 대담한 주장에 이의를 제기 할 수 있지만 관련 분석 및 결정이 타당하다면 그것만으로는 정당화되지 않습니다. 바이러스 백신 제어는 사실상 필수가 아니므로 조직 인증을 거부합니다.

측정 항목

실제로 “측정 항목”이라는 용어를 사용하지 않음 , 2013 년 버전의 표준에서는 조직의 ISMS 및 정보 보안 제어의 성능 및 효과에 대한 메트릭을 사용해야합니다. 섹션 9, “성능 평가”에서는 조직이 적절한 보안 메트릭을 결정하고 구현해야하지만 높은 수준의 요구 사항 만 제공합니다.

ISO / IEC 27004는 요구 사항을 충족하고 ISMS의 성능을 평가하기 위해 무엇을 어떻게 측정해야하는지에 대한 조언-PRAGMATIC 보안 메트릭에 설명 된 것과 다르지 않은 탁월한 접근 방식입니다.

인증

공인되고 존경받는 인증 기관에 의한 ISO / IEC 27001 준수 인증은 전적으로 선택 사항이지만 보안에 대해 우려하는 조직의 공급 업체 및 비즈니스 파트너에게 점점 더 요구되고 있습니다. 정보 및 공급망 / 공급망 전반에 걸친 정보 위험에 대한 정보를 제공합니다.

인증은 단순한 규정 준수를 넘어서는 많은 이점을 제공합니다. ISO 9000 시리즈 인증서에 따르면 n 단지 “우리는 양질의 조직입니다.” 독립적 인 평가는 필연적으로 구현 프로세스에 약간의 엄격함과 형식을 가져오고 (정보 보안의 개선과 위험 감소를 통해 가져 오는 모든 이점을 의미 함) 항상 고위 경영진의 승인이 필요합니다 (적어도 보안 인식 측면에서 이점입니다!).

이 인증서에는 마케팅 잠재력과 브랜드 가치가있어 조직이 정보 보안 관리를 진지하게 받아들이고 있음을 보여줍니다. 그러나 위에서 언급했듯이 인증서의 보증 값은 ISMS 범위 및 SoA에 크게 의존합니다. 즉, 정보에 크게 의존하는 경우 조직의 ISO / IEC 27001 준수 인증서를 너무 신뢰하지 마십시오. 보안. 인증 된 PCI-DSS 준수가 “신용 카드 데이터 및 기타 개인 정보의 보안을 보장합니다”를 의미하지 않는 것과 동일한 방식으로 인증 된 ISO / IEC 27001 준수는 긍정적 인 신호이지만 조직의 정보 보안에 대한 주철 보장은 아닙니다. . “우리는 안전하다”가 아니라 “규격을 준수하는 ISMS를 갖추고 있습니다.”라고되어 있으며 미묘하지만 중요한 차이점입니다.

표준 상태

ISO / IEC 27001이 첫 번째였습니다. 2005 년에 발표되었습니다.

이 표준은 완전히 재 작성되어 2013 년에 발표되었습니다. 이것은 ISO가이 표준을 다른 관리 시스템 표준에 맞추기 위해 상당한 변경을 요구했기 때문에 2005 년 에디션의 내용을 수정하는 것 이상이었습니다.

ISO / IEC 27002는 광범위하게 수정되고 동시에 재발행되었으므로 ISO / IEC 27001의 부록 A도 완전히 업데이트되었습니다. 자세한 내용은 ISO / IEC 27002 페이지를 참조하세요.

2014 년 기술 정오표는 정보가 결국 자산임을 명확히했습니다. Golly.

두 번째 기술 정보 2015 년 endum은 조직이 SoA에서 정보 보안 제어의 구현 상태를 공식적으로 식별해야한다고 명시했습니다.

제안 된 세 번째 기술 정오표가 상어를 뛰어 넘었습니다. SC 27은 게시 된 정보를 계속 수정하려는 충동에 저항했습니다. 초안 일 때 제안 했어야하는 변경 사항을 불필요하게 표준으로 사용하고 어차피 수용되지 않았을 수 있습니다. 해결되지 않았음에도 불구하고 우려는 유효합니다. 표준은 실제로 정보 위험을 관리 시스템과 관련된 위험과 혼동합니다. 그것은 후자를 다루어야했지만 대신 전자를 취했다.

연구 기간은 SoA와 관련하여 Annex A의 가치와 목적을 살펴보면서 Annex A가 ISO / IEC 27002에 대한 유용한 링크라는 결론을 내렸지 만 본문 문구는 Annex A가 전적으로 선택 사항입니다. 조직은 위험 처리를 선택, 구현, 관리, 모니터링 및 유지하는 프로세스가 주요 요구 사항을 충족하는 경우 정보 위험을 처리하는 데 적합하다고 판단되는 모든 제어 집합 (또는 실제로 다른 위험 처리)을 채택 할 수 있습니다. 즉, 전체 프로세스가 ISMS에 속합니다.

ISO / IEC 27001의 차기 버전은 ISO / IEC 27002 (부록 A를 다시 작성하는 것을 의미)의 향후 업데이트를 반영하는 중요한 변경 사항을 반드시 포함합니다. Annex SL에 대한 지속적인 개정의 결과로 일부 본문 문구가 변경되었습니다 …

개인 의견

Annex SL (이전에는 “Draft Guide 83″으로 알려짐, 때때로 “Annex L”으로 알려짐) ) 부록 2는 일반적인 상용구 텍스트 및 구조를 지정합니다. 품질 보증, 환경 보호 등을 다루는 모든 ISO 및 ISO / IEC 관리 시스템 표준. 관리 시스템 중 하나에 익숙한 관리자는 다른 모든 관리 시스템을 뒷받침하는 기본 원칙을 이해하게됩니다. 인증, 정책, 부적합, 문서 제어, 내부 감사 및 관리 검토와 같은 개념은 모든 관리 시스템 표준에 공통적이며 실제로 프로세스는 조직 내에서 대부분 표준화 될 수 있습니다.

다음에 올해 업데이트 될 때 Annex SL 부록 2 (승인 된 경우) :

• 위험을 “불확실성의 영향”으로 정의 (현재 버전에서 사용 된 정의에서 “목표의 삭제”) ISO / IEC 27000의) 4 개 메모 (현재 정의에서 6 개 중 마지막 2 개 메모 삭제). 이러한 단순화가 ISO27k에 도움이되는지, 해를 끼치거나 영향을주지 않는지는 아직 알 수 없습니다.
• 결과를 결과로 대체합니다. 이는 주로 쉽게 번역 할 수 있도록 변경 한 것입니다.
• 변경 계획을 포함합니다. 즉, 관리 시스템에 대한 모든 변경은 에서 수행해야합니다.
• 아웃소싱, 계약 및 기존 구매를 포함하기 위해 “아웃소싱”을 “외부 제공”으로 대체합니다.
• 내부 감사에 대한 일반 요구 사항을 별도로 지정 (9.2.1) 및 내부 감사 프로그램 (9.2.2)을위한 것입니다.
• 경영 검토 (9.3.1)와 그 입력 (9.3.2) 및 출력 (9.3.3)에 대한 일반 요구 사항을 별도로 지정합니다.
• 결점에 대한 사후 대응 외에도 관리 시스템의 사전 예방 적 개선의 필요성을 다시 강조합니다.
• 다음을 포함하여 모든 ISO 관리 시스템 표준에 대한 다양한 기타 문구 변경을 지시합니다. ISO / IEC 27001 출시.

SC 27의 “정보 자산”의 의도 된 의미에 대한 혼란은 계속됩니다. ISO / IEC 27000의 “정보 자산”이 완전히 바닥이 아니라고 생각하는 것은 전술적 오류 일 수 있습니다. 매우 광범위하게 가치있는 것으로 정의 된 “자산”이라는 용어로 돌아 가면 용어가 문자적이고 명시적인 정의로 대체되면 ISO27k 전체에서 문제가 발생합니다. 브릭은 자산이고 브릭 스마트 폰은 책임입니다. “가치” 모호한 개념입니다. “누구에게 가치가 있습니까?”라고 묻는 것이 타당합니다. 또한 조직은 적절한 보호가 필요한 개인 및 독점 정보를 포함하여 다른 사람의 일부 정보에 대한 관리인 역할을하기 때문에 ISMS에 의해 보호되어야합니까? 이것은 지저분하고 불분명하며 궁극적으로 불만족스러운 상황입니다. 국제 표준.