ISO27001(정보기술, 보안기법, 정보보안 관리 시스템 요구사항)

1. ISO 27001의 개요

가. ISO 27001의 정의

- 조직의 전반적인 관리시스템의 일부로서 비즈니스 위험에 기반하여 정보보호를 계획, 구현, 운영, 검토 및 개선시키기 위해 조직체계 및 정책, 정보보호 프로세스 및 절차, 지침 등으로 구성된 ISMS에 대한 글로벌 표준
- 정보기술, 보안기법, 정보보안 관리 시스템 요구사항

나. ISO 27001의 역사

- 실무 규약으로서 정보보호 관리를 위한 통제수단을 기록한 Part 1과 인증요건으로서 정보보호관리체계 수립을 위한 요구사항을 명시한 Part 2 구성

ISO 27001의 역사

다. ISO 27001 특징

보안관리 요구사항	- 개별 조직의 형태에 따른 실행해야 할 요건 규정
인증 심사를 위한 규격	- ISMS에 대한 문서화, 수집, 실행에 대한 요구사항, 규칙 규정
구축 절차 제시	- ISMS 구축 절차 제시

라. ISO 27001 요구사항

체계적 검사	- 위협, 취약점 및 Impact을 고려하여 조직의 정보 보안 위험을 검사
보안 체계/위험관리 체계 설계 및 구현	- 보안통제 및 위험관리를 위한 응집적이고 이해 용이한 포괄적 체계 설계/구현
포괄적 관리 프로세스 도입	- 정보보안 통제가 조직의 현 기반에서 정보보안 요구를 충족하도록 함

2. ISO 27001의 구성

가. ISO 27001의 구성도

ISO 27001의 구성도

나. ISO 27001의 구성요소

Domain	상세 내용	항목
정보보호 정책	- 정보보호 정책 수립 (경영자 승인, 공지 등) 및 주기적 검토	2
정보보호 조직구성	- 보안조직 구성 및 책임 정의, 보안업무 프로세스 수립 - 정보보호 관련 대내외 협력체계 구축 및 보안체계 수립	11
자산관리	- 정보자산의 식별, 분류, 관리 (Ownership, 라벨링, 통제)	5
인적 보안	- 임직원 채용, 근무, 퇴직 시 보안 통제 (서약, 교육 등)	9
물리/환경 보안	- 물리적 보안통제 (보안구역, 경비, 출입통제, 자원보호) - 설비보안 (정보설비 접근통제, 안정적 전원공급 등)	13
통신 및 운영	- 보안 운영 통제 (절차수립, 변화관리, 개발 및 운영분리 등) 아웃소싱 보안관리, 악성코드 대응, 백업, 매체관리 등	32
접근통제	- 접근제어 정책 수립, 사용자 접근 및 권한관리, 네트워크 접근제어, OS 접근제어, 원격 접근제어 등	25
시스템 도입/개발/유지보수	- 시스템 보안요구사항 분석, 무결성 보증, 암호 통제, 취약점 제거, 개발 통제 및 변화 관리 등	16
침해사고 대응	- 보안이벤트 및 보안 취약점 신고 처리, 침해사고 대응	5
사업 연속성관리	- 사업 연속성 계획 수립 및 관리, 주기적 훈련	5
준거성	- 국가 관련 법규 및 제도 준수, 보안정책 준수 등	10

3. ISO 27001 요구사항 별 프로세스 및 운영

가. ISO 27001 요구사항 별 프로세스

항목	세부항목
1. 일반사항(General)	1.1 목적(Purpose) 1.2 적용범위(Scope) 1.3 용어의 정의
2. 서비스 개요	2.1 서비스 개념도 2.2 서비스 기대효과 2.3 서비스 조직 및 역할 2.4 서비스 Process Map 2.5 정보시스템 2.6 ISMS 정보자산 분류 2.7 정보보호 경영방침 2.8 ISMS 인터페이스
3. 정보보호 관리 체계(ISMS)	3.1 일반사항 3.2 ISMS 수립 및 관리 3.3 문서화 요구사항
4. 경영책임, 내부 심사 및 지속적 개선	4.1 경영책임 4.2 내부 ISMS 심사 4.3 경영검토 4.4 ISMS 개선
5. 정보보호 정책	5.1 정보보호 정책
6. 정보보호 조직	6.1 내부 조직 6.2 외부조직
7. 자산관리	7.1 자산에 대한 책임 7.2 정보 등급 분류
8. 인원보안	8.1 고용전 8.2 고용기간 8.3 고용계약 종료 또는 변경
9. 물리 및 환경적 정보보호	9.1 정보보호 구역 9.2 장비정보보호
10. 통신 및 운영 정보보호	10.1 운영절차 및 책임 10.2 외부업체 서비스 제공 관리 10.3 시스템 계획 및 도입 10.4 악성 및 모바일 코드로부터의 보호 10.5 백업 10.6 네트워크 정보보호 관리 10.7 저장매체 취급 10.8 정보교환 10.9 모니터링
11. 접근통제	11.1 접근통제에 대한 비즈니스 요구사항 11.2 사용자 접근관리 11.3 사용자 책임 11.4 네트워크 접근 통제 11.5 OS 접근 통제 11.6 어플리케이션 및 정보 접근 통제 11.7 모바일 컴퓨팅 및 원격 작업
12. 정보시스템 도입, 개발 및 유지보수	12.1 정보시스템에 대한 정보보호 요구사항 12.2 시스템 파일 정보보호 12.3 개발 및 지원과정의 정보보호 12.4 기술적 취약점 관리
13. 정보보호사고관리	13.1 정보보호사고 및 취약요소 보고 13.2 정보보호사고 관리 및 개선
14. 업무연속성 관리	14.1 업무연속성 관리의 정보보호 관점
15. 준거성	15.1 법적 요구사항 준수 15.2 정보보호정책 및 표준 준수와 기술적 준수 15.3 정보시스템 감사 고려사항 15.4 SOA 변경

나. ISO 27001의 운영

ISO 27001의 운영

다. ISO 27001의 인증 추진 절차

단계	내용
프로젝트 계획	프로젝트 환경을 설정하고 ISO 27001 인증범위 인 ISMS 범위 정의 프로젝트 추진 조직을 구성하고 각 담당자 선정 및 핵심 요원 양성교육 실시 프로젝트의 상세 계획을 확립함
현황 분석	ISO 27001 요구사항과 기존 보안 체계와의 Gap 분석 조직에 존재하는 보안 취약점 및 위험 파악 현황 분석을 토대로 구체적인 ISMS 범위를 확정함
위험분석	위험 분석 범위 설정 및 위험 분석 진행 인력을 구성함 도출된 위험과 취약점을 평가/분석하고 위험도를 측정
체계 설계	파악된 위험들을 관리하기 위한 적절한 통제항목들을 선택하고 관리적, 물리적, 기술적 측면의 상세 설계 실시 및 구현 계획을 수립 선택된 통제항목들과 선택되지 못한 통제 항목들에 대한 적용/미적용 사유를 기술함
절차 수립 및 구현	각 자산 별 보안 절차 및 지침을 작성하여 지속적으로 검토/개선, 교육 전파를 통한 보안 마인드 제고
모니터링 및 인증 심사 지원	수립된 보안관리 체계를 기업에 적용하면서 발생되는 각종 로그를 수집 정리하고 적용성 보고서(SOA)를 작성함 인증 예비 심사를 실시하고 본 심사를 준비함
인증 심사	적용성 보고서 정보보호 정책 및 지침 관련 이행 기록 등에 대한 문서 심사 실시 문서 심사 결과에 대한 이행여부 검토를 위해 현장 심사 실시, 심사결과 보고서 작성 및 결과 리뷰 인증서 발급 교부 유효 심사: 인증의 내용대로 운영되고 있는지 주기적(매 6개월 단위)으로 확인 갱신심사: 유효기간의 만료 (3년) 시 갱신심사 실시

라. 인증추진 절차 3단계

단계	내용
비공식 리뷰	Statement of Applicability, 위험처리 전략의 존재여부와 완전성 등을 체크 감사인과 조직간의 친밀성 조성
공식 리뷰	구체적이고 공식적인 Compliance 감사 270001에 구체화된 요구사항들에 의거하여 ISMS의 독립적 테스트 감사인은 관리 시스템이 적절히 설계되고 구현되었는지 그리고 실제 동작하는지에 대한 증거를 확보, 해당 단계를 통과하면 ISMS 인증이 성공함
Follow up 리뷰 또는 감사	표준의 Compliance의 유지 여부 검토 인증 유지보수는 주기적인 감사를 오구하며 주로 1년 단위로 행해지나 상황에 따라 더 빈번하게 수행될 수 있음

4. ISO 27001 획득을 위한 기업 내 활동

ISO 27001 획득을 위한 기업 내 활동

ISO 17799 = ISO 27002 = BS7799 Part 1
 

1. ISO 27002의 개요

가. ISO 27002의 정의

- 정보기술, 보안기법, 정보보안 관리를 위한 실행 지침
- 정보보호 관리 체계를 구축하고 실행하며 유지하는 조직에 정보보호관리에 대한 실행방안을 제공, 조직의 정보보호 목표인 무결성, 기밀성, 가용성 충족
- 정보보안을 위한 국제표준으로 최상의 실행을 위한 포괄적인 일련의 관리방법에 대해서 요건 별로 해석해 놓은 사업체를 위해서 산업체에서 개발된 규격
- 문서화된 것, 말해진 것 및 컴퓨터 정보에 대한 모든 것이 정보보안 대상

나. ISO 27002의 특징

Best Practice 권고안	- ISMS을 위한 정보보안 관리의 Best Practice 권고안 제공
CIA 유지 중점	- Confidentiality(오직 권한을 가진 이만 접근 가능 보장) - Integrity (정보와 프로세스 메서드의 정확성과 완전성 보호) - Availability(권한을 가진 이가 필요 시 정보와 관련 자산을 접근 가능하도록 보장)

2. ISO 17799의 구성요소 및 통제 영역

가. ISO 17799의 구성요소

구분	설명
17799-1	- 정보보안관리 실행 지침 - 참조 문서로 사용할 수 있음 - 보안관리에 대한 포괄적인 세트 제공 - 현 사용중인 최상의 정보보안 실행 지침 - 10개 Section으로 구성 - 심사 및 인증으로의 사용 불가
17799-2	- 정보보안 관리시스템 규격 - 정보보안관리 시스템 문서화 수립 실행에 대한 요구사항 규정 - 개별 조직의 필요성에 따라 실행될 수 있는 보안관리 요건 규정 - 1999FH 인증 받는데 있어 참고할 지침 자료 - 17799-2:1999는 10개의 관리 항목으로 구성, 기밀성, 무결성, 가용성에 대한 자료 유지 초점

나. ISO 27002에 규정된 정보보호 요소(통제 영역)

구분	설명
법규 및 지침	- 조직 내/외부적으로 반드시 지켜야 하는 법적 규제사항이나 지침 - 전자문서를 통한 회계작성 준칙이나 원본문서 보관 등 IT 관련 법/제도
정보보호 정책	- 조직 전반에 걸쳐 정보보호 정책이 효과적으로 운영되도록 명확한 정책 방향 제시 및 가시적 지원
정보보호 조직	- 조직의 정보보호 하부구조로 외부 접근 보안 및 아웃소싱에 대한 요구사항
자산관리	- 정보자산 분류, 자산에 대한 책임, 자산 처리 절차
인적 보안	- 직무 정의, 종사자의 입사, 보직 변경 및 퇴사 등에 대한 관리, 사용자 훈련, 교육
물리적, 환경적 보안	- 시스템 보호를 위한 보안 구역, 장비보안, 일반적인 물리적 통제
운영관리	- 시스템과 네트워크의 기술적 보안통제에 대한 관리로 운영절차와 책임, 시스템 계획 및 승인, 관리유지, 유해 SW에 대한 보안, 네트워크 관리, 미디어 취급 및 보안, 정보 및 SW 교환
접근통제	접근 통제에 대한 사업 요구사항, 사용자 접근관리, 사용자 책임, 네트워크 접근 통제, 운영시스템의 접근 통제, 어플리케이션 접근제어, 접근 및 사용의 모니터링 시스템
시스템개발과 관리	- 시스템 보안 요구사항, 어플리케이션 시스템보안, 시스템 파일보안, 개발 및 지원 프로세스에서의 보안
정보시스템 사고관리	침해사고 긴급대응, 사고처리, 사후조치
위험관리	정보보호 시스템 운영, 취약점 분석, 모의해킹
사업 연속성관리	- 재해 재난 발생시 업무의 연속성을 유지하기 위한 계획으로 데이터 백업 등 복구 및 시스템 이중화 등 고객 서비스의 지속성 보장, 핵심업무 기능 지속하는 환경 조성

3. ISO 27002의 획득 이점

- 정보보안 경영시스템의 독립적인 검토
- 취약한 부분을 식별하고 개선하기 위한 기회 제공
- 선임 경영자는 정보의 소유권을 취할 수 있음
- 사업 지속성 보장