정보보호 보안기술의 요구사항(ISO 27001 : 2013) 1부

ISO 인증은 인증사업을 통해 발령되며 심사원의 '인증심사'를 통해 Cert에서 발급하는 절차를 취한다. 

 

2. 인용 규격

  다음 표준의 전체 또는 일부는 본 표준에 대한 인용 규격이며, 본 표준의 적용을 위해 반드시 필요 하다. 발행시기가 명시된 경우는 해당 판만 적용되며, 발생일시가 명시되지 않은 경우는 참조된 문서의 최신판(개정판 포함)을 적용한다.

 

3. 용어의 정의

  본 표준의 목적을 위하여 ISO / IEC 27000에서 지정한 용어와 정의를 적용한다.

  이 규격에서 사용하는 주된 용어의 정의는 다음과 같다. 

 

3. 1 . 자산 : 조직이 가지는 어떤 가치

 

3. 2. 가용성 : 인가된 객체의 요구에 의하여 접근 가능하고 사용 가능한 특징

 

3. 3. 기밀성 : 비 인가된 개인들, 객체들, 프로세스들에게 사용 가능하지 않도록 만들어졌거나 열리지 않도록 만들어진 정보의 특징

 

3. 4. 정보보안 : 기밀성, 무결성, 정보의 가용성의 보존 또한 확실성, 책임성, 부인방지, 확실성과 같은 다른 특징이 포함되어 있을 수 있다. 

 

3. 5 정보보안 사건 : 정보보안 정책이나 보호의 실패 또는 사전에 알려지지 않은 보안 관련 상황에서 가능한 오류를 나타내는 시스템, 서비스 또는 네트워크의 상태에 대한 식별된 사건

 

3. 6. 정보보안 사고 : 업무의 운영을 손상시키거나 정보보안을 위협의 큰 가능성을 가지는 바람직하지 않거나 예상치 못한 정보보안의 한 사건이나 일련의 사건

 

3. 7 . 정보보호 경영시스템[ISMS] 업무 위험 접근을 기반으로 한 정보보안의 수립, 이행, 운영, 감시, 검토, 유지, 개선을 위한 전체적인 경영 시스템의 부분

 비고 : 경영 시스템은 조직적인 구조, 정책, 기획 활동, 책임, 업무, 절차, 프로세스와 지원들을 포함한다. 

 

3. 8. 무결성 : 정확성과 자산의 완전함을 보호하는 특징

 

3. 9. 잔여위험 : 위험처리 후 남아 있는 위험

 

3. 10. 위험승인 : 위험을 받아들이는 결정

 

3. 11. 위험분석 : 자원을 식별하고 위험을 추정하는 정보의 체계적인 사용

 

3. 12. 위험사정 : 위험분석과 위험평가의 전체적인 과정

 

3. 13. 위험평가 : 위험의 심각성을 판단하기 위하여 정해진 위험기준과 추정된 위험을 비교하는 과정

 

3. 14. 위험관리 : 위험에 대하여 감독하고 통제하기 위한 조직의 통합된 활동들

 

3. 15. 위험처리 : 위험을 수정하기 위한 대책의 선택 및 이행과정

 비고 : 이 규격에서 용어 통제는 대책과 동의어로써 사용된다. 

 

3. 16. 적용성 보고서 : 조직의 ISMS에 적절하고 사용 가능한 통제 목적과 통제를 기술하는 문서화된 진술

           조직의 정보보안에 대한 모든 내용과 정책을 포용하여 경영진에 의해 의결되어 만들어진 보고서를 말한다.

  비고 : 통제 목적과 통제는 위험평가의 결론과 결과, 위험처리, 합법적 또는 규정상의 요구사항, 계약상의 의무, 정보보안을 위한 조직의 업무 요구사항에 기반을 둔다.

 

4. 조직환경

 

4. 1. 조직과 상황에 대한 이해

  조직은 조직의 목적에 적합하고 정보보호 경영시스템이 의도하는 결과를 달성하고자 하는 능력에 영향을 주게 되는 내부 및 외부 이슈들을 결정하여야 한다. 

 

비고 : 이러한 이슈는 ISO 31000:2009(5)의 5.3 절에서 다루고 있는 조직 외부 및 내부 상황의 설정을 참고하여 결정한다.

 

4. 2. 이해당사자(Stake holder)의 요구와 기대에 대한 이해

  조직은 다음과 같은 사항을 결정하여야 한다.

  가) 정보보호 경영시스템과 관련된 조직의 이해당사자

  나) 정보보호와 관련된 이해당사자의 요구사항

  보기 : 이해당사자의 요구사항에는 법적 및 규제적 요구사항과 계약상 의무가 포함될 수 있다.

 

4. 3. 정보보호 경영시스템의 범위 결정

  조직은 정보보호 경영시스템의 범위를 설정하기 위하여 경계선과 적용가능성을 결정하여야 한다. 

 

 조직은 범위를 결정할 때 다음과 같은 사항을 고려하여야 한다. 

  a) 4.1 절에서 설명한 외부 및 내부적인 이슈

  b) 4.2 절에서 설명한 요구사항

  c) 조직에서 수행하는 활동과 타 조직에서 수행하는 활동 간의 인터페이스 및 의존성 범위는 문서 정보로 존재하여야 한다. 

 

4.4 정보보호 경영시스템 

 조직은 본 표준의 요구사항에 따라 정보보호 경영시스템을 수립, 구현, 유지, 지속적 개선하여야 한다. 

 

5. 리더십 

5.1 리더십과 의지 

  최고 경영진은 다음과 같은 활동을 통하여 정보보호 경영시스템에 대한 리더십과 의지를 보여주어야 한다. 

  a) 정보보호 정책과 정보보호 목표를 수립하고 조직의 전략적 방향과 일치함을 보장

  b) 정보보호 경영시스템의 요구사항을 조직의 프로세스와 통합하도록 보장

  c) 정보보호 경영시스템에 필요한 자원을 확보하도록 보장

  d) 효과적인 정보보호 경영시스템의 중요성과 정보보호 경영시스템의 요구사항에 대한 준수의 중요성에 대한 의사소통

  e) 정보보호 경영시스템이 의도한 결과를 달성하도록 보장

  f) 정보보호 경영시스템의 효과성에 기여할 인력들에 대한 지휘와 지원

  g) 지속적인 개선의 촉진

  h) 그 밖에 리더십이 또 다른 관련 경영진의 책임 영역에 적용되는 경우, 그 경영진의 역할을 지원

 

5.2 정책 = 방침(Policy) 이 정책에는 경영지도부의 의지와 자원 지원, 그리고 지속적 개선을 하기 위한 구성원과 역할 및 책임을 부여하여야 한다.

 최고 경영진은 다음과 같은 내용을 만족하는 정보보호 정책을 수립하여야 한다.

 

a) 조직의 목적에 적합하여야 한다.

b) 정보보호 목표를 포함하거나 정보보호 목표를 위한 프레임워크를 제공하여야 한다.

c) 정보보호에 관련된 적용 가능한 요구사항을 만족시키도록 하는 의지를 포함하여야 한다.

d) 정보보호 경영시스템의 지속적인 개선을 위한 의지를 포함하여야 한다. 

 정보보호 정책은 다음을 만족하여야 한다.

 e) 문서정보로 이용할 수 있어야 한다.

 f) 조직 내부에 공표하여야 한다. 

 g) 필요한 이해관련자가 이용할 수 있어야 한다.

 

이상의 내용에 대해서는 반드시 명확한 문서가 정립되어 있어야 할 뿐 아니라 내부자에 대한 교육 및 역할에 대한 이해가 되었는지를 수시로 점검하여야 한다.

또한 해당 내용에 대해 추가적으로 보안을 위한 물리적 환경에 대한 통제 뿐만 아니라, 적절한 출입대책 및 외부자로부터의 보호대책까지 종합적으로 판단이 이루어 져야 한다.