정보보호 보안기술의 요구사항(ISO 27001 : 2013) 3부

7. 3 인식

 조직의 통제 하에서 작업을 수행하는 인력은 다음과 같은 사항을 인식하고 있어야 한다.

 a) 정보보호 정책

 b) 정보보호 성과의 개선에 따른 이점을 포함한 정보보호 경영시스템의 효과성에 대한 자신의 기여

 c) 정보보호 경영시스템의 요구사항을 준수하지 않은 경우에 미치는 영향

 

7. 4. 의사소통

  조직은 정보보호 경영시스템에 관련하여 다음과 같은 사항을 포함한 내부 및 외부와의 의사소통의 필요성을 파악하여야 한다. 

  a) 의사소통 내용 

  b) 의사소통 시점

  c) 의사소통 주체

  d) 효과적인 의사소통 프로세스

 

7. 5. 문서 정보

7.5.1 일반사항

조직의 정보보호 경영시스템은 다음과 같은 사항을 포함하여야 한다.

  a) 본 표준에서 요구하는 문서 정보

  b) 정보보호 경영시스템의 효과성을 위해 조직에서 필요하다고 판단한 문서 정보

  보기 다음과 같은 이유로 인해 정보보호 경영시스템에서 문서 정보의 범위는 조직마다 상이할 수 있다. 

   1) 조직의 규모, 그리고 활동, 프로세스, 제품, 서비스의 유형

   2) 프로세스의 복잡도와 프로세스 간의 상호작용

   3) 인력의 역량

 7. 5. 2 생성 및 갱신 

  문서 정보를 생성하고 갱신할 때 조직은 다음과 같은 사항이 적합하도록 보장하여야 한다. 

  a) 식별 및 서술(예 : 제목, 일자, 작성자, 참조번호) 

  b) 양식( 예: 언어, 소프트웨어 버전, 도식) 및 매체(예 종이, 전자문서) 

  c) 적절성과 타당성에 대한 검토 및 승인

7. 5. 3. 문서 정보의 통제

 정보보호 경영시스템과 본 표준이 요구하는 문서 정보는 다음과 같은 사항을 보장하도록 통제하여야 한다.

  a) 필요한 장소와 시점에 적절하게 사용 가능 (추적성)

  b) 적합한 보호의 수행(예 : 기밀성 훼손, 부적절한 사용, 무결성 손상으로부터 보호) 

      문서 정보의 통제를 위하여 조직은 다음과 같은 활동을 수행하여야 한다.

  c) 배포, 접근, 검색, 사용(필요한 장소에 배포) 

  d) 저장 및 보존(가독성 확보 포함) 비디오의 경우 비디오 판독기 필요

  e) 변경 통제( 예 : 버전 통제, 유효본 사용) 

  f) 유지 및 폐기 이 때 폐기는 승인권자 승인 이후에 폐기가 가능하다. 

  정보보호 경영시스템의 계획과 운영에 필요한 것으로 조직에서 판단한 외부 출처의 문서 정보를 식별하고 통제하여야 한다.

  비고 : 접근(access)은 문서 정보에 대해 읽기만 허용하거나 문서 정보를 읽고 변성하도록 허용하고 승인하는 등의 결정을 필요로 한다.

 

8. 운영

8. 1 운영계획 및 통제

 조직은 정보보호 요구사항을 만족시키고 6.1절에서 파악한 활동을 구현하는데 필요한 프로세스를 계획, 구현, 통제하여야 한다. 또한 조직은 6.2에서 파악한 정보보호 목표를 달성하기 위한 계획을 구현하여야 한다.

 

조직은 프로세스가 계획대로 수행되었음을 확신하기 위해 필요한 문서 정보를 유지하여야 한다.

조직은 계획에 따른 변경을 통제하고 의도되지 않은 변경의 결과를 검토하여 악영향을 감소시키기 위한 조치를 취하여야 한다.

조직은 외주 프로세스를 파악하고 통제하여야 한다.

 

8.2 정보보호 위험평가

 조직은 계획된 주기에 따라 또는 중대한 변화가 예상되거나 발생한 경우에 6.1.2 a) 에서 수립한 기준을 감안하여 정보보호 위험평가를 수행하여야 한다. 

 조직은 정보보호 위험평가의 결과를 문서 정보로 유지하여야 한다.

 

8. 3 정보보호 위험처리 

조직은 정보보호 위험처리 게획을 구현하여야 한다. 

 조직은 정보보호 위험처리의 결과를 문서 정보로 유지하여야 한다.

 

9. 성과 평가

9. 1 모니터링, 측정, 분석, 평가

 조직은 정보보호 경영시스템의 정보보호 성과와 효과성을 평가하여야 한다.

조직은 다음과 같은 사항을 파악하여야 한다. 

a) 정보보호 프로세스와 통제를 포함한 측정 및 모니터링 대상

b) 가능한 경우, 유효한 결과를 보장하기 위한 모니터링, 측정, 분석, 평가 방법

비고 선택된 방법이 유효하다고 간주되기 위해서는 비교 가능하고 재현 가능한 결과를 산출하여야 한다. 

c) 모니터링 및 측정 수행 시점

d) 모니터링 및 측정 주체

e) 모니터링 및 측정 결과에 대한 분석과 평가 시점

f) 결과에 대한 분석과 평가 주체

조직은 모니터링 및 측정 결과에 대한 증적으로 적절한 문서정보를 유지하여야 한다. 

 

9. 2 내부 감사

조직은 정보보호 경영시스템에 대해 다음과 같은 사항을 확인할 수 있는 정보를 제공하도록 계획된 주기에 따라 내부 감사를 수행하여야 한다.

a) 다음 사항의 준수 여부

   1) 정보보호 경영시스템에 대한 조직 자체의 요구사항

    2) 본 표준의 요구사항

 b) 효과적인 구현 및 유지

  조직은 다음과 같은 사항을 수행하여야 한다.

c) 주기, 방법, 책임, 계획 요구사항, 보고 등을 포함한 감사 프로그램의 계획, 수립, 구현, 유지, 감사 프로그램은 대상 프로세스의 중요성과 이전에 수행한 감사 결과를 감안하여야 한다.

d) 개별 감사에 대한 감사 기준 및 범위 정의

e) 감사인 선정 및 감사 프로세스의 객관성과 공정성을 보장하는 감사 수행

f) 감사 결과가 관련 경영진에게 보고괴도록 보장

g) 감사 프로그램 및 감사 결과에 대한 증적으로 문서 정보의 유지

 

9. 3 경영진 검토

최고 경영진은 조직의 정보보호 경영시스템에 대한 지속적인 적절성, 타당성, 효과성을 보장하기 위하여 계획된 주기로 검토를 수행하여야 한다.

경영진 검토에서는 다음과 같은 사항을 고려하여야 한다.

a) 이전에 수행한 경영진 검토에 다른 조치 상태

b) 정보보호 경영시스템과 연관된 외부 및 내부적인 이슈 변화

c) 다음과 같은 추세를 포함한 정보보호 성과에 대한 피드백

   1) 부적합 및 시정조치

   2) 모니터링 및 측정 결과

   3) 감사 결과

   4) 정보보호 목표의 충족

 d) 이해관계자로부터의 피드백

 e) 위험평가의 결과와 위험처리 계획의 상태

 f) 지속적인 개선 기회

 

 경영진 검토의 산출물은 지속적인 개선 기회에 관련된 의사결정과 정보보호 경영시스템의 변경을 위한 요구를 포함하여야 한다.

 조직은 경영진 검토의 결과에 대한 증적으로 문서 정보를 유지하여야 한다.