국제인증심사원 & 담당자를 위한 ISMS 실무가이드!

현업 프로젝트 적용가능한 국제표준 ISMS 실무서!

  지난 2022년 10월 26일 국제표준화기구(ISO)는 ISO/IEC 27001:2022 표준에 대하여 3차 개정판을 발행하였습니다. 3차 개정판은 ISMS를 도입한 조직이 중요정보를 보호하기 위한 통제(control)를 더욱 효과적으로 관리할 수 있도록 총 네 가지 테마인 조직(Organisational), 인적(People), 물리적(Physical), 기술적(Technological) 으로 구분하고, 조직 내 정보보안이 무엇을 의미하는지를 경영진의 검토와 내부감사프로그램 계획 수립 등을 통하여 ISMS의 효과적 운영을 조금더 명확히 하였습니다. 또한, 조직의 프로세스와 전체 경영 구조의 일부분으로 통합하고, 주요 정보자산의 위험평가와 필요한 통제를 검토하여 정보보안, 클라우드 보안, 데이터 보안에 대한 모범 사례를 유지하고 새로운 지침과 일치하는지를 확인하도록 하여 조직의 정보보호의 중요성과 책임 소재를 분명히 하는 것이 목적으로 하고 있습니다.

  ISO/IEC 27001:2022는 조직이 운영중인 정보자산에 대하여 기밀성, 가용성 및 무결성을 보호하는 것을 목표로 하는 국제적으로 인정된 표준으로 조직이 정보보안경영시스템(ISMS)을 구축, 구현, 유지 관리 및 지속적으로 개선하기 위한 요구 사항을 제공하며, ISMS의 채택은 조직의 전략적 결정에 집중하고 비즈니스 고유의 정보보안 위험 환경을 고려하는 데 도움을 줍니다. 또한, ISMS 수립 및 구현은 조직의 요구와 목표, 보안 요구사항, 사용되는 조직 프로세스, 조직의 규모와 구조에 영향을 받기도 합니다. 

  ISO/IEC 27001:2022 업데이트에는 기타 용어의 사소한 변경과 4절~10절 중에서 4.2, 6.2, 6.3, 8.1절에서 새로운 내용이 추가되었으며, 9.2.1 일반사항, 9.2.2 내부 감사 프로그램, 9.3.1 일반사항, 9.3.2 경영검토 입력, 9.3.3 경영검토 결과 요구사항이 추가되었지만, 조항의 제목과 순서는 그대로 유지되었습니다.

  ISO/IEC 27001:2022 Annex(부속서) A에서 요구하는 통제항목인 ISO/IEC 27002 또한 지난 2022년 3월에 2022년버전으로 개정 발표되었으며 이번 3차 개정에도 일부 영향을 미쳤습니다.

  Annex A의 통제항목수는 기존 2013버전의 114개 중에서 중복되는 항목을 일부 병합하여 93개로 감소했으며, 일부 통제는 더 이상 모범 사례를 반영하지 않기 때문에 제거되었습니다.

  ISO/IEC 27002:2022은 기존 35개의 통제항목은 그대로 유지되고 23개의 통제항목은 이름이 바뀌었고, 57개의 통제항목은 24개의 통제항목으로 병합되었으며, 하나의 컨트롤은 두 개로 나누어졌습니다.

  ISO/IEC 27002:2022버전은 정보보안 제어가 개정되고 A.5 조직 컨트롤 (37개), A.6 사람 컨트롤 (8개), A.7 물리적 컨트롤 (14개), A.8 기술적 컨트롤 (34개) 등 4개의 통제항목 그룹 또는 섹션과 93개의 새로운 제어로 보완 및 재구성되었습니다.

  ISO/IEC 27002:2022에서 신규로 추가된 11개 통제항목은 다음과 같습니다.

5.07 Threat intelligence 위협 인텔리전스

5.23 Information security for use of cloud services 클라우드 서비스 이용을 위한 정보보안

5.30 ICT readiness for business continuity 비즈니스 연속성을 위한 ICT 준비

7.4 Physical security monitoring 물리적 보안 모니터링

8.09 Configuration management 구성 관리

8.10 Information deletion 정보 삭제

8.11 Data masking 데이터 마스킹

8.12 Data leakage prevention 데이터 유출 방지

8.16 Monitoring activities 모니터링 활동

8.23 Web filtering 웹 필터링

8.28 Secure coding 보안 코딩

편. ISO 국제표준의 이해

1. 표준과 국제표준화의 개요

- 표준과 표준화의 개념

- 주요 국제표준 개요

- 국제표준의 개발 개요

2. ISO 국제표준 인증의 개요

- ISO 인증의 개념

- ISO 경영시스템 자격증

- ISO 인증의 절차와 개념

3. ISO 국제표준 인증심사의 개요

- 인증심사원 등록 및 활동 전략

- 심사원 관점에서의 인증의 의미

4. ISO 국제표준 인증 취득 절차

- 국제표준 인증 절차

- 국제표준 인증심사 진행 프로세스

- 인증취득을 위한 준비전략

2편. 27001:2022의 요구사항

1. 적용범위

2. 인용표준

3. 용어와 정의

4. 조직 환경

4.1 조직과 상황에 대한 이해

4.2 이해당사자의 요구와 기대에 대한 이해

4.3 정보보호 경영시스템의 범위 결정

4.4 정보보호 경영시스템

5. 리더십

5.1 지도력과 의지

5.2 정책

5.3 조직의 역할, 책임 및 권한

6. 계획

6.1 위험과 기회에 따른 조치

6.1.1 일반

6.1.2 정보보호 위험 평가

6.1.3 정보보호 위험 처리

6.2 정보보호 목표 및 달성 계획

7. 지원

7.1 자원

7.2 적격성

7.3 인식

7.4 의사소통

7.5 문서 정보

7.5.1 일반

7.5.2 생성 및 업데이트

7.5.3 문서화된 정보의 관리

8. 운영

8.1 운영 계획 및 통제

8.2 정보보호 위험평가

8.3 정보보호 위험처리

9. 성과 평가

9.1 모니터링, 측정, 분석, 평가

9.2 내부 심사

9.2.1 일반사항

9.2.2 내부심사 프로그램

9.3 경영진 검토

9.3.1 일반사항

9.3.2 경영검토 입력사항

9.3.3 경영검토 결과 출력

10. 개선

10.1 지속적인 개선

10.2 부적합 및 시정 조치

3편. 27002:2022의 통제목적

5. 조직 제어

5.1 정보보호를 위한 정책

5.2 정보보호 역할과 책임

5.3 직무 분리

5.4 경영진 책무

5.5 관계 기관 연계

5.6 전문가 그룹과의 연계

5.7 위협 분석 정보

5.8 프로젝트 관리에서의 정보보호

5.9 정보 및 기타 관련 자산 목록

5.10 정보 및 기타 관련 자산의 제한적 사용

5.11 자산의 반환

5.12 정보의 분류

5.13 정보 표식

5.14 정보 전달

5.15 접근 통제

5.16 신원 관리

5.17 인증 정보

5.18 접근 권한

5.19 공급자 관계 내 정보보호

5.20 공급자 협약 내 정보보호 명시

5.21 ICT 공급망에서 정보보안 관리

5.22 공급자 서비스 모니터링, 검토 및 변경관리

5.23 클라우드 서비스 이용을 위한 정보보안

5.24 정보보호 사고관리 계획 및 준비

5.25 정보보호 이벤트에 대한 평가 및 결정

5.26 정보보호 사고 대응

5.27 정보보호 사고로부터 교훈

5.28 증거 수집

5.29 중단 시 정보보호

5.30 비즈니스 연속성을 위한 ICT 준비

5.31 법률, 법적, 규제 및 계약상의 요건

5.32 지적 재산권

5.33 기록 보호

5.34 프라이버시 및 개인식별정보 보호

5.35 정보보호의 독립적 검토

5.36 정보보호를 위한 정책, 규칙 및 표준 준수

5.37 운영 절차 문서화

6. 인적 제어

6.1 적격 심사

6.2 고용 계약조건

6.3 정보보호 인식, 교육 및 훈련

6.4 징계 절차

6.5 퇴직 또는 이직 후의 책임

6.6 기밀유지협약 및 비밀유지서약

6.7 원격 근무

6.8 정보보호 이벤트 보고

7. 물리적 제어

7.1 물리적 보안 경계

7.2 물리적 출입구

7.3 사무실, 회의실, 시설 보호

7.4 물리적 보안 감시

7.5 외부 및 환경적 위협에 대비한 보호

7.6 보안 구역 내 작업

7.7 책상정리 및 화면 보호

7.8 장비 배치 및 보호

7.9 구외비 자산의 보안

7.10 저장 매체

7.11 지원 설비

7.12 배선 보안

7.13 장비 유지보수

7.14 장비 안전 폐기 및 재사용

8. 기술적 제어

8.1 사무환경 장치

8.2 특수 접근 권한

8.3 정보 접근 제한

8.4 소스 코드 통제

8.5 안전한 인증

8.6 용량 관리

8.7 악성코드로부터 보호

8.8 기술적 취약점 관리

8.9 구성 관리

8.10 정보 삭제

8.11 데이터 마스킹

8.12 데이터 유출방지

8.13 정보 백업

8.14 정보처리 시설의 이중화

8.15 로그기록

8.16 모니터링 활동

8.17 시각 동기화

8.18 특수 유틸리티 프로그램 사용

8.19 운영 시스템에 소프트웨어 설치

8.20 네트워크 통제

8.21 네트워크 서비스 보안

8.22 네트워크 분리

8.23 웹 필터링

8.24 암호화 사용

8.25 개발 보안 생명주기

8.26 응용 서비스 보안 요구사항

8.27 보안 시스템 구조와 공학 원칙

8.28 보안 코딩

8.29 개발 보안 시험과 인수

8.30 외주 개발

8.31 개발, 시험 및 생산 환경의 분리

8.32 변경 관리

8.33 시험 정보

8.34 감사 테스트 중 정보시스템 보호

4편. 부록

4.1 클라우드 컴퓨팅 보안

4.2 EU GDPR의 개요와 규정

4.3 국내 개인정보의 안전 조치 기준의 이해

4.4 정보보호시스템 및 네트워크 구성도

4.5 국내외 정보보호 인증제도 현황 흐름도

4.6 해킹과 침해사고 및 정책 History Map

저자 : 공병철

(사)한국사이버감시단 이사장

(사)한국인터넷정보학회 부회장

국제사이버보안인증협회 회장

㈜에스링크 대표, ISO 검증심사원

저자 : 여동균

㈜와이시큐리티 대표이사, CISO_cq

국제사이버보안인증협회 이사

KISA ISMS-P, ISO 선임심사원, CISA

저자 : 조홍연

㈜씨티아이랩 대표이사, CISO_cq

국제사이버보안인증협회 이사

KISA ISMS-P, ISO 인증심사원

저자 : 이준화

㈜한국정보보안원 연구소장, CISO_cq

국제사이버보안인증협회 이사, CISSP

KISA ISMS-P, ISO 인증심사원, PIA, CISA

저자 : 임범석

국제사이버보안인증협회 이사

정보보호연구회 수석연구위원

ISO 인증심사원, CISO_cq

저자 : 오세현

국제사이버보안인증협회 이사, CISO_cq

컨설팅업체 전문위원, 온마당 전문회원

ISO 인증심사원, CISA, AWS, CPPG

저자 : 변승환

국제사이버보안인증협회 이사

정보보호연구회 수석연구위원

ISO 인증심사원, CISO_cq, CISA

저자 : 정용현

국제사이버보안인증협회 이사

정보보호연구회 수석연구위원

ISO 인증심사원, CISO_cq

----------------------------

감수 : 최성재

국제사이버보안인증협회 이사

정보보호연구회 수석연구위원

ISO 인증심사원, CISO_cq

감수 : 마기평

국제사이버보안인증협회 이사, CISO_cq

정보보호연구회 수석연구위원

KISA ISMS-P, ISO 선임심사원

감수 : 주경숙

국제사이버보안인증협회 이사

정보보호연구회 수석연구위원

ISO 인증심사원, CISO_cq

감수 : 이승률

국제사이버보안인증협회 이사

정보보호연구회 수석연구위원

ISO 인증심사원, CISO_cq

감수 : 서승우

국제사이버보안인증협회 이사, CISO_cq

정보보호연구회 수석연구위원

KISA ISMS-P 선임, ISO 심사원

감수 : 윤현근

㈜이멜벤처스 부대표

국제사이버보안인증협회 이사

ISO 인증심사원, CISO_cq

감수 : 윤상호

국제사이버보안인증협회 이사

정보보호연구회 수석연구위원

ISO 인증심사원, CISO_cq

감수 : 박지원

(주)홈앤쇼핑 과장

국제사이버보안인증협회 이사

ISO 인증심사원, CISO_cq

감수 : 육운수

국제사이버보안인증협회 이사

정보보호연구회 수석연구위원

ISO 인증심사원, CISO_cq

감수 : 박지원

국제사이버보안인증협회 이사

정보보호연구회 수석연구위원

ISO 인증심사원, CISO_cq

감수 : 허행희

㈜와이시큐리티 수석컨설턴트

국제사이버보안인증협회 지부이사

정보보호연구회 수석연구위원

감수 : 공유민

국제사이버보안인증협회 지부이사

정보보호연구회 수석연구위원

ISO 인증심사원, CISO_cq