ISO 27001의 통제 항목은 114개가 있다. 이것은 ISO/IEC 27002:2013 [1]의 5.부터 18. 에 해당하는 내용을 그대로 나타낸 것이다. 114개의 항목을 통제하여 정보보안이 안전하게 이루어질 수 있게 하자!
요구사항의 6.1.3 정보보호 위험처리의 c항과 d항에 114개의 항목을 통제하라는 내용이 나온다. 바로 부속서 A라는 것으로 나오는데 부속사 A가 ISO 27001의 뒷 쪽에 있기 때문에 부속서라는 표현을 한 것이다. 이것이 114개 항목의 통제 항목이다.
114개의 통제 항목은 '관리적 보안', '기술적 보안', '물리적 보안' 크게 3가지로 나눌 수 있다.
1. 관리적 보안
- 정보보호 정책
- 정보보호 조직
- 인적자원 보안
- 자산 관리
- 공급자 관계
- 정보보호 사고 관리
- 업무연속성 관리의 정보보호 측면
- 준거성
2. 물리적 보안
- 물리적, 환경적 보안
3. 기술적 보안
- 접근 통제
- 암호화
- 운영 보안
- 통신 보안
- 시스템 도입, 개발과 유지보수
위 3가지 통제 영역에 따른 세부 통제항목 수가 114개라는 얘기다.
114개의 통제 카테고리 중 예시로 '보호 정책'과 '정보보호 조직'에 대해서 어떻게 통제 항목을 표현하는지 알아보자.
통제
; 일정한 방침이나 목적에 따라 행위를 제한하거나 제약
제약
; 조건을 붙여 내용을 제한함
A.5 보호 정책
A.5.1 정보보호를 위한 경영 방침
(목적) 업무 요구사항과 관련 법률 및 규제에 따라 정보보호를 수행하도록 경영 방침과 지원을 제공
A.5.1.1 정보보호를 위한 정책
(통제) 정보보호를 위한 정책의 집합을 정의하고 경영진의 승인을 거쳐 직원 및 관련 외부자에게 공표하며 소통하여야 한다.
A.5.1.2 정보보호 정책의 검토
(통제) 정보보호 정책은 계획된 주기에 따라 또는 중대한 변경이 발생한 경우에 지속적인 적합성, 적절성, 효과성을 보장하기 위하여 검토하여야 한다.
A.6 정보보호 조직
A.6.1 내부 조직
(목적) 조직 내에서 정보보호의 구현과 운영을 개시하고 통제하도록 관리 프레임워크를 수립
A.6.1.1 정보보호 역할 및 책임
(통제) 모든 정보보호 책임을 정의하고 할당하여야 한다.
A.6.1.2 직무 분리
(통제) 조직의 자산에 인가되지 않거나 의도하지 않은 수정 또는 오용이 발생할 가능성을 줄이기 위하여 상충하는 직무와 책임 영역을 분리하여야 한다.
A.6.1.3 관련 기관과의 연계
(통제) 관련 기관에 대한 적절한 연계를 유지하여야 한다.
A.6.1.4 전문가 그룹과의 연계
(통제) 특별 관심 그룹 또는 전문가 보안 포럼 및 직능 단체와 적절한 연계를 유지하여야 한다.
A.6.1.5 프로젝트 관리에서의 정보보호
(통제) 프로젝트의 유형에 상관없이 프로젝트 관리 내에서 정보보호를 다루어야 한다.
'Do iso×경영 시스템' 카테고리의 다른 글
SDGs와 ESG 전략: 탄소중립과의 연계(이것보고 초보 탈출하세요) (9) | 2024.11.11 |
---|---|
정보보호 및 개인정보보호 관리체계계(ISMS-P), PIMS, PIPL (0) | 2023.02.11 |
ISO 27001(정보보안 경영시스템)관련 규격과 IEC (0) | 2023.02.10 |
품질 문제 해결 5단계 (0) | 2023.01.12 |
(DO iso) HLS, ISO 경영시스템의 큰 뼈대를 만들다!(4) (2) | 2023.01.08 |