ISO/IEC 27002
ISO/IEC 27002 |
ISO/IEC 27002는 국제표준화기구(ISO) 및 국제전기표준위원회(IEC)가 발행하는 정보보안 표준으로, 「정보보안, 사이버보안 및 프라이버시 보호 - 정보보안 제어」라는 제목으로 되어 있습니다.
ISO/IEC 27000 시리즈 표준은 Shell이 1990년대 [1]초 영국 정부의 이니셔티브에 기증한 기업 보안 표준에서 파생된 것입니다.셸 표준은 1990년대 중반에 영국 표준 BS 7799로 개발되었으며, 2000년에 ISO/IEC 17799로 채택되었습니다.ISO/IEC 표준은 2005년에 개정되었으며, 다른 ISO/IEC 27000 시리즈 표준에 맞추기 위해 2007년에 ISO/IEC 27002 번호를 다시 매겼습니다.그것은 2013년에 다시 개정되었고 지금은 2022년에 개정되었다.이후 2015년에 ISO/IEC 27002에서 완전히 정의되지 않은 클라우드에 대한 추가 보안 제어를 제안하기 위해 ISO/IEC 27017이 이 표준에서 작성되었습니다.
ISO/IEC 27002는 정보보안관리시스템(ISMS)의 개시, 구현 또는 유지보수를 담당하는 사람이 사용할 수 있도록 정보보안 제어에 관한 베스트 프랙티스에 관한 권장사항을 제공합니다.정보보안은 CIA의 삼합회의 맥락에서 표준 내에서 정의됩니다.
- 기밀성(접근 권한이 있는 사람만 정보에 접근할 수 있는 경우), 무결성(정보 및 처리 방법의 정확성과 완전성 확보), 가용성(필요에 [2]따라 권한이 있는 사용자가 정보 및 관련 자산에 액세스할 수 있는 경우)의 보존.
개요
ISO/IEC 27002:2013 개요
이 표준은 5개의 개요 장으로 시작합니다.
- 서론
- 범위
- 규범적 참조
- 용어 및 정의
- 본 표준의 구조
다음은 14개의 주요 장으로 구성되어 있습니다.
- 정보 보안 정책
- 정보 보안 조직
- 인재 보안
- 자산 관리
- 접근 제어
- 암호화
- 물리적 및 환경적 보안
- 운용보안 - 절차 및 책임, 말웨어로부터의 보호, 백업, 로깅 및 감시, 운영 소프트웨어 제어, 기술적 취약성 관리 및 정보 시스템 감사 조정
- 통신 보안 - 네트워크 보안 관리 및 정보 전송
- 시스템 취득, 개발 및 유지보수 - 정보 시스템의 보안 요건, 개발 및 지원 프로세스 보안 및 테스트 데이터
- 공급업체 관계 - 공급업체 관계 정보 보안 및 공급업체 서비스 제공 관리
- 정보보안 사고관리 - 정보보안 사고 및 개선사항 관리
- 비즈니스 연속성 관리의 정보 보안 측면 - 정보 보안의 연속성과 용장성
- 컴플라이언스 - 법적 요건 및 계약상의 요건 준수 및 정보 보안 리뷰
각 장에서는 정보보안 통제와 그 목적을 명시하고 개략적으로 설명합니다.일반적으로 정보보안 통제는 이러한 목적을 달성하기 위한 베스트 프랙티스 수단으로 간주됩니다.각 제어장치에 대해 실행지침을 제공한다.
다음과 같은 이유로 특정 제어가 의무화되지는 않습니다.
- 각 조직은 구조화된 정보보안 리스크 평가 프로세스를 실시하여 특정 요건을 판단한 후 특정 상황에 적합한 제어를 선택해야 합니다.ISO/IEC 27005와 같이 이 분야를 다루는 보다 구체적인 표준이 있지만 도입부에서는 리스크 평가 프로세스의 개요를 설명합니다.정보보안 리스크 분석을 사용하여 정보보안 제어의 선택과 구현을 추진하는 것은 ISO/IEC 27000 시리즈 표준의 중요한 기능입니다.즉, 이 표준의 일반적인 모범사례 조언은 암기적으로 적용되는 것이 아니라 각 사용자 조직의 특정 컨텍스트에 맞게 조정됩니다.예를 들어 39개의 제어목표가 모두 모든 조직과 반드시 관련된 것은 아니기 때문에 제어범주 전체가 필요하다고는 생각되지 않을 수 있습니다.또한 이 표준은 정보보안 리스크 완화와 관련된 핵심 통제 목표가 충족되는 한 사용자가 원할 경우 대체 통제를 채택할 수 있는 문호를 개방한다는 의미에서 개방되어 있다.이를 통해 정보보안 위협, 취약성 및 영향의 변화, 특정 정보보안 제어의 사용 경향에도 불구하고 표준이 관련성을 유지할 수 있습니다.
- 생각할 수 있는 모든 제어를 범용 표준으로 나열하는 것은 사실상 불가능하다.ISO/IEC 27001:2013 및 ISO/IEC 27002에 대한 업계별 구현 가이드라인은 텔레콤 업계(ISO/IEC 27011 참조) 및 의료 분야(ISO 27799 참조)의 조직에 맞춘 조언을 제공합니다.
대부분의 조직은 광범위한 정보보안 관련 제어를 구현하고 있으며, 그 대부분은 ISO/IEC 27002에서 일반적으로 권장하고 있습니다.ISO/IEC 27002에 따라 정보보안 제어 인프라스트럭처를 구축하면 다음과 같은 이점이 있습니다.
- 존경받는 국제 표준과 관련되어 있다.
- 커버리지 갭과 중복을 회피할 수 있습니다.
- ISO/IEC 표준에 정통한 사람에게 인식될 가능성이 높다.
ISO/IEC 27002 구현 예시
다음은 ISO/IEC 27002의 3부분과 관련된 일반적인 정보보안 정책 및 기타 제어의 몇 가지 예입니다.(주: 이것은 단순한 예시입니다).제어 예제가 불완전하여 보편적으로 적용할 수 없습니다.)
물리적 및 환경적 보안
- 시설 및 지원 인프라스트럭처(통신, 전력, 에어컨 등)에 대한 물리적 접근은 감시 및 제한되어야 하며, 무단 접근, 변조, 파손, 범죄 피해, 도난 등의 영향을 방지, 감지 및 최소화해야 합니다.
- 시큐어 에리어에 액세스 할 수 있는 권한을 가지는 사람의 리스트는, 정기적으로(최소한 연 1회), 관리 부문 또는 물리 시큐러티 부문에 의해서 확인 및 승인되어 부문 매니저에 의해서 크로스 체크될 필요가 있습니다.
- 지정된 기관의 사전 허가 없이 제한 구역 내에서 사진이나 비디오 녹화를 금지합니다.
- 적절한 비디오 감시 카메라는 구내 및 기타 전략적 요충지(예: 제한 구역)에 있는 모든 출입구에 배치하고 최소 1개월 동안 녹화 및 보관하며 훈련을 받은 직원이 24시간 내내 감시해야 합니다.
- 일반 및/또는 특정 영역에 대한 시간제한 접근을 허용하는 접근카드는 훈련생, 벤더, 컨설턴트, 서드파티 및 해당 영역에 대한 접근권을 확인, 인증 및 허가받은 기타 직원에게 제공될 수 있습니다.
- 리셉션 로비와 같은 공공장소나 휴게실 같은 사적인 공간 이외에는 방문객이 구내에 있는 동안 항상 직원의 호위를 받아야 합니다.
- 방문자의 출입 일시는 방문 목적과 함께 사이트 보안 또는 접수처에서 관리하고 관리하는 등록부에 기록해야 합니다.
- 현장에 있는 모든 사람(직원 및 방문객)은 유효한 발급된 출입증을 항상 착용하고 제시해야 하며 관리자, 경비원 또는 관련 직원의 요청에 따라 검사를 위해 출입증을 제시해야 합니다.
- 접근통제시스템 자체는 부정/부적절한 접근 및 기타 침해로부터 적절히 보호되어야 합니다.
- 화재/대피 훈련은 정기적으로 실시해야 한다(최소 연 1회).
- 지정된 흡연 구역 외에서는 흡연이 금지되어 있습니다.
인적 자원 보안
- 모든 직원은 고용 전에 여권 또는 유사한 사진 ID와 두 개 이상의 만족스러운 전문가 추천서를 사용하여 신원 확인을 해야 합니다.신뢰할 수 있는 직책을 맡은 직원에 대해서는 추가 점검이 필요합니다.
- 모든 종업원은 고용 과정에서 자신에게 제공되거나 그에 의해 생성된 개인 및 소유권에 관한 구속력 있는 비밀유지 또는 비공개 계약에 공식적으로 동의해야 합니다.
- 인사부서는 종업원이 채용, 전근, 퇴직, 정직, 장기휴가 또는 해고되었을 경우, 또는 종업원의 고용이 종료되었을 경우에, 행정, 재무, 운용에 통지할 필요가 있습니다.
- HR로부터 직원의 상태가 변경되었음을 통지받으면 관리자는 직원의 물리적 액세스 권한을 업데이트하고 IT 보안 관리자는 이에 따라 논리적 액세스 권한을 업데이트해야 합니다.
- 종업원의 매니저는, 종업원이 종업원의 마지막 날 또는 그 전에, 액세스 카드, 키, IT기기, 스토리지 미디어, 및 그 외의 귀중한 기업 자산을 반환하는 것을 확인할 필요가 있습니다.
접근 제어
- 기업의 IT시스템, 네트워크, 애플리케이션 및 정보에 대한 사용자의 액세스는 일반적으로 사용자의 역할에 따라 관련 정보자산 소유자가 지정한 액세스 요건에 따라 제어해야 합니다.
- 범용 ID 또는 테스트 ID는 관련 정보 자산 소유자가 특별히 승인하지 않는 한 프로덕션 시스템에서 생성하거나 활성화해서는 안 됩니다.
- 미리 정의된 횟수만큼 로그온 시도가 실패하면 보안 로그 항목 및 보안 알림(해당하는 경우)을 생성하고 관련 정보 자산 소유자의 필요에 따라 사용자 계정을 잠가야 합니다.
- 패스워드 또는 패스워드는 추측하기 어려운 문자, 숫자 및 특수문자의 조합으로 구성되어 길고 복잡해야 합니다.
- 패스워드나 패스워드는 적어두거나 읽을 수 있는 형식으로 저장해서는 안 됩니다.
- 패스워드, 보안 로그, 보안 설정등의 인증 정보는, 부정 액세스나 부적절한 액세스, 변경, 파손, 또는 손실로부터 적절히 보호할 필요가 있습니다.
- IT시스템의 관리, 구성, 관리, 보안 및 감시에 필요한 특권 접근권은 정보보안에 의해 정기적으로(최소 연 2회) 리뷰되고 적절한 부문 매니저에 의해 크로스 체크되어야 합니다.
- 사용자는 세션을 방치하기 전에 세션을 로그오프하거나 비밀번호를 잠가야 합니다.
- 비활성 타임아웃이 10분을 넘지 않는 패스워드로 보호된 스크린세이버는 모든 워크스테이션/PC에서 활성화해야 합니다.
- 리무버블 미디어(USB 드라이브, CD/DVD 라이터 등)에의 기입 액세스는, 정당한 비즈니스상의 이유로 특별히 허가되지 않는 한, 모든 데스크탑에서 무효로 할 필요가 있습니다.
역사
| 연도 | 묘사 | |
|---|---|---|
| 2005 | ISO/IEC 27002 (제1판) | |
| 2013 | ISO/IEC 27002 (제2판) | |
| 2022 | ISO/IEC 27002 (제3판) |
국가 등가 규격
ISO/IEC 27002는 여러 국가에서 직접 동등한 국가 표준을 보유하고 있습니다.ISO/IEC의 주요 표준이 개정되어 공개된 후 번역 및 현지 발행으로 인해 수개월의 지연이 발생하는 경우가 많습니다.단, 각국 표준 기구는 번역된 콘텐츠가 ISO/IEC 27002에 정확하고 완전하게 반영되도록 하기 위해 많은 노력을 기울이고 있습니다.
| 나라들. | 동등한 표준 |
|---|---|
 아르헨티나 | IRAM-ISO-IEC 27002:2008 |
 호주. | AS/NZS ISO/IEC 27002:2006 |
 브라질 | ISO/IEC NBR 17799/2007 – 27002 |
 인도네시아 | SNI ISO/IEC 27002:2014 |
 칠리 | NCH2777 ISO/IEC 17799/2000 |
 중국 | GB/T 22081-2008 |
 체코 공화국 | CSN ISO/IEC 27002:2006 |
 크로아티아 | HRN ISO/IEC 27002:2013 |
 덴마크 | DS/ISO27002:2014 (DK) |
 에스토니아 | EVS-ISO/IEC 17799:2003, 2005 버전 (번역판) |
 프랑스. | NF ISO/CEI 27002:2014 |
 독일. | DIN ISO/IEC 27002:2008 |
 일본. | JIS Q 27002 |
 리투아니아 | LST ISO/IEC 27002:2009 (ISO/IEC 27002:2005, ISO/IEC 17799:2005) |
 멕시코 | NMX-I-27002-NYCE-2015 |
 네덜란드 | NEN-ISO/IEC 27002:2013 |
 페루 | NTP-ISO/IEC 17799:2007 |
 폴란드 | PN-ISO/IEC 17799:2007, ISO/IEC 17799:2005 기반 |
 러시아 | ISO/IEC 27002:2005 기반, 27002-2012 |
 슬로바키아 | STN ISO/IEC 27002:2006 |
 남아프리카 공화국 | SANS 27002:2014/ISO/IEC 27002:2013[3] |
 스페인 | UNE 71501 |
 스웨덴 | SS-ISO/IEC 27002:2014 |
 터키 | TS ISO/IEC 27002 |
 태국. | 유닛/ISO |
 우크라이나 | ISO/IEC 27002:2015 |
 영국 | BS ISO/IEC 27002:2005 |
 우루과이 | 유닛/ISO 17799:2005 |
인정.
ISO/IEC 27002는 조직의 모든 유형 및 규모에 대해 해당 조직이 직면한 특정 정보 보안 위험에 따라 해석 및 적용되어야 하는 어드바이저리 표준입니다.실제로 이러한 유연성은 사용자에게 의미 있는 정보 보안 제어를 도입할 수 있는 많은 권한을 부여하지만 대부분의 공식 인증 체계에 포함된 비교적 간단한 컴플라이언스 테스트에는 적합하지 않습니다.
ISO/IEC 27001:2013(정보 기술 –보안 기술 –정보 보안 관리 시스템 – 요건)은 널리 인정된 인증 가능한 표준입니다.ISO/IEC 27001은 ISMS의 확립, 구현, 유지보수 및 개선을 위한 다수의 확고한 요건을 규정하고 있으며, 부록 A에는 조직이 ISMS 내에서 적절한 경우 채택하도록 권장하는 정보보안 제어 세트가 있습니다.부속문서 A의 제어는 ISO/IEC 27002에서 파생되어 있으며, 이와 연계되어 있습니다.
계속적인 개발
ISO/IEC 27001:2013 및 ISO/IEC 27002는 모두 ISO/IEC JTC1/SC27에 의해 몇 년마다 개정되어 최신 상태로 유지됩니다.예를 들어 개정에는 발행된 다른 보안 표준(ISO/IEC 27000, ISO/IEC 27004 및 ISO/IEC 27005)에 대한 참조와 마지막으로 발표된 이후 현장에서 나타난 다양한 우수 보안 프랙티스가 포함됩니다.ISO/IEC 27002를 이미 사용하고 있는 조직에는, 특히 ISO/IEC 27001에 준거한ISMS를 서포트하는 정보 시큐러티 컨트롤에 관해서, 중요한 「인스톨 베이스」가 있기 때문에, 어떠한 변경도 정당화해, 가능한 한 혁명적인 것이 아니라 진화적인 것이어야 합니다.
「 」를 참조해 주세요.
- BS 7799, ISO/IEC 17799, ISO/IEC 27002의 원본 영국 표준
- ISO/IEC 27000 시리즈
- IT 베이스라인 보호
- IT리스크 관리
- ISO 표준 목록
- 사르베인옥슬리법
- 정보보안포럼이 공표하는 모범사례의 기준
- ISO/IEC JTC 1/SC 27 – IT 보안 기술
- NIST 사이버보안 프레임워크
- 사이버 리스크 정량화
레퍼런스
- ^ "ISO27k timeline". ISO27001security.com. IsecT Ltd. Retrieved 9 March 2016.
- ^ ISC CISSP Official Study Guide. SYBEX. 15 September 2015. ISBN 978-1119042716. Retrieved 1 November 2016.
- ^ "SANS 27002:2014 (Ed. 2.00)". SABS Web Store. Retrieved 25 May 2015.
