(정의) 정보보호 경영시스템은 위험관리 프로세스를 적용하여 정보의 기밀성, 무결성, 가 용성을 보존하고 이해당사자에게 위험이 적절하게 관리된다는 믿음을 제공하는 국제 표준.
- 이 표준은 정보보호 요구사항을 충족하는 조작의 능력을 평가하기 위하여 내부자 및 외부자가 사용 가능.
(적용범위)
조직의 상황에 맞게 정보보호 경영시스템을 수립, 구현, 유지, 지속적 개선하기 위 한 요구사항을 반영하고 있으며, 이 표준의 요구사항은 조직의 유형, 규모, 특성에 상관없이 모든 조직에 적용할 수 있도록 일반적인 내용으로 수립
(인용표준)
ISO27001은 ISO/IEC27000을 참조하고 있음.
(Terms and definition)
Access control : 비즈니스 및 보안 요구사항에 따라 자산의 접근에 대한 권 한을 주거나 제한하는 것을 의미
Accountability : 활동이나 결정에 대한 임무
Analytical model : 알고리즘 또는 하나 이상의 관련된 결정에 따른 파생 조치를 결 합하여 계산
Asset : 조직의 가치
Attack : 자산의 무단사용을 시도 또는 인가받지 않은 접근이나 파괴, 노출, 변경 훔 치는 것을 시도하는 행위
Attribute : 인간이나 자동화 된 수단을 이용하여 양적 또는 질적으로 구별할 수 있 는 개체 의 속성이나 특성
Audit scope : 감사의 경계와 범위
(PDCA)
ISO27001은 비즈니스 목표를 달성하기 위해 조직의 정보보안을 수립, 구현, 운영, 모니터링, 검토, 유지, 지속적인 개선을 위해 PDCA(Plan → Do → Check → Act) 가 적용됨
• 정보보호 관리과정은 7개의 필수 요구사항(세부항목 27개)으로 구성
• ISO 27001:2013 structure 는
①조직의 상황(Context of the organization)
② 리더십 (Leadership)
③ 기 획 (Planning)
④ 지 원 (Support)
⑤ 운 영 (Operation)
⑥성과평가(Performance evaluation) ⑦개선(Improvement) 7 개 관리과정 요구사항 HLS(High Level Structure, common framework)로 구성되어 있다.
• 정보보호 통제과정은 14개 영역 114개 통제항목으로 구성
(구성항목)
(Framework)
(ISMS 와의 비교)
'03.Security' 카테고리의 다른 글
| 개인정보 - 비식별 - EU GDPR(General Data Protection Regulation) (0) | 2023.09.13 |
|---|---|
| 개인정보 - 비식별 - 검색 가능 암호화 (0) | 2023.08.28 |
| 정보보안 - 보안관제, 침해사고 대응 - 가상자산 (2022) (0) | 2023.07.26 |
| 정보보안 - 정보보안/정보보호 인증 - CMMC (0) | 2023.07.26 |
| 정보보안 - 정보보안/정보보호 인증 - ISO 27000 (0) | 2023.07.26 |
