사이버 범죄는 모든 산업 및 규모의 회사에 심각한 위협이 됩니다. 이는 널리 알려져 있습니다. 레퍼토리는 스파이 활동에서 방해 공작, 협박에 이르기까지 다양합니다. 그러나 위험은 인터넷에서만 발생하는 것은 아닙니다. 귀하의 직원도 심각한 위험 요소가 될 수 있습니다. 특히 귀사가 적절한 조치를 취하지 않은 경우 - ISO 27001의 Annex A.7을 살펴보십시오.
Loading...
ISO 27001 표준에 따라 잘 구성된 정보 보안 관리 시스템(ISMS)은 전체적인 정보 보안 전략을 효과적으로 구현하기 위한 기반을 제공합니다. 체계적인 접근 방식은 기밀 회사 데이터를 손실 및 오용으로부터 보호하고 회사에 대한 잠재적 위험을 안정적으로 식별하고 분석하며 적절한 조치를 통해 제어할 수 있도록 합니다. 여기에는 IT 보안의 측면보다 훨씬 더 많은 것이 포함됩니다. 표준 부록 A에 있는 조치의 구현은 특히 실무에 유용합니다.
ISO/IEC 27001:2013: 정보 기술 - 보안 기술 - 정보 보안 관리 시스템 - 요구 사항
ISO 27001의 부록 A: 실질적으로 관련됨
ISO 표준의 Annex A에는 관리 시스템 중심의 요구 사항 섹션(4~10장) 외에도 14개 장에 걸쳐 광범위한 보안 측면에 대한 114개의 구체적인 조치와 함께 35개의 조치 대상(제어)의 광범위한 목록이 포함되어 있습니다.
참고: Annex A에서 "조치"라고 하는 진술은 실제로 개별 목표(제어)입니다. 적절한 (개별) 조치의 표준 준수 결과가 어떤 모습이어야 하는지 설명합니다.
회사는 정보 보안 정책의 개별적이고 보다 심층적인 구조화를 위한 기반으로 이러한 제어를 사용해야 합니다. 인사 주제와 관련하여 부록 A.7의 측정 목표 "인사 보안"이 특히 중요합니다.
"이 조치는 직원의 불신에 의존하지 않고 명확하게 구성된 인사 프로세스에 의존합니다."
인사 프로세스는 고용의 모든 단계에서 정보 보안과 관련하여 책임과 의무가 할당되고 규정 준수가 모니터링되도록 합니다. 정보 보안 정책의 위반(의도한 것이든 의도하지 않은 것이든)은 따라서 불가능한 것은 아니지만 훨씬 더 어렵게 만듭니다. 그리고 최악의 경우 효과적인 ISMS는 위반을 처리하기 위한 적절한 메커니즘을 조직에 제공합니다.
정보보안은 불신이 아니다
회사가 내부로부터의 무단 액세스를 더 어렵게 하거나 더 나아가 이를 완전히 방지하기 위해 적절한 지침을 제시한다면 결코 불신의 문제가 아닙니다. 결국 한 가지는 분명합니다. 직원의 해고가 임박했거나 이미 발표된 경우 직원의 불만이 표적 데이터 도용으로 이어질 수 있습니다. 이것은 특히 해고된 직원이 자신이 프로젝트 데이터에 대한 독점권을 가지고 있다고 믿을 때 발생합니다. 반대로 범죄 행위를 저지를 의도로 이미 특정 직무에 지원했을 수도 있습니다.
다른 시나리오는 심각하게 부주의한 행동 또는 단순한 무모함을 나타내며, 이는 유사하게 심각한 결과를 초래할 수 있습니다. 예를 들어 전체 IT 부서가 너무 번거롭고 시간이 많이 걸리는 자체 규칙을 준수하지 않는 경우가 있습니다. 사무실에서는 비밀번호나 보호되지 않은 스마트폰을 부주의하게 다루기 때문입니다. 그러나 부주의 한 USB 스틱 연결, 화면의 열린 문서, 빈 사무실의 비밀 문서-가능한 누락 목록이 깁니다.
ISO 27001의 부록 A.7 - 개인 보안
ISO 27001 표준에 따라 정보 보안 관리 시스템(ISMS)을 구현한 회사는 여기에서 더 나은 위치에 있습니다. 그들은 국제적으로 인정된 표준의 요구 사항과 실무 관련 Annex A.7을 알고 있습니다. ISO 27001은 여기에서 많은 것을 제공하기 때문에 참조 측정은 표준 요구 사항을 직접 참조하지만 항상 직접적인 회사 관행을 목표로 합니다.
효과적인 ISMS를 갖춘 회사는 A.7에 명시된 목표에 익숙하며, 이는 고용의 모든 단계에서 표준을 완전히 준수하기 위해 직원 보안을 위해 구현되어야 합니다.
Annex A.7에서 ISO 27001 표준은 무엇을 말합니까?
고용 전 조치사항
조직은 신규 직원이 앞으로의 책임을 이해하고 채용하기 전에 자신의 역할에 적합한지 확인해야 합니다(Annex A.7.1 참조). 요구 사항 섹션(7.2장)에서 표준은 "역량"에 대해 설명합니다.
목표 지향적인 기준 척도로 구직 지원자는 먼저 윤리 원칙과 해당 법률을 준수하는 보안 허가를 받습니다. 이 확인은 비즈니스 요구 사항, 획득할 정보의 분류 및 가능한 위험과 관련하여 적절해야 합니다(A.7.1.1). 이를 달성하기 위해 무엇보다도 다음 사항이 확립, 보장 또는 검증되어야 합니다.
- 정보를 얻기 위한 절차(어떤 조건에서 어떻게)
- 준수해야 할 법적 및 윤리적 기준 목록
- 보안 검사는 위험 및 회사의 필요와 관련하여 적절성
- 이력서, 재무 제표 및 기타 문서의 타당성과 진정성
- 지원자의 해당 직무에 대한 신뢰도 및 역량
계약상 동의
다음 단계는 고용 및 계약 조건에 관한 것입니다. 따라서 ISO/IEC 27001 부록 A의 이 참조 조치는 직원이 회사에 대해 가지는 책임과 그 반대의 경우에 대한 계약상의 합의로 구성됩니다(A.7.1.2). 이 요구 사항을 성공적으로 구현하려면 무엇보다도 다음 사항을 충족해야 합니다.
- 기밀 정보에 접근할 수 있는 직원(계약자)의 기밀 유지 계약 서명
- 저작권 또는 데이터 보호 문제를 준수해야 하는 직원(계약자) 측의 계약상 의무
- 외부 정보 취급 시 직원(계약자)의 책임에 관한 계약 조항
고용 중 - 최고 경영진의 책임
직원은 자신의 정보 보안 책임을 인식해야 합니다. 이것이 A.7.2의 목표이며 더 중요한 것은 직원이 이러한 책임을 다해야 한다는 것입니다.
첫 번째 조치(A.7.2.1)는 직원이 확립된 정책 및 절차에 따라 정보 보안을 구현하도록 장려하는 경영진의 의무를 목표로 합니다. 이를 위해 최소한 다음 사항을 규제해야 합니다.
- 최고 경영진은 어떤 방식으로 직원들이 실행하도록 장려합니까? 위험은 어디에 있습니까?
- 직원이 정보 보안을 처리하기 위해 구현된 지침을 인식하도록 어떻게 보장합니까?
- 직원이 정보 보안 처리 지침을 준수하는지 여부를 어떻게 확인합니까?
- 정책 및 절차를 구현하고 이를 안전하게 적용하도록 직원에게 어떻게 동기를 부여합니까?
일깨우기(creating awareness)
7.3장 "인식"에서 ISO 27001은 관련 활동을 수행하는 사람이 다음 사항을 알고 있어야 한다고 요구합니다.
- 조직의 정보 보안 정책 중
- 정보 보안 관리 시스템(ISMS)의 효율성에 대한 기여도
- 향상된 정보 보안 성능의 이점
- ISMS의 요구 사항을 충족하지 못한 결과
특히 신입사원은 정보보안 문제에 대한 필수 브리핑 외에도 이메일이나 인트라넷을 통해 주제에 대한 정기적인 정보를 필요로 합니다. 구체적인 교육(특히 비상 계획 및 연습), 주제별 워크숍 및 인식 캠페인(예: 포스터를 통해)은 정보 보안 관리 시스템에 대한 인식을 강화합니다.
예를 들어, ISO 27001 부록 A의 참조 측정 A.7.2.1도 정보 보안에 대한 적절한 인식을 만드는 역할을 합니다. 조직은 전문적으로 관련된 주제에 대해 직원과 계약자(해당하는 경우)를 교육하고 교육해야 합니다. 해당 정책 및 절차는 정기적으로 업데이트되어야 합니다. 특히 다음과 같은 측면을 고려해야 합니다.
- 최고 경영진이 정보 보안에 전념하는 방식
- 전문 교육 및 훈련의 성격
- 정책 및 절차를 검토하고 업데이트하는 빈도
- 사용되는 기타 도구
- 직원들이 내부 정보 보안 정책 및 절차를 숙지하기 위한 구체적인 조치
TIP: 지식 이전을 위한 여러 채널을 통해 원활하게 작동하는 커뮤니케이션을 보장합니다. 이는 ISMS에 대한 인식 및 표준에서 요구하는 관련 측면이 지식 이전과 밀접한 관련이 있기 때문입니다.
견책 절차
부록 7.2.3: 이 조치는 정보 보안 위반 시 조직이 견책을 처리하는 방식을 지정합니다. 이에 대한 근거는 시정 조치 프로세스입니다. 공식적으로 정의, 제정 및 발표됩니다. 다음 사항이 보장되어야 합니다.
- 정보보호 정책 위반의 심각성을 분류하는 기준이 존재해야 합니다
- 징계 절차는 해당 법률을 위반해서는 안됩니다
- 징계 절차에는 직원이 장기적으로 긍정적인 방식으로 행동을 바꾸도록 동기를 부여하는 조치가 포함되어야 합니다
고용종료 - 책임
ISO 27001의 부록 A.7.3은 조직의 이익을 보호하기 위한 효과적인 종료 또는 변경 프로세스를 대상으로 지정합니다. 이 목표는 해고 또는 고용 변경에 대한 책임에 중점을 둡니다. 따라서 해고 또는 고용 변경 후에도 남아 있는 정보 보안 관련 책임 및 의무를 정의하고 전달하고 시행해야 합니다. 다음과 같은 측면을 고려하는 것이 좋습니다.
- 직원이 고용 종료 후 지속적인 정보 보안 관련 책임 및 의무를 처리하는 방법에 대한 고용 계약 합의
- 이러한 계약 준수를 보장하기 위한 모니터링 메커니즘
- 지속적인 책임과 의무를 준수하기 위한 절차
체계적인 인적 보안을 통한 사이버 보안
내부로부터의 위협은 현실이며 대부분의 회사는 이를 인지하고 있습니다. 보안 연구(Balabit 2018)에 따르면 광범위한 액세스 권한을 가진 직원이 특히 공격에 취약합니다. 그리고 모든 보안 위반의 50%에 직원이 관련되어 있으므로 응답한 IT 전문가의 69%는 내부 데이터 위반을 가장 큰 위험으로 간주합니다. 그러나 그것에 대해 거의 수행되지 않습니다. 실무상 사내 직원을 고발하기 어려운 경우가 많다. 특히 사람들이 서로를 알고 있는 중소기업(SME)에서는 종종 어느 정도의 신뢰가 그들에게 주어지며 때로는 불쾌한 결과를 초래하기도 합니다. 체계화된 정보 보안 관리는 보호가 필요한 정보의 보안을 보장하기 위한 기반을 제공합니다.
결론: 실행 중인 ISO 27001 - 부록 A
Annex A.7에서 ISO/IEC 27001은 표준 도입의 일부로 구현되어야 하는 개인 보안에 대한 참조 조치를 제공합니다. 회사는 정보 보안 정책에 대한 개별적이고 보다 심층적인 설계를 위한 기반으로 이러한 제어를 사용해야 합니다. 조치는 직원의 불신에 의존하지 않고 명확하게 구성된 인사 프로세스에 의존합니다.
전문성과 신뢰
인증된 회사는 관리 시스템을 투명성을 창출하고 복잡성을 줄이며 보안을 제공하는 최고 경영진을 위한 도구로 평가합니다. 그러나 관리 시스템은 그 이상을 수행합니다. DQS와 같은 중립적이고 독립적인 제3자에 의해 평가되고 인증되어 고객님의 성과에 대한 이해 관계자의 신뢰를 형성합니다.
많은 조직에서 여전히 규정 준수 검사로 인증을 경험합니다. 반면 고객은 이를 성공에 중요한 요소와 관리 시스템의 결과에 집중할 수 있는 기회로 봅니다. 우리의 핵심 역량은 인증 감사 및 평가의 성과에 있기 때문입니다. 이를 통해 우리는 항상 신뢰성, 품질 및 고객 지향적인 측면에서 새로운 표준을 설정해야 한다고 주장하는 전세계 최고의 공급업체 중 하나가 되었습니다.
Loading...
꼭 알아야 하는 내용 : DQS 심사 가이드
당사의 감사 가이드 iso 27001 - Annex A는 실제 구현 지원으로 주요 전문가가 작성했으며 선택한 표준 요구 사항을 더 잘 이해하는 데 적합합니다. 이 가이드라인은 ISO 27001:2013을 참조하며 2022년 10월 25일에 발표된 개정된 ISO 27001로 곧 업데이트 되었습니다.
참고: 고객님의 기사는 사내 관리 시스템 전문가 및 오랜 감사관이 독점적으로 작성합니다. 정보 보안(ISMS)에 대해 작성자에게 질문이 있는 경우 DQS로 문의주세요. DQS는 고객님을 기다리고 있습니다.
DQS 뉴스레터
최신 정보를 확인하고 뉴스레터를 구독하세요!
저자
앙드레 재켈
DQS 정보 보안 관리 제품 관리자. 정보 보안 및 IT 보안 카탈로그(중요 인프라) 분야의 표준 전문가인 André Säckel은 ISO 27001, ISIS12, ISO 20000-1, KRITIS 및 TISAX( 자동차 산업의 정보 보안). 그는 또한 독일 표준화 연구소 DIN의 국가 대표로서 ISO/IEC JTC 1/SC 27/WG 1 작업 그룹의 회원입니다.
Loading...