#27002: 간소화된 구조, 새로운 콘텐츠 및 현대적인 색인 기능을 갖춘 새로운 표준 개정판입니다. 2022년 1분기에 ISO/IEC 27002의 업데이트가 2022년 4분기에 예상되는 ISO/IEC 27001 개정의 전조로 발표되었습니다. 여기에서 새로운 ISO 27002:2022로 변경된 사항을 읽어보시면 많은 도움이 되실 겁니다. ISO 27001:2022의 개정과 관련된 것입니다.

Loading...

ISO 27002 & ISO 27001

ISO 27002는 고객님의 회사가 ISO 27001 부록 A의 요구사항을 구현하는데 지원해야 하는 광범위한 일반 보안조치 카탈로그를 정의하며 많은 IT 및 보안 부서에서 인정받는 도구로서 실용적인 표준 가이드로 자리 잡았습니다. 2022년 초에 ISO 27002가 포괄적으로 개정 및 업데이트 되었습니다. 이는 많은 전문가의 심사숙고하여 의견을 반영한 것으로 최근 몇년간 IT의 역동적인 발전을 고려하고 5년마다 표준이 최신 버전으로 검토된 것을 감안한 것입니다. 

ISO 27001 인증을 보유한 회사 또는 가까운 장래에 인증에 도전하려는 회사의 경우 현재 도입된 혁신은 두 가지 측면에서 관련이 있습니다. 첫째, 자체 보안조치에 필요한 업데이트와 관련된 것입니다. 둘째, 이러한 변경사항은 연말에 예상되는 ISO 27001 업데이트에 영향을 미치므로 향후 모든 인증 및 재인증과 관련이 있을 것으로 보고 있습니다. 따라서 새로운 ISO 27002를 자세히 살펴보시면 큰 도움이 되실 겁니다. 

참고: ISO/IEC 27002:2022 정보 보안, 사이버 보안 및 개인 정보 보호 - 정보 보안 제어. 이 표준은 현재 영어로만 게시되며 ISO 웹사이트에서 구독할 수 있습니다.

새로운 구조와 주제

ISO 27002:2022의 첫번째 명백한 변경사항은 표준의 업데이트 및 상당히 간소화된 구조입니다. 14개 섹션의 이전 114개 보안 조치(제어) 대신 업데이트된 버전 ISO 27002의 참조항목들은 이제 93개의 제어로 구성됩니다. 4개의 주제 영역으로 명확하게 세분화되고 요약됩니다.

  • "조직 통제" 섹션의 37가지 보안 조치 
  • "인적 통제" 영역의 8가지 보안 조치 
  • "물리적 제어" 영역의 14가지 보안 조치 
  • "기술 통제" 영역의 34가지 보안 조치

보안 조치가 축소되었지만 엄밀히 "자산 제거" 컨트롤만 실제로 삭제되었습니다. 이러한 합리화는 기존 컨트롤의 24개 보안조치가 결합되고 보다 집중적인 방식으로 보호 목표를 충족하도록 재구성되었기 때문입니다. 추가로 58개의 보안조치가 현대적 요구사항을 충족하도록 수정 및 조정되었습니다.

ISO 27002 최신판은 정보 보안 관리자에게 ISO 27001 최신판과 함께 새로운 인증 표준이 될 변경 사항에 대한 정확한 전망을 예상하여 제공합니다.

Markus Jegelka 정보 보안을 위한 DQS 전문가 및 심사위원

새로운 보안 조치

추가내용 : 아마도 업데이트의 가장 흥미로운 부분일 것입니다 - ISO 27002는 새 버전에서 11개의 추가 보안 조치로 확장되었습니다. 이러한 조치 중 어느 것도 보안 전문가에게 놀라운 일이 아니지만 함께 조치를 취하면 강력한 신호를 보내고 회사가 현재 및 미래의 위협 시나리오에 대해 적시에 조직 구조와 보안 아키텍처를 무장하도록 될 것입니다.

The new measures are:

Threat intelligence(보안 위협에 관한 분석된 정보)

현재 위협 인텔리전스를 캡처, 통합 및 분석하면 조직은 점점 더 역동적이고 진화하는 위협 환경에서 최신 상태를 유지할 수 있습니다. 앞으로 공격 정보에 대한 증거 기반 분석은 최상의 방어 전략을 개발하기 위한 정보 보안의 핵심 역할을 할 것입니다.

클라우드 서비스 이용을 위한 정보보안

오늘날 많은 조직이 클라우드 기반 서비스에 의존하고 있습니다. 이에 따라 새로운 공격 벡터와 이에 수반되는 변경 사항 및 훨씬 더 큰 공격 표면이 제공됩니다. 앞으로 회사는 도입, 사용, 관리에 대한 적절한 보호 조치를 고려하고 클라우드 서비스 공급자와의 계약 규칙에서 구속력을 갖도록 해야 합니다.

비즈니스 연속성을 위한 ICT 준비성

정보통신기술(ICT)과 그 인프라의 가용성은 기업의 지속적인 비즈니스 운영에 필수적입니다. 탄력적인 조직의 기초는 계획된 비즈니스 연속성 목표와 여기에서 도출, 구현 및 검증된 ICT 연속성 요구사항입니다. 실패 후 ICT의 적시 기술 복구에 대한 요구 사항은 실행 가능한 비즈니스 연속성 개념을 설정합니다.

물리적 보안 모니터링

중요한 데이터 또는 데이터 캐리어가 회사에서 도난당하거나 손상되는 침입은 회사에 중대한 위험을 나타냅니다. 기술 제어 및 모니터링 시스템은 잠재적인 침입자를 억제하거나 침입을 즉시 감지하는 데 효과적인 것으로 입증되었습니다. 미래에는 무단 물리적 액세스를 감지하고 저지하기 위한 전체적인 보안 개념의 표준 구성 요소가 될 것입니다.

구성관리

잘못 구성된 시스템은 공격자가 중요한 리소스에 액세스하기 위해 악용할 수 있습니다. 이전에는 변경 관리의 하위 집합으로 잘 표현되지 않았지만 이제 체계적인 구성 관리는 그 자체로 보안 조치로 초점을 맞추고 있습니다. 이를 위해서는 조직이 하드웨어, 소프트웨어, 서비스 및 네트워크의 적절한 구성을 모니터링하고 시스템을 적절하게 강화해야 합니다.

정보 삭제

일반 데이터 보호 규정이 발효된 이후 조직은 요청 시 개인 데이터를 삭제하고 필요 이상으로 오래 보관하지 않도록 하는 적절한 메커니즘을 갖추어야 합니다. 이 요구 사항은 ISO 27002의 모든 정보로 확장됩니다. 민감한 정보는 원치 않는 공개의 위험을 피하기 위해 필요 이상으로 오래 보관해서는 안 됩니다.

Loading...

ISO 27001에 대한 DQS 심사 가이드

전문성 필요

당사의 심사 가이드 ISO 27001 - Annex A는 실질적인 구현 지원으로 주요 전문가가 작성했으며 선택한 표준 요구사항을 더 잘 이해하는 데 이상적입니다. 가이드라인은 2022년 10월 25일에 게시된 개정판 ISO 27001을 아직 언급하지 않습니다.

데이터 masking

이 보안 조치의 목표는 마스킹, 가명화 또는 익명화를 통해 민감한 데이터 또는 데이터 요소(예: 개인 데이터)를 보호하는 것입니다. 이러한 기술적 조치의 적절한 구현을 위한 프레임워크는 법률, 법률, 규정 및 계약 요구 사항에 의해 제공됩니다.

데이터 유출방지

시스템, 네트워크 및 기타 장치에서 민감한 데이터의 무단 공개 및 추출 위험을 완화하려면 예방적 보안조치가 필요합니다. 식별 및 분류된 정보(예: 이메일, 파일 전송, 모바일 장치 및 휴대용 저장 장치)의 통제되지 않은 유출에 대한 잠재적 채널을 모니터링하고 필요한 경우 능동적인 예방 조치(예: 이메일 검역)를 통해 기술적으로 지원해야 합니다.

모니터링 활동

네트워크, 시스템 및 애플리케이션의 이상을 모니터링하는 시스템은 이제 IT 부서의 표준 스탠다드의 일부입니다. 마찬가지로, 공격 탐지를 위한 시스템 사용 요구사항은 현재 법적 및 규제 요구사항에 적용되었습니다. 진행 중인 IT 운영에서 적절한 매개변수 및 특성의 지속적인 모니터링, 자동 수집 및 평가는 선제적 사이버 방어의 필수 요소이며 이 분야에서 기술을 계속 추진할 것입니다.

Web 필터링

신뢰할 수 없는 많은 웹사이트가 방문자를 악성 프로그램으로 감염시키거나 개인 데이터를 읽습니다. 고급 URL 필터링을 사용하여 잠재적으로 위험한 웹 사이트를 자동으로 필터링하여 최종 사용자를 보호할 수 있습니다. 외부 웹사이트의 악성 콘텐츠로부터 보호하기 위해 보안조치를 하며 솔루션은 전세계적으로 연결된 비즈니스 세계에서 필수적입니다.

안전한 코딩

사내 개발코드 또는 오픈소스 구성요소의 취약성은 사이버 범죄자가 중요한 데이터 및 시스템에 쉽게 액세스할 수 있는 위험한 공격 지점입니다. 최신 소프트웨어 개발 지침, 자동화된 테스트 절차, 코드 변경을 위한 릴리스 절차, 개발자를 위한 지식 관리뿐만 아니라 면밀한 패치 및 업데이트 전략은 보호 수준을 크게 높입니다.

속성(값)

ISO 27002:2022에서 처음으로 또다른 혁신이 도입되어 보안 관리자가 광범위한 측정 조합을 탐색하는 데 도움이 됩니다. 표준 부록 A에는 각 컨트롤에 대해 연결된 속성 값이 있는 5개의 속성이 저장됩니다.

속성(값)은 다음과 같습니다.

제어 유형

  • 제어 유형은 제어가 정보보안 사고 발생과 관련된 위험을 언제 어떻게 변경하는지 관점에서 제어의 관점에 대한 속성입니다.
  • #preventive #detective #corrective

정보 보안 속성

  • 정보 보안 속성은 제어목적으로 지원하려는 보호 목표의 관점에서 제어를 확인하기 위해 사용할 수 있는 특성입니다.
  • #Confidentiality #Integrity #Availability

사이버보안 개념

  • 사이버 보안 개념은 컨트롤을 ISO/IEC TS 27110에 설명된 사이버 보안 프레임워크에 매핑하는 관점에서 컨트롤을 살펴봅니다.
  • #Identify #Protect #Detect #Respond #Recover

운영능력

  • 운영 능력은 운영정보 보안기능의 관점에서 컨트롤을 살펴보고 컨트롤에 대한 실질적인 사용자 관점을 지원합니다.
  • #Application security #Asset management #Continuity #Data protection #Governance #Human resource security #Identity and access management #Information security event management #Legal and compliance #Physical security #Secure configuration #Security assurance #Supplier relationships security #System and network security #Threat and vulnerability management

보안 도메인

  • 보안 도메인은 네 가지 정보 보안 도메인의 관점에서 제어를 보는 데 사용할 수 있는 속성입니다.
  • #Governance_and_Ecosystem #Protection #Defence #Resilience

해시태그로 표시된 속성값은 보안 관리자가 표준 가이드의 광범위한 조치 카탈로그를 통해 길을 쉽게 찾고 대상 방식으로 검색 및 평가할 수 있도록 하기 위한 것입니다.

ISO 27002의 변경 사항: 마무리

ISO 27002 신판은 정보보안 관리자에게 ISO 27001 신판과 함께 새로운 인증 표준이 될 변경사항에 대한 정확한 전망을 제공합니다. 동시에 혁신은 관리 가능한 프레임워크 내에서 유지됩니다. 카탈로그의 재구성 보안 아키텍처의 복잡성이 증가하고 투명성이 감소한다는 점에서 표준을 보다 투명하게 만들고 의심할 여지 없이 올바른 방향으로 나아가는 단계입니다. 새로 포함된 조치는 숙련된 보안 전문가에게 놀라운 일이 아니며 구식 ISO 표준을 상당히 현대화할 것입니다.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

ISO 27001 에 따른 인증

ISO 27001에 따라 ISMS 인증을 받으려면 얼마나 많은 노력을 기울여야 하나요?

DQS에 언제든지 문의하셔서 무료로 정보를 얻으시면 됩니다.

DQS는 고객님을 항상 기다리고 있겠습니다.

업데이트가 인증에 미치는 영향

ISO 27001 인증을 받은 회사는 인증 또는 재인증을 위한 다음 심사를 두려워할 필요가 없습니다. 기본적으로 친숙한 표준은 그대로 유지되며 많은 새로운 조치가 이미 회사 모범 사례에 포함되어 있을 가능성이 높습니다. 그럼에도 불구하고 다른 모든 인증과 마찬가지로 고객님께서는 정보보안 관리시스템(ISMS)의 심사를 위해 사전에 충분히 계획하고 신중하게 준비하는 것이 좋습니다. 시간에 대한 압박을 느끼지 않으셔도 됩니다. 표준이 게시된 후(2022년 4분기로 예상됨) 새로운 ISO 27001:2022로 전환하는 데 36개월이 걸립니다.

 

DQS: Simply leveraging Quality

우리의 인증심사는 명확성을 제공합니다. 외부에서 사람, 프로세스, 시스템 및 결과에 대한 총체적이고 중립적인 관점은 고객님의 관리 시스템이 얼마나 효과적인지, 어떻게 구현되고 숙달되는지를 보여줍니다. 고객님께서 DQS의 심사를 시험이 아니라 고객님의 관리 시스템을 강화하는 것으로 인식하는 것이 중요합니다.

DQS의 심사에 대한 요구사항은 항상 심사 체크리스트가 끝나는 곳에서 시작됩니다. 특정 구현 방법을 선택하게 된 동기를 이해하고 싶기 때문에 "이유"를 구체적으로 묻습니다. 우리는 개선 가능성에 초점을 맞추고 관점의 변화를 장려합니다. 이러한 방식으로 관리 시스템을 지속적으로 개선할 수 있는 조치 옵션을 식별할 수 있습니다.

저자
앙드레 재켈

DQS 정보 보안 관리 제품 관리자. 정보 보안 및 IT 보안 카탈로그(중요 인프라) 분야의 표준 전문가인 André Säckel은 ISO 27001, ISIS12, ISO 20000-1, KRITIS 및 TISAX( 자동차 산업의 정보 보안). 그는 또한 독일 표준화 연구소 DIN의 국가 대표로서 ISO/IEC JTC 1/SC 27/WG 1 작업 그룹의 회원입니다.

Loading...