ISO 국제표준화기구, ISO/IEC 27001:2022 3차 개정판 발행

ISO는 국가 표준기관의 연합체로써 국제적으로 통용되는 표준 개발과 보급하며 167개국 회원과 24,541종의 표준이 존재한다. 표준들의 일반적인 수명은 5년이며 이 기간이 지나면 표준이 유효한지 개정이 필요한지 아니면 철회해야 하는지를 평가한다.

ISO 또는 IEC의 회원인 국가 기관은 특정 기술 활동 분야를 다루기 위해 각 조직에서 설립한 기술위원회를 통해 국제 표준 개발에 참여한다.

ISO/IEC의 JTC 1(합동기술위원회)의 SC 27(분과위원회 27)은 정보보안, 사이버보안 및 개인정보보호 분야의 표준을 담당하며, 여기에서 ISO 27001과 27002의 3차 개정안 작성되었으며 ISO/IEC에서 최종 출판했다.

ISO/IEC 27001는 조직이 운영중인 정보 자산에 대하여 기밀성, 가용성 및 무결성을 보호하는 것을 목표로 하는 국제적으로 인정된 표준으로 조직이 정보보안경영시스템(ISMS)을 구축, 구현, 유지 관리 및 지속적으로 개선하기 위한 요구 사항을 제공하며, ISMS의 채택은 조직의 전략적 결정에 집중하고 비즈니스 고유의 정보보안 위험 환경을 고려하는 데 도움을 준다. 또한, ISMS 수립 및 구현은 조직의 요구와 목표, 보안 요구사항, 사용되는 조직 프로세스, 조직의 규모와 구조에 영향을 받기도 한다.

ISO 국제표준화기구에서는 지난 2022년 10월 26일 ISO/IEC 27001:2022 표준에 대하여 3차 개정 버전을 발행했다.

ISO/IEC 27001는 조직 정보 자산의 기밀성, 가용성 및 무결성을 보호하는 것을 목표로 하는 국제적으로 인정된 표준으로 조직이 정보보안경영시스템(ISMS)을 구축, 구현, 유지 관리 및 개선 관리에 집중하고 비즈니스 고유의 정보보안 위험 환경을 고려하는 데 도움을 준다.

27001:2022 업데이트에는 기타 용어의 사소한 변경과 4절~10절 중에서 4.2, 6.2, 6.3, 8.1절에서 새로운 내용이 추가되었으며, 9.2.1 일반사항, 9.2.2 내부 감사 프로그램, 9.3.1 일반사항, 9.3.2 경영검토 입력, 9.3.3 경영검토 결과 요구사항이 추가되었지만, 조항의 제목과 순서는 그대로 유지되었다.

27001 Annex(부속서) A에서 요구하는 통제항목인 ISO/IEC 27002 또한 지난 2022년 3월에 2022년버전으로 개정 발표되었으며 이번 27001 3차 개정에도 일부 영향을 미쳤다.

Annex A의 통제항목수는 기존 2013버전의 114개 중에서 중복되는 항목을 일부 병합하여 93개로 감소했다.

27002:2022은 기존 35개의 통제항목은 그대로 유지되고 23개의 통제항목은 이름이 바뀌었고, 57개의 통제항목은 24개의 통제항목으로 병합되었으며, 하나의 컨트롤은 두 개로 나누어졌다.

특히, 2022버전의 93개의 통제항목은 4개의 통제항목 그룹 또는 섹션으로 재구성되었다.

-A.5 조직 컨트롤 : 37개 통제항목

-A.6 사람 컨트롤 : 8개 통제항목

-A.7 물리적 컨트롤 : 14개 통제항목

-A.8 기술적 컨트롤 : 34개 통제항목

27002 신규로 추가된 11개 통제항목은 다음과 같습니다.

-5.07 Threat intelligence 위협 인텔리전스

-5.23 Information security for use of cloud services 클라우드 서비스 이용을 위한 정보보안

-5.30 ICT readiness for business continuity 비즈니스 연속성을 위한 ICT 준비

-7.4 Physical security monitoring 물리적 보안 모니터링

-8.09 Configuration management 구성 관리

-8.10 Information deletion 정보 삭제

-8.11 Data masking 데이터 마스킹

-8.12 Data leakage prevention 데이터 유출 방지

-8.16 Monitoring activities 모니터링 활동

-8.23 Web filtering 웹 필터링

-8.28 Secure coding 보안 코딩

ISO정보보호연수원 공병철 원장은 “이번 3차 개정된 ISO 27001은 ISMS를 도입한 조직이 중요정보를 보호하기 위한 통제(control)를 더욱 효과적으로 관리할 수 있도록 총 네 가지 테마인 조직(Organisational), 인적(People), 물리적(Physical), 기술적(Technological) 으로 구분하고, 조직 내 정보 보안이 무엇을 의미하는지를 경영진의 검토와 내부감사프로그램 계획 수립 등을 통하여 ISMS의 효과를 조금더 명확히 했다. 또한 주요 정보자산의 위험 평가와 필요한 통제를 검토하여 정보 보안, 클라우드 보안, 데이터 보안에 대한 모범 사례를 유지하고 새로운 지침과 일치하는지 확인하여 조직의 정보보호의 중요성과 책임 소재를 분명히 하는 것이 목적으로 한다”고 밝혔다.

이어 “본 연수원은 정보보호분야 전문 국제인증심사원으로써 27001 정보보안경영시스템(ISMS), 19011 경영시스템 심사 가이드라인(AMS), 27017 클라우드 서비스 정보보안 (ISCS), 27018 공공클라우드 개인정보 보안(ISPC) 등 총 5개 규격에 대하여 연수과정을 운영중에 있으며, 250여명이 국제인증심사원 자격취득을 했으며, 기존 2013버전으로 취득한 분들을 대상으로 12월부터 라이센스 업그레이드 연수과정이 순차적으로 시행될 예정이다”라고 덧붙였다.

◆사이버위협 대응 인공지능 정보보호 컨퍼런스 ‘AIS 2022’ 개최(보안교육 7시간 이수)

-주최: 데일리시큐

-대상: 정부, 공공, 기업, 금융, 교육, 의료 등 전분야 CISO, CPO, 정보보안 실무자 600여 명

-일시: 2022년 11월 15일(화) 오전9시~오후5시

-장소: 더케이호텔서울 2층 가야금홀

-교육이수: 공무원 정보보호 및 개인정보보호 교육 이수 7시간 인정(CPPG/CISSP 등 자격증 7시간 인정)

-점심/주차: 점심식사는 제공하지 않습니다. 주차권은 1일 무료주차권을 드립니다.

-참석확인증: 행사 종료후 설문지를 제출해 주신 참관객에게 메일로 일괄 발송

-등록마감: 2022년 11월 14일 오후 5시

-전시회: 국내·외 최신 개인정보보호/정보보안 솔루션 소개

-문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

-사전등록: 클릭