국제사이버보안인증협회(ICSCA)는 “ISO/IEC 27001:2022 정보보안경영시스템” 도서를 정보보호북스를 통해 출판한다고 10일 밝혔다.
국제표준화기구(ISO)와 국제전기표준회의(IEC)에서 발행된 ISO/IEC 27001 정보보안 경영시스템(ISMS)은 조직내 정보자산의 위험관리 프로세스를 적용하여 정보의 기밀성, 무결성, 가용성을 보존하고, 이해당사자에게 위험의 적절한 관리에 대한 확신을 부여하며, 다양한 조직(기업)환경 내에서 정보보호를 계획, 구현, 전략수립, 유지 보수 및 관리할 수 있는 검증된 프레임워크를 제공하며, 지난 2022년 10월 26일 국제표준화기구(ISO)는 ISO/IEC 27001:2022 표준에 대하여 3차 개정판을 발행했다.
ISO/IEC 27001:2022 3차 개정판은 ISMS를 도입한 조직이 중요정보를 보호하기 위한 통제를 더욱 효과적으로 관리할 수 있도록 총 네 가지 테마인 조직(Organisational), 인적(People), 물리적(Physical), 기술적(Technological) 으로 구분하고, 조직 내 정보보안이 무엇을 의미하는지를 경영진의 검토와 내부감사프로그램 계획 수립 등을 통하여 ISMS의 효과적 운영을 조금더 명확히 하였다.
또한, 주요 정보자산의 위험평가와 필요한 통제를 검토하여 정보보안, 클라우드 보안, 데이터 보안에 대한 모범 사례를 유지하고 새로운 지침과 일치하는지를 확인하도록 하여 조직의 정보보호의 중요성과 책임 소재를 분명히 하는 것이 목적으로 하고 있다.
ISO/IEC 27001:2022는 조직이 운영중인 정보자산에 대하여 기밀성, 가용성 및 무결성을 보호하는 것을 목표로 하는 국제적으로 인정된 표준으로 조직이 정보보안경영시스템(ISMS)을 구축, 구현, 유지 관리 및 지속적으로 개선하기 위한 요구 사항을 제공하며, ISMS의 채택은 조직의 전략적 결정에 집중하고 비즈니스 고유의 정보보안 위험 환경을 고려하는 데 도움을 준다. 또한, ISMS 수립 및 구현은 조직의 요구와 목표, 보안 요구사항, 사용되는 조직 프로세스, 조직의 규모와 구조에 영향을 받기도 한다.
ISMS를 도입한 조직이 중요정보를 보호하기 위한 통제를 더욱 효과적으로 관리할 수 있도록 조직, 인적, 물리적, 기술적 4가지로 구분하여, 조직내 정보자산의 위험관리 프로세스를 적용하여 정보의 기밀성, 무결성, 가용성을 보존하고, 이해당사자에게 위험의 적절한 관리에 대한 확신을 부여하며, 다양한 조직(기업)환경 내에서 정보보호를 계획, 구현, 전략수립, 유지 보수 및 관리할 수 있는 검증된 프레임워크를 제공한다.
ISO/IEC 27001:2022 업데이트에는 기타 용어의 사소한 변경과 4절~10절 중에서 4.2, 6.2, 6.3, 8.1절에서 새로운 내용이 추가되었으며, 9.2.1 일반사항, 9.2.2 내부 감사 프로그램, 9.3.1 일반사항, 9.3.2 경영검토 입력, 9.3.3 경영검토 결과 요구사항이 추가되었지만, 조항의 제목과 순서는 그대로 유지되었으며, Annex(부속서) A에서 요구하는 통제항목인 ISO/IEC 27002 또한 지난 2022년 3월에 2022년버전으로 개정 발표되었으며 이번 3차 개정에도 일부 영향을 미쳤다.
Annex A의 ISO/IEC 27002:2022은 4개의 섹션인 A.5 조직 컨트롤(37개), A.6 사람 컨트롤(8개), A.7 물리적 컨트롤(14개), A.8 기술적 컨트롤(34개) 그룹으로 변경되었으며, 통제항목수는 기존 2013 버전의 114개 중에서 중복되는 항목을 일부 병합하여 93개로 감소했으며, 일부 통제는 더 이상 모범 사례를 반영하지 않기 때문에 제거되었으며, 기존 35개의 통제항목은 그대로 유지되고 23개의 통제항목은 이름이 바뀌었고, 57개의 통제항목은 24개의 통제항목으로 병합되고 11개의 통제항목이 신규로 추가되었다.
정보보호 국제인증심사원은 조직의 프로세스와 전체 경영 구조의 일부분으로 통합하고, 조직이 자신의 정보보호 요구사항을 충족하고 있는 능력을 평가하기 위하여 내부자 및 외부자가 사용할 수 있도록 정보보호 프로세스, 정보시스템, 통제의 설계로 간주하는 것이 중요하다. 또한, 다양한 지식과 사고로 심사원으로서의 자질과 품위를 가지고 국내외 정보보호의 저변 확대와 보급차원에서 심혈을 기울여야 하며, 새로운 사이버위협으로부터 신속한 대응을 위해 인증심사원의 역량강화와 심사품질 향상 등 지속적인 지원이 필요하다.
“ISO/IEC 27001:2022 정보보안경영시스템” 도서는 국제 ISMS 인증심사원, 국내 ISMS-P 인증심사원, 품질경영 담당자, 내부 보안감사자, 정보보호최고책임자(CISO), 정보보안책임자(CIO, CSO), 정보보호 담당자, 정보보호교육 담당자, 정보보안 관련자격 소지자, 기업 보안담당자, 현업 프로젝트 컨설턴트, 정보보호 관련 대학 및 대학원생들에게 국제표준 보안 프레임워크 구축 및 운영에 대한 방향을 제시해 줄 뿐만 아니라 구체적인 예시를 통해 실무 현장에서 현실적인 문제의 해법을 제시하는 내용들을 수록하였으며, ISO/IEC 27001 인증심사원 연수과정 자격시험을 대비할 수 있도록 구성했다.
집필진은 공병철 한국사이버감시단 이사장, 여동균 와이시큐리티 대표이사, 조홍연 씨티아이랩 대표이사, 이준화 한국정보보안원 연구소장, 오세현 ICSCA협회 이사, 정용현 ICSCA협회 이사, 변승환 ICSCA협회 이사, 임범석 ICSCA협회 이사, 최성재 ICSCA협회 이사, 마기평 ICSCA협회 이사, 주경숙 ICSCA협회 이사, 이승률 ICSCA협회 이사, 서승우 ICSCA협회 이사, 윤현근 이멜벤처스 부대표, 박지원 홈앤쇼핑 과장, 윤상호 ICSCA협회 이사, 박지원 ICSCA협회 이사, 육운수 ICSCA협회 이사, 허행희 와이시큐리티 수석컨설턴트, 공유민 ICSCA협회 지부이사 등 총 20명이 참여했다.
국제사이버보안인증협회 공병철 회장은 "최근 한층 성능이 향상된 대형언어모델(LLM) AI가 이끌어나갈 미래 초연결 사회를 대비하는 생애주기형 시큐리티 인력양성 전략에 맞추어 자격검정센터에서는 정보보호활용능력, 정보보안관제사, 정보보안진단원, OT보안관리사, 정보보호최고책임관리사, 정보보호·정보보안 전문강사 등 6종의 국내 민간자격증을 통해 국내 정보보안 전문인력 배출하고 있으며, ISO정보보호연수원을 통해서 ISO 27001, 27017, 27018, 27701 국제표준 인증심사원 연수과정을 통해 양성된 ISO 인증심사원간의 휴먼네트워크 활성화를 통하여 심사원 스스로 경쟁력을 높여 나갈수 있는 전략을 구축 및 운영하고 있다”라며 "정보보호 관련 전문도서 편찬과 지능정보보안아카데미 운영 등을 통해서 초급 인재부터 최정예 인재까지 산업에서 요구되는 실무형 맞춤 인재양성과 글로벌 국제인증심사원 배출을 위해 지속적으로 노력해 나갈 것입니다"라고 말했다.
★정보보안 대표 미디어 데일리시큐!
