ISO 27000 Series

기술사/보안 | 2009/06/30 00:47

1.     ISO 27000 Series 정의

표준

정의

ISO27001

·         정보 기술 - 보안 기법 - 정보 보안 관리 시스템 - 요구사항

·         2005 10월 제정

ISO27002

·         정보 기술 - 보안 기법 - 정보 보안 관리를 위한 실행 지침

·         2007 7월에 발표.

ISO27005

·         정보 기술 - 보안 기법 - 정보 보안 위험 관리

·         2008 6월 발표

 

2.     ISO 27000 Series의 발전

·         BS7799 Part 1(1995) -> ISO17799(2000) -> ISO27002(2007)

·         BS7799 Part 2(1999) -> ISO27001(2005)

 

3.     ISO27005 특징

정보 보안 위험 관리 guideline

·         위험 관리 방법에 기반한 정보 보안 구현의 지원

·         위험 관리 계획 수립 기반 위험 분석을 통한 구조/체계적 프로세스 지정

·         ISO27001에 지정된 일반 개념을 지원

 

4.     ISO27001

- 특징

보안 관리 요구사항

개별 조직의 형태에 따른 실행해야 할 요건 규정

인증 심사를 위한 규격

ISMS에 대한 문서화, 수집, 실행에 대한 요구 사항, 규칙을 규정

구축 절차 제시

ISMS 구축 절차의 제시

- 요구 사항

체계적 검사

위협, 취약점 및 impact을 고려하여 조직의 정보 보안 위험을 검사

보안 체계/위험 관리 체계 설계 및 구현

보안 통제 및 위험 관리를 위한 응집적이고 이해 용이한 포괄적 체계 설계/구현

포괄적 관리 프로세스 도입

정보 보안 통제가 조직의 현 기반에서 정보 보안 요구를 충족하도록

 

5.     ISO27002

- 특징

Best Practice 권고안

ISMS(Information Security Management System)을 위한 정보 보안 관리의 best practice 권고안 제공

CIA 유지를 중점으로

·         Confidentiality(오직 권한을 가진 이만 접근 가능하도록 보장)

·         Integrity(정보와 프로세스 메서드의 정확성과 완전성을 보호(safeguarding))

·         Availability(권한을 가진 이가 필요 시 정보와 관련 자산을 접근 가능하도록 보장)

- 통제영역

보안 정책

정보 보안 관리의 방향

정보 보안의 조직

정보 보안의 Governance

자산 관리

정보 자산의 목록화 및 분류

인적 자원 보안

조직에 대한 직원의 추가, 이동, 방출에 대한 보안 관점

물리 및 환경적 보안

컴퓨터 기기의 보호

소통 및 운영 관리

시스템과 Network에서의 기술적 보안 제어 관리

접근 제어

Network, system, application, function data에 대한 접근 권한 제한

정보 시스템 획득, 개발, 유지보수

Application에 대한 보안 확립

정보 보안 사고 관리

정보 보안 취약점에 대한 대략적 예상 및 응답

비즈니스 연속성 관리

비즈니스 핵심 프로세스 및 시스템의 보호, 유지보수 및 재건(recover)

준수(compliance)

정보 보안 정책, 표준, 법 및 규제에 대한 준수 보장

 

"보안" 카테고리의 다른 글

2009/06/30 00:47 2009/06/30 00:47

트랙백 주소 :: http://anyflow.net/trackback/427

댓글을 달아 주세요

1.     정의

·         정보자산의 기밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립/문서화하고 지속적으로 관리, 운영하는 시스템 및 프로세스

 

2.     ISMS 3요소

요소

내용

관리적 보안

·         조직 구성

·         보안 정책/지침/규정/절차 수립

·         보안 프로세스 정립

물리적 보안

·         출입 통제

·         천재지변/자연재해에 대비한 비상 대책

기술적 보안

·         네트워크, 시스템, DB/응용, PC

·         보안 솔루션 도입

 

사용자 삽입 이미지

 

3.     구축 절차 : PDCA(Plan - Do - Check - Act) 기반

1.     TFT 구성

·         ISMS 구축에 요구되는 조직 체계 구성

2.     자료 수집 및 교육

·         관련 자료 수집 및 구성된 조직에 대한 교육 실시

3.     범위 설정

·         구축을 위한 범위 설정

4.     위험 평가

·         정보 자산에 대한 위험 평가 실시 및 문제점 도출

5.     관리체계 구축

·         대응책을 체계적으로 구성, 관련 보안 프로세스 수립

6.     인증 절차

·         인증 취득

 

4.     ISMS를 위한 주요 framework / Standard / Maturity Model

Framework

COBIT, ITIL

Standard

ISO27001/2/5

Maturity Model

·         ISM3 : Information Security Management Maturity Model

·         ISO20000, 9001, 27001, CMM에 기반하여 만들어짐

 

5.     기대 효과 

사용자 삽입 이미지

"보안" 카테고리의 다른 글

2009/06/29 23:35 2009/06/29 23:35
TAG

트랙백 주소 :: http://anyflow.net/trackback/426

댓글을 달아 주세요

평정심

세상 | 2009/06/08 00:53
이제는 쓸 때 없는 저항 의식에서 벋어나 자신의 삶을 관조하는 자세로 임했다...

- '대망(大望)' 에 묘사된 형장 이슬로 가기까지의 미쓰나리.

그렇게나 그 분에 대한 많은 배신을 이루고도, 어느새인가 또다시 그 분을 찾는 나의 나약함을 보면서, 또한 잠시나마 그 분의 힘에 기대어 평정심을 유지하는 나를 보면서 이 글귀가 생각났다.

어느새 인가 그를 휘두르려 하고, 그의 반응에 어느새 또다시 대응하는 나 자신의 모습에, 그러한 나의 유약함에 고통스러웠던 것이었겠지. 언제나 옳은 자세라고는 확신하지 못하지만, 적어도 지금의 내게 가장 필요한 것은 이러한 마음을 유지하고자 하는 지속적 의지와 행동이다. 그리고 이를 흩게 만드는 그 모든 요소가 바로 '유혹'이라 부르는 것이겠지.

어찌되었건, 지금의 내가 어떤 힘을 통해서건(그것이 나의 내적 강인함을 키우는 것이건 아니건 간에) 간에 유지하고 있는 이 마음은, 그리고 이러한 의지의 방향성은 내게 정녕 유익한 무엇임을, 그리고 상당히 오랜 기간 잊고 살았던 무엇임을 깨닫는다...

"세상" 카테고리의 다른 글

2009/06/08 00:53 2009/06/08 00:53

트랙백 주소 :: http://anyflow.net/trackback/425

댓글을 달아 주세요