1. ISO 27000 Series 정의
|
표준 |
정의 |
|
ISO27001 |
· 정보 기술 - 보안 기법 - 정보 보안 관리 시스템 - 요구사항 · 2005년 10월 제정 |
|
ISO27002 |
· 정보 기술 - 보안 기법 - 정보 보안 관리를 위한 실행 지침 · 2007년 7월에 발표. |
|
ISO27005 |
· 정보 기술 - 보안 기법 - 정보 보안 위험 관리 · 2008년 6월 발표 |
2. ISO 27000 Series의 발전
· BS7799 Part 1(1995) -> ISO17799(2000) -> ISO27002(2007)
· BS7799 Part 2(1999) -> ISO27001(2005)
3. ISO27005 특징
|
정보 보안 위험 관리 guideline |
· 위험 관리 방법에 기반한 정보 보안 구현의 지원 · 위험 관리 계획 수립 기반 위험 분석을 통한 구조/체계적 프로세스 지정 · ISO27001에 지정된 일반 개념을 지원 |
4. ISO27001
- 특징
|
보안 관리 요구사항 |
개별 조직의 형태에 따른 실행해야 할 요건 규정 |
|
인증 심사를 위한 규격 |
ISMS에 대한 문서화, 수집, 실행에 대한 요구 사항, 규칙을 규정 |
|
구축 절차 제시 |
ISMS 구축 절차의 제시 |
- 요구 사항
|
체계적 검사 |
위협, 취약점 및 impact을 고려하여 조직의 정보 보안 위험을 검사 |
|
보안 체계/위험 관리 체계 설계 및 구현 |
보안 통제 및 위험 관리를 위한 응집적이고 이해 용이한 포괄적 체계 설계/구현 |
|
포괄적 관리 프로세스 도입 |
정보 보안 통제가 조직의 현 기반에서 정보 보안 요구를 충족하도록 |
5. ISO27002
- 특징
|
Best Practice 권고안 |
ISMS(Information Security Management System)을 위한 정보 보안 관리의 best practice 권고안 제공 |
|
CIA 유지를 중점으로 |
· Confidentiality(오직 권한을 가진 이만 접근 가능하도록 보장) · Integrity(정보와 프로세스 메서드의 정확성과 완전성을 보호(safeguarding)) · Availability(권한을 가진 이가 필요 시 정보와 관련 자산을 접근 가능하도록 보장) |
- 통제영역
|
보안 정책 |
정보 보안 관리의 방향 |
|
정보 보안의 조직 |
정보 보안의 Governance |
|
자산 관리 |
정보 자산의 목록화 및 분류 |
|
인적 자원 보안 |
조직에 대한 직원의 추가, 이동, 방출에 대한 보안 관점 |
|
물리 및 환경적 보안 |
컴퓨터 기기의 보호 |
|
소통 및 운영 관리 |
시스템과 Network에서의 기술적 보안 제어 관리 |
|
접근 제어 |
Network, system, application, function 및 data에 대한 접근 권한 제한 |
|
정보 시스템 획득, 개발, 유지보수 |
Application에 대한 보안 확립 |
|
정보 보안 사고 관리 |
정보 보안 취약점에 대한 대략적 예상 및 응답 |
|
비즈니스 연속성 관리 |
비즈니스 핵심 프로세스 및 시스템의 보호, 유지보수 및 재건(recover) |
|
준수(compliance) |
정보 보안 정책, 표준, 법 및 규제에 대한 준수 보장 |
'기술사 > 보안' 카테고리의 다른 글
| ISO 27000 Series (0) | 2009/06/30 |
|---|---|
| ISMS : Information Security Management System (0) | 2009/06/29 |
| WPA : Wi-Fi Protected Access (0) | 2008/02/03 |
| 인증서(certificate), X.509 (0) | 2007/11/13 |
| OCSP : Online Certificate Status Protocol (0) | 2007/11/13 |
| PKI : Public Key Infrastructure (0) | 2007/11/12 |
