1.     ISO 27000 Series 정의

표준

정의

ISO27001

·         정보 기술 - 보안 기법 - 정보 보안 관리 시스템 - 요구사항

·         2005 10월 제정

ISO27002

·         정보 기술 - 보안 기법 - 정보 보안 관리를 위한 실행 지침

·         2007 7월에 발표.

ISO27005

·         정보 기술 - 보안 기법 - 정보 보안 위험 관리

·         2008 6월 발표

 

2.     ISO 27000 Series의 발전

·         BS7799 Part 1(1995) -> ISO17799(2000) -> ISO27002(2007)

·         BS7799 Part 2(1999) -> ISO27001(2005)

 

3.     ISO27005 특징

정보 보안 위험 관리 guideline

·         위험 관리 방법에 기반한 정보 보안 구현의 지원

·         위험 관리 계획 수립 기반 위험 분석을 통한 구조/체계적 프로세스 지정

·         ISO27001에 지정된 일반 개념을 지원

 

4.     ISO27001

- 특징

보안 관리 요구사항

개별 조직의 형태에 따른 실행해야 할 요건 규정

인증 심사를 위한 규격

ISMS에 대한 문서화, 수집, 실행에 대한 요구 사항, 규칙을 규정

구축 절차 제시

ISMS 구축 절차의 제시

- 요구 사항

체계적 검사

위협, 취약점 및 impact을 고려하여 조직의 정보 보안 위험을 검사

보안 체계/위험 관리 체계 설계 및 구현

보안 통제 및 위험 관리를 위한 응집적이고 이해 용이한 포괄적 체계 설계/구현

포괄적 관리 프로세스 도입

정보 보안 통제가 조직의 현 기반에서 정보 보안 요구를 충족하도록

 

5.     ISO27002

- 특징

Best Practice 권고안

ISMS(Information Security Management System)을 위한 정보 보안 관리의 best practice 권고안 제공

CIA 유지를 중점으로

·         Confidentiality(오직 권한을 가진 이만 접근 가능하도록 보장)

·         Integrity(정보와 프로세스 메서드의 정확성과 완전성을 보호(safeguarding))

·         Availability(권한을 가진 이가 필요 시 정보와 관련 자산을 접근 가능하도록 보장)

- 통제영역

보안 정책

정보 보안 관리의 방향

정보 보안의 조직

정보 보안의 Governance

자산 관리

정보 자산의 목록화 및 분류

인적 자원 보안

조직에 대한 직원의 추가, 이동, 방출에 대한 보안 관점

물리 및 환경적 보안

컴퓨터 기기의 보호

소통 및 운영 관리

시스템과 Network에서의 기술적 보안 제어 관리

접근 제어

Network, system, application, function data에 대한 접근 권한 제한

정보 시스템 획득, 개발, 유지보수

Application에 대한 보안 확립

정보 보안 사고 관리

정보 보안 취약점에 대한 대략적 예상 및 응답

비즈니스 연속성 관리

비즈니스 핵심 프로세스 및 시스템의 보호, 유지보수 및 재건(recover)

준수(compliance)

정보 보안 정책, 표준, 법 및 규제에 대한 준수 보장

 

'digging IT 인프라 > 보안' 카테고리의 다른 글

ISO 27000 Series  (0) 2009.06.30
ISMS : Information Security Management System  (0) 2009.06.29
WPA : Wi-Fi Protected Access  (0) 2008.02.03
인증서(certificate), X.509  (0) 2007.11.13
OCSP : Online Certificate Status Protocol  (0) 2007.11.13
PKI : Public Key Infrastructure  (1) 2007.11.12
Posted by 어쨌건간에

댓글을 달아 주세요