ISO/IEC 27000 시리즈
ISO/IEC 27000은, 즉 현재 증가하고 있는
ISO/IEC 정보 보안 관리 시스템(ISMS) 표준 계열의 일부이다.
ISO/IEC 27000은 정보기술-보안기법-
정보 보안 관리 시스템-개요 및 상용구
(Information technology — Security techniques —
Information security management systems —
Overview and vocabulary)라는 제목의 국제 표준이다.
1. 개요
ISO/IEC 27000 시리즈('ISMS 표준 패밀리' 또는 줄여서 'ISO27 K')는 국제표준화기구(ISO)와
국제전기기술위원회(IEC)가 공동으로 발표한 정보 보안 표준으로 구성된다.
이 시리즈는 품질 보증을 위한 관리 시스템(ISO 9000 시리즈)과 설계가 유사한
전반적인 정보 보안 관리 시스템(ISMS)의 맥락 내에서 정보 보안 관리
(정보 보안 제어를 통한 정보 위험 관리), 환경 보호(ISO 14000 시리즈) 및
기타 관리 시스템에 대한 모범 사례 권장 사항을 제공한다.
이 시리즈는 개인 정보 보호, 기밀 유지 및 IT/기술/사이버 보안 문제 이상을
다루면서 의도적으로 범위가 넓다. 이는 모든 형태와 규모의 조직에 적용 가능하다.
모든 조직은 정보 위험을 평가한 후 관련 지침과 제안을 사용하여 필요에
따라 정보 위험을 처리(일반적으로 정보 보안 제어 사용)하도록 권장된다.
정보 위험과 보안의 역동적인 특성을 고려하여 ISMS 개념은 위협, 취약성 또는
사고 영향의 변화에 대응하기 위한 지속적인 피드백과 개선 활동을 통합한다.
이 표준은 1년에 두 번 직접(대면 또는 가상) 모임을 갖는 국제 기구인
ISO/IEC JTC 1(공동 기술 위원회 1) SC 27(소위원회 27)의 산물이다.
1. ISO/IEC 27000 시리즈
"정보 보안, 사이버 보안 및 개인 정보 보호"와 관련하여 발표된
ISO27K 표준은 다음과 같다.
ISO/IEC 27000 — 정보 보안 관리 시스템 — 개요 및 용어
ISO/IEC 27001 — 정보 보안, 사이버 보안 및 개인 정보 보호 —
정보 보안 관리 시스템 — 요구 사항. - 다른 ISO 표준이 다른 종류의
관리 시스템을 지정하는 것과 동일한 공식화되고 구조적이며 간결한 방식으로
정보 보안 관리 시스템에 대한 요구 사항을 지정한다.
ISO/IEC 27002 - 정보 보안, 사이버 보안 및 개인 정보 보호 - 정보 보안 통제 -
본질적으로 ISMS를 통해 관리될 수 있는 정보 보안 통제의 상세한 카탈로그
ISO/IEC 27003 — 정보 보안 관리 시스템 구현 지침
ISO/IEC 27004 - 정보 보안 관리 - 모니터링, 측정, 분석 및 평가
ISO/IEC 27005 — 정보 보안 위험 관리 지침
ISO/IEC 27006 — 정보 보안 관리 시스템의 감사 및 인증을 제공하는 기관에 대한 요구 사항
ISO/IEC 27007 - 정보 보안 관리 시스템 감사에 대한 지침(관리 시스템 감사에 초점을 맞췄음)
ISO/IEC TR 27008 - ISMS 통제에 대한 감사자를 위한 지침(정보 보안 통제 감사에 초점을 맞췄음)
ISO/IEC 27009 — 정보 기술 — 보안 기술 — ISO/IEC 27001의 부문별 적용 — 요구 사항
ISO/IEC 27010 — 부문 간 및 조직 간 통신을 위한 정보 보안 관리
ISO/IEC 27011 — ISO/IEC 27002를 기반으로 하는 통신 조직을 위한 정보 보안 관리 지침
ISO/IEC 27013 — ISO/IEC 27001 및 ISO/IEC 20000-1의 통합 구현에 대한 지침
ISO/IEC 27014 — 정보 보안 거버넌스. (Mahncke는 호주 e-헬스의 맥락에서 이 표준을 평가했다.)
ISO/IEC TR 27015 — 금융 서비스에 대한 정보 보안 관리 지침(현재는 철회됨)
ISO/IEC TR 27016 — 정보 보안 경제학
ISO/IEC 27017 - 클라우드 서비스에 대한 ISO/IEC 27002를 기반으로 한
정보 보안 통제에 대한 실천 강령
ISO/IEC 27018 — PII 프로세서 역할을 하는 퍼블릭 클라우드에서
개인 식별 정보(PII) 보호를 위한 실행 강령
ISO/IEC 27019 - 에너지 산업의 프로세스 제어를 위한 정보 보안
ISO/IEC 27021 - 정보 보안 관리 시스템 전문가에 대한 역량 요구 사항
ISO/IEC TS 27022 - 정보 보안 관리 시스템 프로세스에 대한 지침 - 개발 중
ISO/IEC TR 27023 — ISO/IEC 27001 및 ISO/IEC 27002의 개정판 매핑
ISO/IEC 27028 - ISO/IEC 27002 속성에 대한 지침
ISO/IEC 27031 — 비즈니스 연속성을 위한 정보 통신 기술 준비 지침
ISO/IEC 27032 - 사이버 보안 지침
ISO/IEC 27033-1 - 네트워크 보안 - 1부: 개요 및 개념
ISO/IEC 27033-2 - 네트워크 보안 - 2부: 네트워크 보안 설계 및 구현에 대한 지침
ISO/IEC 27033-3 - 네트워크 보안 - 3부: 참조 네트워킹 시나리오 - 위협, 설계 기술 및 제어 문제
ISO/IEC 27033-4 - 네트워크 보안 - 4부: 보안 게이트웨이를 사용하여 네트워크 간 통신 보안
ISO/IEC 27033-5 — 네트워크 보안 – 5부: VPN(가상 사설망)을 사용하여 네트워크 간 통신 보안
ISO/IEC 27033-6 — 네트워크 보안 – 6부: 무선 IP 네트워크 액세스 보안
ISO/IEC 27033-7 - 네트워크 보안 - 7부: 네트워크 가상화 보안에 대한 지침
ISO/IEC 27034-1 — 애플리케이션 보안 – 1부: 애플리케이션 보안을 위한 지침
ISO/IEC 27034-2 - 애플리케이션 보안 - 2부: 조직 규범 프레임워크
ISO/IEC 27034-3 — 애플리케이션 보안 – 3부: 애플리케이션 보안 관리 프로세스
ISO/IEC 27034-4 — 애플리케이션 보안 – 파트 4: 검증 및 확인(개발 중)
ISO/IEC 27034-5 — 애플리케이션 보안 – 5부: 프로토콜 및 애플리케이션 보안 제어 데이터 구조
ISO/IEC 27034-5-1 — 애플리케이션 보안 — 파트 5-1
: 프로토콜 및 애플리케이션 보안 제어 데이터 구조, XML 스키마
ISO/IEC 27034-6 — 애플리케이션 보안 – 6부: 사례 연구
ISO/IEC 27034-7 — 애플리케이션 보안 – 파트 7: 보증 예측 프레임워크
ISO/IEC 27035-1 - 정보 보안 사고 관리 - 1부: 사고 관리 원칙
ISO/IEC 27035-2 - 정보 보안 사고 관리 - 2부: 사고 대응 계획 및 준비 지침
ISO/IEC 27035-3 - 정보 보안 사고 관리 - 3부: ICT 사고 대응 운영 지침
ISO/IEC 27035-4 - 정보 보안 사고 관리 - 4부: 조정(개발 중)
ISO/IEC 27036-1 - 공급업체 관계를 위한 정보 보안 - 1부: 개요 및 개념
ISO/IEC 27036-2 - 공급업체 관계를 위한 정보 보안 - 2부: 요구 사항
ISO/IEC 27036-3 - 공급업체 관계에 대한 정보 보안 - 3부: 정보 통신 기술 공급망 보안에 대한 지침
ISO/IEC 27036-4 - 공급업체 관계에 대한 정보 보안 - 4부: 클라우드 서비스 보안에 대한 지침
ISO/IEC 27037 — 디지털 증거의 식별, 수집, 획득 및 보존에 대한 지침
ISO/IEC 27038 — 디지털 문서의 디지털 편집 사양
ISO/IEC 27039 — 침입 방지
ISO/IEC 27040 — 스토리지 보안
ISO/IEC 27041 - 조사 보증
ISO/IEC 27042 — 디지털 증거 분석
ISO/IEC 27043 - 사고 조사
ISO/IEC 27050-1 - 전자 검색 - 1부: 개요 및 개념
ISO/IEC 27050-2 — 전자 증거자료 제출 — 제2부: 전자 증거자료 거버넌스 및 관리 지침
ISO/IEC 27050-3 — 전자 증거자료 제출 — 제3부: 전자 증거자료 제출 업무 강령
ISO/IEC 27050-4 — 전자 검색 — 파트 4: 기술적 준비
ISO/IEC TS 27110 - 정보 기술, 사이버 보안 및 개인 정보 보호 - 사이버 보안 프레임워크 개발 지침
ISO/IEC 27557 — 정보 보안, 사이버 보안 및 개인 정보 보호 —
조직의 개인 정보 위험 관리를 위한 ISO 31000:2018 적용
ISO/IEC 27701 - 정보 기술 - 보안 기술 - 정보 보안 관리 시스템 - 개인 정보 관리 시스템(PIMS)
ISO 27799 - ISO/IEC 27002를 사용한 건강 정보 보안 관리
(ISO/IEC 27002를 사용하여 개인 건강 정보를 보호하는 방법에 대해 보건 산업 조직에 지침)
지금까지 ISO/IEC 27000 시리즈에 대해 알아보았습니다.
'IT Auditor Study > 시스템구조' 카테고리의 다른 글
ISO/IEC 27001 : 정보 보안 관리 시스템 (ISMS) - ② (2) | 2024.03.06 |
---|---|
ISO/IEC 27001 : 정보 보안 관리 시스템 (ISMS) - ① (0) | 2024.03.05 |
ISO/IEC 25000 : SQuaRE(소프트웨어 품질 요구사항 및 평가) (0) | 2024.03.04 |
ISO/IEC 25010의 주요 품질 특성 및 하위 특성 (0) | 2024.03.02 |
ISO/IEC 9126 모델과 ISO/IEC 25010:2011 (0) | 2024.03.02 |