IT 나침반/국제 표준과 IT 법제도

ISO / IEC

고독해...구독해... 2025. 1. 27. 01:53

[1. 정보보안]

        1-1. ISO/IEC 27001 : 정보보안경영시스템(ISMS)에 대한 국제 표준

➡ 설명 :회사나 기관에서 중요한 데이터를 해킹이나 도난으로부터 안전하게 지키는 방법을 정리한 규칙. 예를 들어, 학교의 성적표가 외부로 유출되지 않도록 보호하는 방법을 포함

4개의 주요 영역:

🔹 조직 통제 (Organizational Controls): 총 37개 통제 항목

  • 정보보안 정책
  • 정보보안 역할 및 책임
  • 위협 정보
  • 정보보안 위험 관리
  • 사업 연속성 관리
  • 공급자 관계 보안
  • 프로젝트 관리에서의 정보보안
  • 기타 조직적 통제 항목

🔹 인원 통제 (People Controls): 총 8개 통제 항목

  • 인적 보안 정책
  • 직원 보안 교육 및 인식
  • 직무 분리
  • 인사 보안
  • 기타 인원 관련 통제 항목

🔹 물리적 통제 (Physical Controls): 총 14개 통제 항목

  • 물리적 접근 통제
  • 장비 보안
  • 지원 시설 보안
  • 보안 영역
  • 기타 물리적 보안 통제 항목

🔹 기술적 통제 (Technological Controls): 총 34개 통제 항목

  • 접근 통제
  • 암호화
  • 운영 보안
  • 통신 보안
  • 시스템 획득, 개발 및 유지보수 보안
  • 기타 기술적 보안 통제 항목

        1-2. ISO/IEC 27002 : 정보보안 통제에 대한 지침을 제공하는 표준

➡ 설명 : 비밀번호를 강하게 설정하고, 회사 내부 문서에 접근할 수 있는 사람을 제한하는 등의 구체적인 보안 지침을 제공

🔹14개 주요 통제 항목

  1. 정보보호
  2. 정보보호
  3. 적 보안
  4. 산 관리
  5. 근 통제
  6. 호화
  7. 리적 보안
  8. 영 보안
  9. 신 보안
  10. 시스템 발 보안
  11. 급망 관리
  12. 정보보호 고 관리
  13. 속성과 복구
  14. 적 준거성

        1-3. ISO/IEC 27005 : 정보보안 위험 평가 및 관리를 위한 지침을 제공하는 표준

➡ 설명 : 어떤 보안 문제가 발생할 수 있는지 미리 찾아보고, 이를 막기 위해 필요한 조치를 정하는 방법. 예를 들어, 컴퓨터 바이러스가 퍼질 가능성을 확인하고 백신을 설치하는 것

🔹 위험 관리 단계(5)

  1. 위험 설정: 조직의 목표와 환경을 고려하여 위험 관리의 범위와 목적 설정
  2. 위험 식별: 조직의 자산, 위협, 취약점 등을 분석하여 잠재적인 위험 식별
  3. 위험 평가: 식별된 위험을 평가하여 우선순위를 정하고, 각 위험의 영향 분석
  4. 위험 처리: 위험을 감소시키기 위해 필요한 보안 통제나 방어 조치를 정의
  5. 위험 모니터링: 처리된 위험을 지속적으로 모니터링하고, 변화된 환경에 맞춰 업데이트

🔹위험 평가 방법

  • 위험 분석 : 자산, 위협, 취약점의 관계를 파악하여 발생할 수 있는 위험을 분석
  • 위험 평가 매트릭스 : 위험의 발생 확률과 영향을 평가하여 시급히 처리해야 할 위험을 구분

        1-4. ISO/IEC 27017 : 클라우드 환경에서의 정보보안 가이드를 제공하는 표준

➡ 설명 : 구글 드라이브 같은 클라우드 서비스를 사용할 때, 저장된 파일이 안전하게 보호되도록 도와주는 지침

🔹14개 주요 통제 항목 (27002와 통제항목 동일)

  1. 정보보호 정책
  2. 정보보호 조직
  3. 인적 보안
  4. 자산 관리
  5. 접근 통제
  6. 암호화
  7. 물리적 보안
  8. 운영 보안
  9. 통신 보안
  10. 시스템 개발 보안
  11. 공급망 관리
  12. 정보보호 사고 관리
  13. 연속성과 복구

[2. 개인정보보호]

        2-1. ISO/IEC 27018 : 공공 클라우드 서비스에서의 개인정보 보호 지침을 제공하는 표준

➡ 설명 : 클라우드에 저장된 내 사진이나 연락처 같은 개인정보가 외부에 유출되지 않도록 보호하는 방법을 제공

🔹중요 통제 항목

  1. 개인정보 보호 정책
  2. 투명한 개인정보 처리
  3. 개인정보 보호 책임자 지정
  4. 개인정보 접근 통제
  5. 개인정보 암호화 및 보호
  6. 제3자 공급업체 관리
  7. 데이터 주체의 권리 보호
  8. 법적 준수
  9. 개인정보 유출 대응

        2-2. ISO/IEC 29100 : 개인정보 보호를 위한 일반적인 프레임워크를 제공하는 표준

➡ 설명 : 이름, 주소 같은 개인정보를 수집하고 사용할 때 지켜야 할 기본 규칙을 정한 것. 예를 들어, 앱에서 개인정보를 요청할 때 사용자가 동의해야 하는 절차

🔹주요 프레임워크 요소

  1. 법적 요구 사항 준수
  2. 개인정보 보호 정책 수립
  3. 개인정보 보호 관리 책임자 지정
  4. 개인정보 처리자의 역할
  5. 개인정보 주체의 권리 보호
  6. 개인정보 유출 대응 절차
  7. 위험 평가 및 처리 절차
  8. 법적 및 규제 준수 검토
  9. 지속적인 개선 및 모니터링

        2-3. ISO/IEC 29147 : 소프트웨어 취약점의 공개 프로세스에 대한 지침을 제공하는 표준

➡ 설명 : 소프트웨어에서 발견된 보안 문제를 어떻게 사용자에게 알리고 해결할지 정한 것. 예를 들어, 스마트폰 앱에서 버그가 발견되었을 때 사용자에게 알리는 방법

🔹취약점 공개 프로세스에 대한 지침

  1. 취약점 보고: 발견된 취약점을 신속하고 정확하게 개발자에게 보고
  2. 취약점 분석: 취약점의 원인과 영향을 분석하고 해결 방법 제시
  3. 취약점 해결 방안 제공: 패치나 대체 방법 제공
  4. 취약점 공개 시기와 내용: 취약점 해결 후 적절한 시점에 공개하고, 위험성과 영향 범위 제공
  5. 법적 및 윤리적 고려사항: 취약점 공개 시 법적 책임 고려하고 처리
  6. 취약점 공개의 책임과 의무: 취약점 공개 주체의 책임 관리, 사용자 혼란 최소화

[3. IT 서비스]

        3-1. ISO/IEC 20000 : IT 서비스 제공의 품질을 보장하기 위한 요구 사항을 정의하는 표준

➡ 설명 : 인터넷 서비스 회사가 고객에게 빠르고 정확한 서비스를 제공할 수 있도록 정한 규칙. 예를 들어, 인터넷이 끊겼을 때 얼마나 빨리 해결해야 하는지에 대한 기준

🔹ISO/IEC 20000의 주요 구성 요소

  1. 20000-1: IT서비스 관리 규칙
  2. 20000-2: 가이드 권고 사항
  3. 20000-3: 범위 적용 가능성

🔹주요 프로세스

  1. 서비스 수준 관리 (Service Level Management)
  2. 변경 관리 (Change Management)
  3. 사고 관리 (Incident Management)
  4. 문제 관리 (Problem Management)
  5. 자원 관리 (Resource Management)
  6. 서비스 연속성 관리 (Service Continuity Management)
  7. 보안 관리 (Security Management)
  8. 성과 측정 및 개선 (Performance Measurement and Continual Improvement)
  9. 공급업체 관리 (Supplier Management)

[4. 거버넌스]

        4-1. ISO/IEC 38500 : 조직의 IT 사용에 대한 지침을 제공하는 표준

➡ 설명 : 회사에서 IT 시스템(예: 컴퓨터, 서버)을 안전하고 효율적으로 운영하기 위해 따라야 할 관리 규칙

🔹 6가지 원칙

  1. 책임 수립: IT 사용에 대한 책임과 역할을 명확히 정의
  2. 전략 계획: 조직의 목표를 지원하는 IT 전략을 수립
  3. 획득 타당성: IT 자원의 획득이 조직에 적합하고 타당한지 검토
  4. 성과 관리: IT 서비스와 자원의 성과를 모니터링하고 관리
  5. 준수 보장: 법률 및 규제 요구 사항을 준수하도록 IT 활동을 감독
  6. 인적 요소 존중: IT 사용이 조직의 문화와 이해관계자들의 요구를 존중

[5. 소프트웨어 및 시스템 공학]

        5-1. ISO/IEC/IEEE 12207:2017 : 소프트웨어 개발 및 유지보수의 프로세스를 규정하는 표준

➡ 설명 : 앱이나 프로그램을 만들 때 필요한 단계(기획, 개발, 테스트, 유지보수)를 체계적으로 정한 것

🔹네 가지 주요 프로세스 그룹

  1. 합의 프로세스(Agreement Processes): 소프트웨어 시스템의 획득 및 공급과 관련된 프로세스를 포함
  2. 조직 프로젝트 지원 프로세스(Organizational Project-Enabling Processes): 프로젝트를 효과적으로 지원하기 위한 조직의 역량을 강화하는 프로세스를 포함
  3. 기술 관리 프로세스(Technical Management Processes): 소프트웨어 프로젝트의 계획, 평가, 제어 등을 다루는 프로세스를 포함
  4. 기술 프로세스(Technical Processes): 소프트웨어 요구사항 정의, 설계, 구현, 테스트, 유지보수 등 기술적인 활동을 다루는 프로세스를 포함

        5-2. ISO/IEC 25010 : 소프트웨어 및 시스템의 품질 특성을 정의하는 표준

➡ 설명 : 좋은 소프트웨어란 빠르고, 오류가 적고, 사용하기 편해야 한다는 기준을 정한 것

🔹 제품 품질 모델의 8가지 주요 특성

  1. 기능 적합성(Functional Suitability): 소프트웨어가 명시된 기능을 정확하게 수행하는 정도
  2. 신뢰성(Reliability): 지정된 조건에서 소프트웨어가 일관되게 성능을 유지하는 능력
  3. 성능 효율성(Performance Efficiency): 주어진 자원으로 소프트웨어가 얼마나 효율적으로 작동하는지
  4. 사용성(Usability): 사용자가 소프트웨어를 배우고 사용할 때의 용이성
  5. 보안성(Security): 소프트웨어가 정보와 데이터를 보호하는 능력
  6. 호환성(Compatibility): 다른 시스템이나 제품과 함께 사용할 수 있는 능력
  7. 유지보수성(Maintainability): 소프트웨어를 수정하거나 개선하기 위한 용이성
  8. 이식성(Portability): 다른 환경으로 소프트웨어를 이전할 수 있는 능력

[6. 리스크 관리]

        6-1. ISO 31000 : 조직이 직면한 다양한 리스크를 식별, 평가, 관리 및 완화하는 체계를 구축하는 표준

➡ 설명 : 회사가 직면할 수 있는 위험(예: 화재, 해킹)을 미리 파악하고 대비책을 마련하는 방법. 예를 들어, 학교에서 화재 대피 훈련을 미리 준비하는 것

🔹주요 내용

  • 위험 관리 원칙: 위험 관리는 조직의 모든 활동에 통합되어야 하며, 의사 결정의 핵심 요소로 작용해야 합니다.
  • 위험 관리 프레임워크: 조직의 구조와 프로세스에 맞게 위험 관리 정책과 절차를 수립하고, 이를 지속적으로 개선해야 합니다.
  • 위험 관리 프로세스: 위험의 식별, 분석, 평가, 처리, 모니터링 및 검토를 포함하는 체계적인 접근 방식을 제시합니다.