한 눈에 보는 PCI-DSS vs. ISO 27001
정보보호 표준과 관련하여 해당 분야에 근무하시는 분들로부터 ISO 27001과 PCI-DSS는 무슨 차이가 있으며 어떠한 유사점이 있는지 문의를 받을 때가 있습니다.
많은 정보보호 관련 표준들 중에서 유독 ISO 27001과 PCI-DSS는 그 범위와 국제적인 영향력 측면에서 특별한 관계가 있다고 볼 수 있습니다.
ISO 27001 은 전 세계적으로 알려진 국제표준으로, 정보보호경영시스템 구축을 위한 요구사항을 규정하고 있습니다.
이 표준은 어떤 유형의 조직이건 다 적용이 가능하며, 실행과 인증에 대해서는 의무사항이 아니므로 적용 여부에 대해서는 조직이 선택하여 진행할 수 있습니다.
PCI-DSS 는 신용카드 산업 분야의 데이터 보호를 위한 표준이며, 이 표준은 신용카드와 관련한 데이터를 프로세스, 저장, 전송과 연관된 기업들에게 적용이 됩니다.
해당 기업들에게는 PCI-DSS를 준수하는 것이 의무적이나 처리하는 카드 정보의 양에 따라 다른 요구사항과 의무사항이 적용 될 수 있습니다.
▣ PCI-DSS vs. ISO 27001
=============
* ISO 27001 *
=============
1. 주체 :
- ISO 표준화 기구
- ISO 27001:2013 Information Security Management System
2. 인증의 성격 :
- ISO 27001의 인증은 정보보호경영시스템이 구축되고 효과적으로 운영되고 있음을 객관적으로 확인할 수 있는 글로벌 정보보호 스탠다드 인증
3. 대상 :
- 인증을 취득하고자 하는 조직의 비즈니스, 규모에 상관없이 모든 조직에 적용이 가능한 글로벌 스탠다드
- ISO 27001은 조직의 정보보호 체계를 유지하고 성숙도를 높이기 위해 자발적인 인증을 하는 경우가 많으며, 고객사의 요구 또는 세일즈 마케팅의 일환으로 인증을 유지하는 경우도 상당수 있음
4. 요구사항 :
- 정보보호에 관련한 프로세스를 정의하고, 이에 대한 요건을 요구사항으로 명시
- ISO 27001은 일반적인 표준화된 프로세스(프로세스와 보안통제 요건 118개)를 명시하며, 세부 사항(예: 기술적 상세 요건, 주기, 증적의 형태 등)은 요구하고 있지 않으며, ISO 27001 요건에 따라 조직이 상세 사항을 결정하여 이행하고 이에 대한 효과성을 검증하도록 요구함
5. 심사 진행 방법 및 절차 :
- ISO 27001은 최초심사, 사후심사(6개월 또는 1년주기), 갱신심사(3년 주기)로 진행
- ISO 심사원에 의해 이해여부를 인터뷰 및 현장심사로 확인하고 인증서를 발행
6. 요건의 개정 주기
- ISO 27001의 개정은 8년(2700:2005 -> 27001:2013) 걸리며, 다양한 업계의 best practice 프로세스가 반영되고 있음 (ISO 27001:2013)
===========
* PCI DSS *
===========
1. 주체 :
- PCI SSC (최초설립 참여사: VISA, Master, JCB, AMEX, Discover 이후 Union Pay사등도 참여)
- Payment Card Industry Data Security Standard
2. 인증의 성격 :
- PCI는 카드데이터가 안전하게 관리되고 있음을 객관적으로 확인할 수 있는 카드 비즈니스의 글로벌 보안 스탠다드 증명
3. 대상 :
- 카드 발급사, 매입사, PG 또는 VAN 및 가맹점과 서비스 프로바이드(카드데이터의 처리, 저장, 운영의 위탁서비스를 제공하는 회사)만을 대상으로 함
- PCI 의 경우에는 대부분이 이해관계자의 요구(예: 카드 브랜드사, 카드발급사, 매입은행 등)에 의해 의무적으로 받아야 하는 경우가 다수
4. 요구사항 :
- 카드데이터(PAN, Track Data, PIN 등)의 보호를 위해 특정 영역에 대한 기술적 요구사항을 명시
- PCI DSS는 세부요건(400여개로 구성되어 있으며 예: 기술적 상세 요건, 주기, 증적의 구성을 명시)에 대하여 적용하고, 이행하는 것을 요구함
5. 심사 진행 방법 및 절차 :
- PCI DSS는 매년 On site audit을 통해 심사가 진행 (최초, 사후, 갱신 형태의 심사가 아님)되며 심사원은 이를 테스트, 관찰, 검증을 통하여 적합 여부를 확인하고 준수 증명서를 발행
- PCI DSS는 모든 요건에 대한 준수가 완료되어 있어야만 Full compliant가 될 수 있으며, 현재 이행되지 않고 계획만 가지고 있는 건에 대해서는 인정해주지 않음 (이 경우에는 Partial 또는 Not compliant가 됨)
6. 요건의 개정 주기
- PCI DSS는 minor 1년, major 3년 주기로 개정되고 있으며, 최신의 보안 기술, 취약점 등에 대한 대응 요건이 반영되어 지속적으로 업데이트되고 있음 (현재 버전 PCI DSS v3.2)
<참고>
http://bsiblog.co.kr/archives/community/%ED%95%9C-%EB%88%88%EC%97%90-%EB%B3%B4%EB%8A%94-pci-dss-vs-iso-27001
댓글 없음:
댓글 쓰기