■ ISO 27001, 27017, 27018 인증
ISO 27001은 국제 표준화 기구(ISO) 및 국제전자기술위원회(IEC)가 2005년에 처음 발표한 정보 보안 표준입니다.
2013년 9월, ISO 27001:2013이 발표되어 최초의 2005년 표준을 대체했습니다.
ISO 27001은 전 세계에서 인정받는 표준 기반 보안 접근 방식이며, 조직의 정보 보안 관리 시스템(ISMS)이 갖춰야 할 요건을 제시합니다.
2015년에 발표된 ISO 27017은 ISO 27001을 보완하는 표준입니다.
이 표준은 클라우드 서비스 프로비저닝 및 사용에 적용되는 정보 보안에 관한 통제 및 이행 지침을 제공합니다.
ISO 27018은 2014년에 ISO/IEC에서 발표한 보완 표준이며, 개인 데이터를 취급하는 클라우드 서비스 제공자에 적용되는 지침으로 구성됩니다.
뉴딜코리아는 2016년 9월에 ISO 27001, 2016년 10월에 ISO27018, 2017년 11월에 ISO 27017 인증 컨설팅을 수행하고 있습니다
ISO 재인증은 3년마다 시행되지만, 매년 감독 감사를 받아야 인증이 유지됩니다.
이러한 ISO 인증은 고객사가 개인정보 보호와 보안에 최선을 다하고 있으며 고객사의 통제 기능이 제대로 실행되고 있음을 입증합니다.
ISO 인증서 및 ISMS 적용성 보고서는 고객이 검토할 수 있습니다.
▶ ISO 27017 규격의 개요
ISO/IEC에서는 클라우드서비스 보안을 위해 ISO/IEC 27002를 기본으로 클라우드서비스 관련된 내용을 추가한 ISO/IEC 27017을 2015년에 발간하게 되었다.
전체적으로는 14분야에 걸쳐 117개의 통제사항으로 구성되어 있다.
이는 기존의 정보보호를 위한 통제사항 집합인 ISO/IEC 27002를 모두 적용함과 동시에 클라우드 특성이 있는 통제사항은 같은 틀 내에서 반영하고 있는 구조이다.
ISO 27017인증의 목적은 객관적이고 공정한 클라우드서비스보안인증을 통해 이용자의 보안 우려를 해소하고 클라우드서비스 경쟁력을 확보하는 데 있다.
▶ ISO 27017 규격의 요구사항
ISO 27017 국제 표준에서는 ISO27001 국제 표준에 기반한 정보보안관리체계에 클라우드 서비스 제공자와 고객이 추가로 반영해야 할 프레임워크 측면의 요구사항을 정의하고 있다.
또한, 가상 머신 hardening, 클라우드 서비스 모니터링, 가상 네트워크와 물리적 네트워크를 위한 정보보호 관리, 클라우드 환경의 운영 관리 절차, 가상 컴퓨팅 환경에서의 분리, 클라우드 서비스 고객 정보 및 자산의 삭제 등 클라우드 서비스에 특화된 정보보호 통제에 대한 요구사항을 추가로 정의하고 있다.
▶ ISO 27017 CLS 정보보안 인증의 핵심내용
o 관리적 보호조치
정보보안정책수립, 인적보안, 자산관리, 서비스공급망 관리, 침해사고 관리 등
정보보안정책수립, 인적보안, 자산관리, 서비스공급망 관리, 침해사고 관리 등
o 기술적 보호조치
보안, 접근통제, 네트워크보안, 데이터보안, 암호화 등
보안, 접근통제, 네트워크보안, 데이터보안, 암호화 등
o 물리적 보호조치
보안구역 지정, 물리적 접근제어, 장비 반/출입 등 정보보호 시설 및 장비보호
보안구역 지정, 물리적 접근제어, 장비 반/출입 등 정보보호 시설 및 장비보호
▶ 클라우드 서비스 정보보안 위협
o 거버넌스 측면
거버넌스 손실, 책임성 모호, 준거성 및 법적 위험, 국경문제
거버넌스 손실, 책임성 모호, 준거성 및 법적 위험, 국경문제
o 접근통제 측면
제공자 시스템에 대한 비인가 접근, 관리 인터페이스 취약성, 보호 메커니즘의 비일관성 및 상충
제공자 시스템에 대한 비인가 접근, 관리 인터페이스 취약성, 보호 메커니즘의 비일관성 및 상충
o 데이터 보안 측면
개인정보 유출 및 손실, 불완전한 데이터 삭제, 격리(isolation) 실패
개인정보 유출 및 손실, 불완전한 데이터 삭제, 격리(isolation) 실패
o 운영관리 측면
서비스 비가용성 및 중단, 보안사고 처리, 공급망 취약성
서비스 비가용성 및 중단, 보안사고 처리, 공급망 취약성
▶ 인증 취득시 기대효과
클라우드 서비스는 비용의 효과성과 이동성의 장점으로 인하여 전 세계적으로 수요가 급증하고 있으며, 이로 인하여 산업의 성장성이 높은 분야이다. 블루오션인 클라우드 서비스에서 CLS 인증취득을 통해 정보보안에 대한 신뢰성을 확보할 수 있다.
ISO 27001에 기반한 정보보안관리체계를 운영하고 있는 조직 중 클라우드 관련 이슈가 있는 조직이 ISO 27017 국제 표준의 요구사항을 추가로 반영한다면, 전세계 어느 곳에서도 일관된 인정을 받을 수 있는 통합된 시스템의 운영이 가능할 것이다.
ISO/IEC 27017은 사업운영에 장애가 되는 법적 소송이나 분쟁, 그리고 자신들의 브랜드에 대한 타격으로부터도 보호 받을 수 있다.
클라우드 서비스 제공자 관점에서는 객관적이고 공정한 클라우드 보안인증을 통해 이용자의 신뢰도 향상 및 제공자의 정보보호 수준 향상에 기여할 수 있다.
컨설팅 : ISMS, ISO27001 GDPR,PCI-DSS
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com
070-7867-3721, ismsbok@gmail.com