구분

ISO 27001

PCI DSS

주체

ISO 표준화 기구

PCI SSC (최초설립 참여사: VISA, Master, JCB, AMEX, Discover 이후 Union Pay사등도 참여)

ISO 27001:2013 Information Security Management System

Payment Card Industry Data Security Standard

인증의 성격

ISO 27001의 인증은 정보보호경영시스템이 구축되고 효과적으로 운영되고 있음을 객관적으로 확인할 수 있는 글로벌 정보보호 스탠다드 인증

PCI는 카드데이터가 안전하게 관리되고 있음을 객관적으로 확인할 수 있는 카드 비즈니스의 글로벌 보안 스탠다드 증명

대상

– 인증을 취득하고자 하는 조직의 비즈니스, 규모에 상관없이 모든 조직에 적용이 가능한 글로벌 스탠다드

– 카드 발급사, 매입사, PG 또는 VAN 및 가맹점과 서비스 프로바이드(카드데이터의 처리, 저장, 운영의 위탁서비스를 제공하는 회사)만을 대상으로 함

ISO 27001은 조직의 정보보호 체계를 유지하고 성숙도를 높이기 위해 자발적인 인증을 하는 경우가 많으며, 고객사의 요구 또는 세일즈 마케팅의 일환으로 인증을 유지하는 경우도 상당수 있음

PCI 의 경우에는 대부분이 이해관계자의 요구(예: 카드 브랜드사, 카드발급사, 매입은행 등)에 의해 의무적으로 받아야 하는 경우가 다수

요구사항

정보보호에 관련한 프로세스를 정의하고, 이에 대한 요건을 요구사항으로 명시

ISO 27001은 일반적인 표준화된 프로세스(프로세스와 보안통제 요건 118개)를 명시하며, 세부 사항(예: 기술적 상세 요건, 주기, 증적의 형태 등)은 요구하고 있지 않으며, ISO 27001 요건에 따라 조직이 상세 사항을 결정하여 이행하고 이에 대한 효과성을 검증하도록 요구함

카드데이터(PAN, Track Data, PIN 등)의 보호를 위해 특정 영역에 대한 기술적 요구사항을 명시

PCI DSS는 세부요건(400여개로 구성되어 있으며 예: 기술적 상세 요건, 주기, 증적의 구성을 명시)에 대하여 적용하고, 이행하는 것을 요구함

심사 진행 방법 및 절차

ISO 27001은 최초심사, 사후심사(6개월 또는 1년주기), 갱신심사(3년 주기)로 진행

ISO 심사원에 의해 이해여부를 인터뷰 및 현장심사로 확인하고 인증서를 발행

PCI DSS는 매년 On site audit을 통해 심사가 진행 (최초, 사후, 갱신 형태의 심사가 아님)되며 심사원은 이를 테스트, 관찰, 검증을 통하여 적합 여부를 확인하고 준수 증명서를 발행

PCI DSS는 모든 요건에 대한 준수가 완료되어 있어야만 Full compliant가 될 수 있으며, 현재 이행되지 않고 계획만 가지고 있는 건에 대해서는 인정해주지 않음 (이 경우에는 Partial 또는 Not compliant가 됨)

요건의 개정 주기

ISO 27001의 개정은 8년(2700:2005 -> 27001:2013) 걸리며, 다양한 업계의 best practice 프로세스가 반영되고 있음 (ISO 27001:2013)

PCI DSS는 minor 1년, major 3년 주기로 개정되고 있으며, 최신의 보안 기술, 취약점 등에 대한 대응 요건이 반영되어 지속적으로 업데이트되고 있음 (현재 버전  PCI DSS v3.2)