보안 표준 관련 중요 개정
지속적인 통제: 정보보호시스템 통제와 관련하여 새롭게 출시된 지침사항
새롭게 개정된 국제 사이버보안 표준은 정보 보안 전문가가 최신 정보 보안 위험을 해결하기 위해 정보 보안 통제를 고려하고 구현하는 것을 도와드립니다. 이번 블로그 포스트에서는 개정된 표준의 내용과 기업이 이를 사용해 얻을 수 있는 이점이 무엇인지 살펴봅니다.
데이터 보안은 모든 조직에게 필수적입니다. 현재 기술과 사이버보안 위험의 변화 속도를 감안할 때, 변화하는 정보 보안 환경에 맞춰 시스템과 프로세스를 최신으로 유지하는 것이 조직의 우선순위가 되어야 합니다.
ISO/IEC 27002:2022 정보 보안, 사이버보안 및 개인정보보호 – 정보보안통제는 새롭게 개정된 국제표준으로, BS EN ISO/IEC의 요건에 기반하여 정보보호시스템(ISMS) 내에서 사용할 보안 통제를 선택하고 구현하는 것에 대한 지침을 제공합니다.
해당 표준이 개정되면서 보안 통제 관리에서 속성을 사용하는 현대적인 접근 방식이 가능해집니다. 이번 개정에는 주제와 속성 사용이 포함되며, 현재 정보 보안 문제 및 관행을 반영하도록 후보 통제 업데이트가 포함됩니다. ISO/IEC 27002:2022 표준은 모든 규모와 부문의 기업에게 차세대 보안 통제 지침을 제공합니다. 이 지침은 현대적이고, 간편하며 다용도로 사용할 수 있도록 하는 것을 목표로 하며, 조직이 스스로 적합한 보안 통제를 선택하고 그 범위를 설정할 수 있습니다.
ISO/IEC 27002 표준과 BS EN ISO/IEC 27001 표준을 함께 사용하는 방법
BS EN ISO/IEC 27001은 조직이 효과적으로 정보보호시스템을 운영하는 데 필수적인 구성 요소와 구조를 제공합니다. 이러한 필수 구성 요소 중 하나는 적절한 정보 보안 통제를 배포하는 것입니다. 조직의 위험 프로필 및 니즈에 따라 통제사항을 신중하게 평가하고 고려해야 하며, 새로운 ISO/IEC 27002는 가장 적절한 통제 집합을 제공합니다.
정보 보안 통제에 관한 ISO/IEC 27002는 조직이 정보보호시스템 내에서 인식된 정보 보안 통제를 결정하고 구현하는 데 도움이 되는 지침 문서 역할을 합니다. 이 표준 내 지침은 국제 및 영국 산업전문가 위원회에서 개발하였으며, 국제적으로 합의한 모범 사례를 기반으로 작성되었습니다.
변경 사항
앞으로는 ISO/IEC 27002:2022를 “실행 지침”으로 설명하지 않지만, 의도하는 목적은 그대로입니다. 여전히 “참조 안내서”의 역할을 하며, 정보 보안 통제를 설명할 수 있는 방법에 대해 포괄적으로 안내하고, 참조를 위한 정보 보안 통제 집합을 포함합니다.
새로 개정된 표준은 필요한 통제를 간과하지 않고 지침을 4가지 핵심 영역으로 통합해 기업이 더 쉽게 채택할 수 있도록 하는 것이 목표입니다. 4가지 통제 영역은 조직, 인력, 물리적, 기술적 제어입니다.
결과적으로 개정된 표준은 기존 통제를 재구성하여 보안 통제 수가 114개에서 93개로 감소했습니다. 또한 더 이상 모범 사례를 반영하지 않는 일부 통제를 제거하였습니다.
11개의 신규 통제가 도입되었고, 24개의 통제가 병합되었으며, 58개의 통제가 지난 ISO/IEC 27002 표준에서 업데이트되었습니다. 이는 위협 인텔리전스, 클라우드 서비스 사용을 위한 정보 보안, 데이터 유출 방지를 포함하는 기술 및 산업 관행의 발전을 통제에 반영하기 위해서입니다. 이를 통해 사이버 공격의 특성이 변화해도 기업은 정보 보안을 지속적으로 통제할 수 있습니다.
IST 33 의장인 스티브 왓킨스는 “ISO/IEC 27002의 업데이트는 통제 옵션과 설명을 최신으로 업데이트하고 주제와 속성의 개념을 도입해, 조직이 사이버보안 위험을 관리하기 위해 통제를 선택하고 배포할 때 도움이 된다.”라고 말합니다.
BS EN ISO/IEC 27002:2013의 이전 버전 사용자가 업데이트된 2021 지침을 적용하는 방법을 알 수 있도록 새로운 27002 부록 A에서 속성을 사용하여 통제의 다양한 보기를 만드는 방법을 보여줍니다. 또한 새롭게 부록 B에서 2013년판 통제 식별자에 대한 참조를 제공해 이전 버전과 호환하여 사용할 수 있습니다.
기업이 이런 변화를 채택해야 하는 이유
코로나 19 팬데믹으로 인해 많은 직원이 계속해서 하이브리드 업무 형태에 적응하고 전환하면서 대부분의 기업이 디지털 전환에 속도를 내고 클라우드 인프라에 더욱 의존하게 되었습니다.
조직이 이렇게 급격한 변화에 적응하기 위해 방법을 찾는 동안 사이버범죄는 훨씬 더 정교한 기술을 사용하여 새로운 시스템 내 취약점을 악용할 방법을 연구하고 있습니다.
팬데믹 동안 디지털로 전환한 작업장 및 일상적인 기업 운영의 수를 생각할 때, ISO/IEC 27002:2022가 오늘날의 고위험 환경에서 조직이 효과적인 정보보호시스템을 갖추도록 지원하는 방법은 무엇일까요?
중요한 것은 표준을 사용하면 조직이 현재 환경에서 최신 정보 보안 통제를 식별, 구현하고 관리할 수 있다는 것입니다. 이러한 통제에는 정책, 규칙, 프로세스, 절차, 조직 구조, 소프트웨어, 하드웨어 솔루션이 포함됩니다.
기업은 지속 가능하면서 정보보호관리 시스템의 전체적인 적합성을 높이는 데 필요한 적절하고 비례하는 통제를 찾을 수 있습니다.
이번 개정된 표준의 이점을 최대한 활용하기 위해 각 조직은 ISO/IEC 27002:2022에서 인식된 새로운 후보 통제 집합을 각자의 변화하는 니즈에 맞춰 검토하고 고려해야 합니다.
더 알아보시려면 하단 배너를 클릭하십시오.
ISO/IEC 27002:2022 개정판 관련 FAQ
관련 BSI 웹페이지 바로가기
문의사항
ISO/IEC 27002에 관련한 문의사항이 있으시면 하단의 연락처로 연락주십시오.
카카오톡에서 BSI Korea 친구추가 하시고,
최신 표준 소식과 교육 할인 정보를 무료로 받아보세요!
BSI 블로그에 개재된 모든 글의 무단 복사 및 재배포를 금지합니다.
반드시 출처를 남겨주세요.
- 1901년에 설립되어 현재 120년의 역사를 보유한, 세계 최초의 국가표준 제정기구
- ISO(국제표준화기구)의 창립 멤버로서, ISO 이사회 및 CEN(유럽표준화위원회) 이사회의 영구 이사 자격 보유
- ISO 9001(품질경영시스템), ISO 14001(환경경영시스템), ISO 27001(정보보호경영시스템) 등 주요 국제표준의 근간 문서를 다수 발행
- 영국의 왕실 인정 기구(Royal Charter)이자, 영국 국가표준 제정기구(NSB)
- 표준에 대한 가장 경험이 풍부한 기관으로서, 전세계 193개국 86,000여 고객과 협업
- 미국 및 영국 시장점유율 1위에 해당하는 국제표준 인증기관으로서, 조직의 리스크관리, 성과개선, 비용절감, 지속가능성 보장을 지원하기 위한 표준 개발, 인증, 심사, 교육 전문 기관
- 전세계 70여 BSI 사무소 보유로 글로벌 사업장 동시 대응 가능 및 브렉시트에 따른 시장 변화를 즉각 지원 가능한 거의 유일한 기관