ISO/IEC 27000 Information technology – Security techniques Information security management systems Overview and vocabulary
ISMS family of standards Agenda ISMS Ⅰ ISMS family of standards Ⅱ
3.2. 정보보호 관리체계란? 정보보호 관리체계는 정보 자산을 보호하기 위한 목적으로 조직에 의해 전체적으로 관리되는, 정책 절차 가이드라인 관련된 자원(인적 자원, 투자와 보안 기술)과 활동들로 구성. 정보보호 관리체계는 비즈니스 목표를 달성하기 위해 조직의 정보 보안을 수립하고, 구현하고, 운영하고, 모니터링하고, 검토하고, 유지하고, 향상하기 위한 체계적인 접근 방법 2
3.2. 정보보호 관리체계란? 정보보호 관리체계는 효과적으로 위협과 위험을 관리하기 위해 설계된 위험 평가와 조직의 위험 수용 수준을 기반으로 한다. 정보보호 관리체계의 성공적인 구현을 위한 기초 원칙 정보 보안에 대한 필요성 인식 정보 보안에 대한 책임 할당 경영 의지와 이해 관계자의 이익 통합 사회적 가치 향상 수용 가능한 위험 수준에 도달하기 위해 적절한 통제를 결정하는 위험 평가 네트워크와 정보 시스템의 핵심적 요소로써 보안 통합 정보 보안 사고의 적극적인 예방과 탐지 정보 보안 관리에 대한 포괄적인 접근을 확실히 함. 지속적인 정보보안에 대한 재평가와 적절한 수정 3
3.3. 정보보호 관리체계의 표준 프로세스 PDCA – Plan, Do, Check, Act 1. 계획 – 목표 설정과 계획 수립 (조직 상황 분석, 총체적인 목표 수립과 대상 설정, 달성 위한 계획 개발) 2. 실행 – 계획 실행 (하기로 했던 것 하기) 3. 확인 – 결과 측정 (계획했던 목표를 달성했는지에 대한 측정과 모니터링) 4. 조정 – 수정과 향상 활동 (실수로부터 보다 나은 결과를 달성하기 위한 활동 향상을 배움.)
3.4. 왜 정보보호 관리체계가 중요한가? 정보 보안 = 보안 기술? 솔루션? : 제한적이며 통제 효과가 없을 수도 있음. 정보 보안 = 보안 기술? 솔루션? : 제한적이며 통제 효과가 없을 수도 있음. 지속성 기반으로 위협에 대해 적절한 보호에 대한 더 높은 보증 수준 달성. 정보 보안 위험을 식별하고 평가하며, 적용 가능한 통제 수단을 선택하고 적용하며, 그것의 효과성을 측정하고 향상시키기 위한 구조화되고 포괄적인 프레임워크 유지 통제 환경의 지속적인 향상과 효과적으로 법적 규제 준수 달성.
3.5. 정보보호 관리체계의 구축, 모니터링, 유지 및 향상 정보 자산과, 정보자산과 연관된 정보 보안 요구사항의 식별 정보 보안 위험 평가와 처리 수용 가능한 수준으로 위험을 관리하기 위해 적절한 통제 선택 및 구현 정보 자산과 연관된 통제의 효과성을 모니터링, 유지 및 향상 조직의 전략과 비즈니스 목표 내에서 혹은 위험의 변화를 식별하기 위해서 지속적으로 반복한다.
3.5.2. 정보 보안 요구사항의 식별 정보 자산과 그 가치 식별 정보 처리, 저장, 전송에 대한 비즈니스의 필요 법적, 규제, 계약 요구사항 등
3.5.3. 정보 보안 위험 평가 Risk = likelihood (= Threat X Vulerability) X Impact - 위험 평가는 조직에 관련된 목표와 위험 수용 수준에 대한 기준에 대해 위험을 식별, 정량화와 우선 순위를 결정해야만 한다. - 그 결과로부터 정보 보안 위험을 관리하고, 이 위험으로부터 보호하기 위해 선택된 통제를 구현하기 위해 적절한 경영층의 행동과 우선 순위를 가이드하고 결정해야만 한다. - 위험 평가는 위험의 중요성을 결정하기 위한 위험 기준에 대해 예상되는 위험과 비교하는 프로세스와 위험의 등급을 예상하는 시스템적인 접근 방식을 포함해야만 한다. 위험 평가는 정보 보안 요구사항과 위험 상황의 변화를 설명하기 위해 주기적으로 수행되어야만 한다. 위험 평가는 비교될 수 있고, 재현 가능한 결과를 만들어 내야 함.
3.5.4. 정보 보안 위험 처리 위험의 처리를 고려하기 전에 조직은 위험이 수용 가능한지 혹은 그렇지 않은지를 결정하기 위한 기준을 결정해야만 한다. 위험 통제 위험 수용 위험 회피 위험 전가
3.5.5. 통제의 선택과 구현 통제는 수용 가능한 수준으로 위험을 줄인다는 것을 확실히 해야만 한다. 국가적, 국제적 법 규제 요구사항과 제약 조건 조직 목표 운영 요구사항과 제약 조건 줄여야 하는 위험과, 조직의 요구사항과 제약 조건에 비례하여 남아 있는 위험과 관련하여 구현 및 운영 비용 정보 보안 사고로부터 발생될 수 있는 손실에 대해 통제 구현 및 운영에 소요되는 투자 비용과의 균형 필요
3.5.6. 정보보호 관리체계의 효과성에 대한 모니터링, 유지 및 향상 정책과 목표에 대한 성과 모니터링과 평가, 그리고 경영층의 검토를 위해 결과 보고를 통해서 정보보호 관리체계의 유지와 향상된다. 정보보호 관리체계에 대한 검토는 관리체계 범위 내에서 위험을 처리하기에 적절한 특정 통제를 포함하는지를 확인한다. 또한, 모니터링 부분에 대한 기록을 토대로 조정, 예방 및 향상을 위한 조치들에 있어 검토와 추적성에 대한 증거를 제공한다.
3.6. 정보보호 관리체계의 핵심 성공 요소(CSF) 비즈니스 목표와 연계된 정보 보안 정책, 목표와 활동 조직 문화와 부합하는 정보 보안 설계, 구현, 모니터링, 유지와 향상을 위한 접근 방법과 프레임워크 특히 최고 경영층을 포함하여, 모든 수준의 경영층으로부터 “가시적인” 지원과 지지 정보 보안 위험 관리의 실행을 통해 달성한 정보 자산 보호 요구사항에 대한 이해 정보 보안 정책과 표준 등과 그에 상응하는 행동을 장려하기 위해 모든 임직원과 다른 모든 관련된 조직들이 가져야 할 정보 보안 의무를 알려주기 위한 효과적인 정보 보안 인식, 훈련과 교육 프로그램. 효과적인 정보 보안 사고 관리 프로세스 효과적인 비즈니스 연속성 관리 접근 방식 정보보안 관리체계 내의 성과를 평가하기 위해 사용되는 측정 시스템과 향상을 위한 제안과 피드백.
3.7. 정보보안 관리체계 표준의 이점 정보보안 관리체계 구현을 통한 주요 이점은 정보 보안 위험의 감소이다. 정보보호 관리체계 표준의 채택을 통해 지속적인 정보보안의 성공적인 유지를 달성할 수 있다. 조직의 요구사항을 충족하는 포괄적이고 비용 효과적이며, 가치 창출적이고, 통합되었으며, 연계된 정보보안 관리체계의 특정, 구현, 운영 및 유지 프로세스를 지원하는 구조화된 방식 제공. 정보 보안의 전체적인 관리 상에서의 비즈니스와 IT 소유자들을 교육하고 훈련시키는 것을 포함하여 기업 위험 관리와 거버넌스의 문맥 내에서 정보 보안 관리로의 접근을 응답 가능한 방식으로 지속적으로 관리 및 운영함에 있어 경영층을 지원. 특정 환경에 적절한 관련된 통제를 적용하고 향상하며, 내외부의 변화에 직면해서도 통제들을 유지하기 위한 척도를 조직에 제공함으로써 규정되지 않는 방식으로 국제적으로 수용되는 좋은 정보 보안 사례의 증진. 준수되는 정보보호 관리체계와 함께 비즈니스 파트너들과도 비밀 정보를 다루기가 좀더 쉽게 만들어 주며, 정보보안에 대한 공통의 언어와 개념적인 기반 제공 조직 내 관련자들의 신뢰 증대 사회적 요구사항과 기대 만족 정보 보안 투자에 있어 보다 효과적인 경제성 관리
4. 정보보안 관리체계 표준들
ISO/IEC 27005 – FAIR Integration Model
Open Information Security Management Maturity Model (O-ISM3)
Enterprise Security Program Framework & Architecture
IBM Security Framework
NIST CyberSecurity Framework
End of Document