정보관리기술/정보보안

ISO/IEC 27017

아이티신비 2024. 1. 30. 11:00

문제2) ISO/IEC 27017(클라우드 서비스 정보보호 통제)을 설명하시오

 

답)

 

 

1. 클라우드 서비스 보안 국제 표준, ISO/IEC 27017 개념
  • 클라우드 서비스의 보안성 확보를 위해 ISO/IEC 27002에 명시된 통제 사항을 시행할 수 있도록 구체적인 가이드라인을 제공하는 국제 표준

 

2. ISO/IEC 27017 구성, 통합항목 및 확장 통제 항목

가. ISO/IEC 27017 구성
  • ISO 27002 의 14개 영역의 통제 항목 기반으로 클라우드 관련 통제 항목을 새롭게 구현
  • 클라우드 특화 세부 통제 항목 7개 확장 구현

 

나. ISO/IEC 27017 통제항목

도메인(14)
통제항목(35)
상세 내용
정보 보호 정책
  • 정보보안을 위한 관리 지시
  • 클라우드 정보보호 관리 정책 가이드
정보 보호 조직
  • 내부 조직
  • 클라우드 정보 보호 역할과 책임 정의
  • 의무의 분리
  • 권한, 프로젝트 관리
  • 모바일 디바이스 및 원격 근무
  • 모바일 디바이스 정책
  • 원격 근무 보안
인적 자원 보안
  • 고용 전
  • 고용 조건 및 계약
  • 고용 중
  • 책임 관리
  • 정보 보호 교육 및 훈련
  • 고용 종료 및 변경
  • 고용 종료 및 변경의 책임
자산 관리
  • 자산 책임
  • 자산 재고, 소유권, 수용, 반납
  • 정보 등급
  • 정보 등급, 라벨링, 통제
  • 매체 제어
  • 매체 관리, 폐기
접근 통제
  • 접근 통제의 사업 요구사항
  • 접근 통제 정책
  • 네트워크 접근 및 네트워크 서비스
  • 사용자 접근 관리
  • 사용자 등록/말소, 권한 관리
  • 사용자 책임
  • 사용자 비밀 인가 정보
  • 시스템 및 어플리케이션 접근 통제
  • 시스템 정보 접근 제한
  • 보안로그, 패스워드 관리
  • 응용 프로그램 권한 사용
암호화
  • 암호화 통제
  • 암호화 사용 통제 정책
  • 키 관리
물리적 및 환경 보안
  • 보안 영역
  • 물리적 보안 분리, 출입 통제
  • 보안 오피스, 시설
  • 외부 침입 보호
  • 장비
  • 장비 보호
  • 자원 유틸리티
  • 케이블 보호, 장비 유지보수
운영 보안
  • 운영 절치 및 책임
  • 운영 절차 문서화
  • 변경 관리, 가용성 관리
  • 멀웨어 보호
  • 멀웨어 대한 통제
  • 백업
  • 정보 백업
  • 로킹 및 모니터링
  • 이벤트 로킹
  • 로그 정보 보호
  • 관리자 및 운영자 로그
  • 운영 소프트웨어 통제
  • OS에 SW 설치
  • 기술적 취약점 관리
  • 기술적 취약점 관리
  • SW설치 제약
  • 정보 시스템 감사 고려
  • 정보 시스템 감사 통제
통신 보안
  • 네트워크 보안 관리
  • 네트워크 통제
  • 네트워크 서비스 보안
  • 네트워크 분리
  • 정보 전송
  • 정보 전송 정책 및 절차
  • 정보 전송 동의 등
시스템 도입, 개발 및 유지보수
  • 정보 시스템의 보안 요구사항
  • 정보 보안 요구 분석 및 상세
  • Public 네트워크에서의 응용 보호
  • 개발 및 공급 프로세스 보안
  • 개발 보안 정책
  • 시스템 변경 통제 절차 등
  • 테스트 데이터
  • 테스트 데이터 보호
공급자 관계
  • 공급자 관계의 정보보안
  • 공급자 관계의 정보 보호 정책
  • 겅급자 계약에서의 보안 등
  • 공급자 서비스 공급 관리
  • 공급자 서비스의 모니터링 및 검토
  • 공급자의 변경 관리
정보 보안 사고 관리
  • 정보 보안 사고 및 개선 관리
  • 책임 및 절차
  • 보안 이벤트의 보고 정보 등
업무 연속성 측면 정보 보안
  • 정보 보안 지속성
  • 정보 보안 지속성 계획
  • Redundancies
  • 정보 처리 시설의 가용성
준거성
  • 법 및 계약 요구사항 준수
  • 적용 가능한 법률 및 계약 요구 식별
  • 기혹 보호 등
  • 정보 보안 리뷰
  • 정보 보안의 독립적 검토
  • 보안 정책 및 표준 준수
  • 클라우드 서비스 사용자 및 제공자 관점에서의 클라우드 서비스의 보안 구현 가이드 제공

 

다. ISO/IEC 27017 확장 통제 항목

도메인
통제 항목
세부 통제 항목
정보 보호 조직
클라우드 서비스 공급자와 사용자 관계
  • 클라우드 컴퓨팅 환경에서의 역할과 책임 공유(CF. Shared Reponsibility Model)
자산 관리
자산의 책임성
  • 클라우드 서비스에서 고객 자산 삭제
접근 통제
공유된 가상 환경에서 클라우드 서비스 고객 데이터의 접근 제어
  • 가상 컴퓨팅 환경의 분리
  • 가상 머신 강화(Hardening)
운영 보안
운영 절차 및 책임
  • 관리자의 운영 보안
로킹 및 모니터링
  • 클라우드 서비스 모니터링
통신 보안
네트워크 보안 관리
  • 가상 및 물리적 네트워크에 대한 보안 관리 조정

 

3. 클라우드 보안을 위한 국내외 표준 현황

구분
표준
상세 설명
해외
ISO/IEC 27001
  • 정보보호 관리체계의 정책, 물리 보안, 접근 통제 등 정보보안 관리 요구사항 국제 표준
ISO/IEC 27002
  • 조직 내 정보 보안 관리의 시작, 실행, 유지, 개선에 대한 지침 및 가이드
ISO/IEC 27018
  • 클라우드 상의 개인정보 보호 측면의 지침을 정의한 국제 표준
국내
클라우드 보안 인증제(CSAP)
  • 클라우드 서비스 제공자가 제공하는 서비스에 대해 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 제 23조 제2랑에 따라 정보보호 기준의 준수여부를 평가·인증하는 제도
ISMS-P
  • 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관 증명하는 제도
  • 클라우드 관련 추가 통제 항목 인증
  • CSA STAR, CIS Benchmark, AICPA SOC 등 클라우드 상의 정보 시스템의 보안을 위한 표준 활용
  • ISO 27799, HIPAA, PCI-DSS 등 업종에 맞는 보안 체계 적용 가능
 

 

 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥

'정보관리기술 > 정보보안' 카테고리의 다른 글

접근제어, LDAP  (54) 2024.01.31
정보보호 관리 체계(Information Security Management System)  (1) 2024.01.31
블록 암호 모드  (0) 2024.01.30
정보보호 및 개인정보보호 인증제도  (2) 2024.01.28
접근 통제 모델  (3) 2024.01.28

'정보관리기술/정보보안'의 다른글

  • 현재글ISO/IEC 27017

관련글

티스토리툴바