ISO 27001 전환에 대해 알아보아요
지난 2013년에 ISO 27001 규격의 마지막 버전 배포 이후에, 정보보안 컨셉 및 관행은 급격히 증가하였습니다.
비즈니스 데이터의 보안에 영향을 미쳤던 2013년 표준까지 이어진 주요 위협 중에는 서비스 거부(DoS), 맬웨어 및 스파이웨어가 있었습니다.
그 이후로 위협이 발전하여 조직 운영에서 더 유능하고 전문적이 되었습니다. 팬데믹으로 인해 기업 및 데이터에 대한 위협이 조직 범죄 조직 및 국가와 같은 행위자에 의해 보다 발전된 랜섬웨어 방법으로 이동하고 있습니다.
그래서 ISO 27001:2022의 주요 변경사항은 무엇인가요?
첫째로, 명칭이 변경되었습니다: '정보보안, 사이버보안 및 프라이버시 보호 - 정보보안경영시스템 - 요구사항'.
명칭 변경은 정보 보안, 사이버 보안 및 개인정보 보호 간의 유대를 강조합니다. 중요한 시스템과 민감한 정보를 사이버, 물리적 및 혼합 다중 벡터 공격으로부터 보호하는 관행은 데이터 보호에 직접 연결되어 회사로서 안전하게 유지하려는 정보가 그대로 유지되도록 합니다.
이것은 항상 중요했지만 원격 작업의 급속한 성장과 클라우드 기반 솔루션에 대한 수요로 인해 지금은 훨씬 더 널리 퍼져 있습니다.
ISO 27001:2022 4-10항까지 일부 변경사항이 있었습니다. 하지만, 또한 조직, 용어, 단어 순서 및 일부 요구사항 명확화 관련 일부 개정사항이 있었습니다.
예를 들어:
하위 조항/절 추가:
-
4.2 이해관계자의 니즈 및 기대 이해
-
6.2 정보보안 목표와 정보보안 목표 달성 기획
-
9.3 경영검토
명확화 추가:
-
5.3 조직의 역햘, 책임 및 권한. 특히, 조직과의 의사소통
-
6.1.3 정보보안 리스크 처리. 비고 추가.
6.3항 변경의 기획이 신규 하위절로 추가되어, 정보보안 경영시스템의 일부로써 고려 및 실행될 필요가 있음을 명시해야 한다.
개정 규격의 가장 큰 변화는 부속서 A 통제로써, 이는 ISO 27002에 완전히 명시되어 있다.
기존 14개 통제 그룹 및 목표는 더 이상 존재하지 않으며 다음의 4가지 통제 그룹으로 대체되었다:
-
조직
-
인원
-
물리적
-
기술적
총 통제수는 114에서 93개로 감소하였다.
삭제된 통제는 없지만 여러 통제가 통합되어 11개의 신규 통제가 추가되었습니다. 4개의 통제 그룹은 '테마'로 알려져 있으며 이를 더욱 발전시키기 위해 속성의 사용을 제안하지만 이러한 속성을 사용할 의무는 없습니다.
부속서 A의 새로운 통제들은 추가사항들이 많이 필요하며, ISO 27001을 업데이트 하는데 도움이 되며, 우리의 현재 정보 환경에 보다 쉽게 맞출 수 있습니다.
새로운 통제들은 다음을 포함합니다:
-
클라우드 서비스 활용을 위한 정보보안
-
모니터링 활동
-
위협 인텔리전스
-
비즈니스 연속성을 위한 ICT 준비 상태
-
물리적 보안 모니터링
-
형상 관리
-
정보 삭제
-
데이터 마스킹
-
데이터 유출 보호
-
웹 필터링
-
보안 코딩
아마도 귀사에서 이미 이 중 여러가지를 실행하고 계실 것이며, ISMS에 적용만 하면 될 것입니다.
항상 NQA 팀은 전환 프로세스 동안 귀사를 지원할 것입니다. 질문 사항이 있거나 도움이 필요한 경우, 우리는 항상 도울 것입니다:
-
무료 웨비나 - 2023년 3월 10일 오전 11시에 NQA의 정보보안 및 데이터 개인정보보호 관리자인 James Keenan과 NQA의 정보 보안 수석 심사원인 David Nutbrown이 함께하는 웨비나에 참여하여 새 버전의 ISO 27001 변경 사항에 대해 자세히 설명합니다. – 여기에서 등록하세요.
-
기술 분석 및 지침 - NQA는 몇개월 내 다양한 추가 콘텐츠를 제공할 것입니다. NQA 뉴스레터를 구독하여 최신 정보를 받으세요.
-
교육훈련 - NQA는 참석자들로 하여금 원활한 규격전환을 보장하기 위한 모든 관련정보를 보유함을 보장하기 위해 많은 규격전환 과정을 개최합니다 – 여기에서 교육과정을 등록하세요.