ISO 27002 발간 - 정보보안 규격 업데이트
ISO 27002:2022는 2022년 2월 16일에 발행되었습니다. ISO 27002:2017을 대체하며 정보 보안 표준의 구조가 근본적으로 변경되었습니다. 새로운 관리 틀은 이전 버전의 관리를 사용하는 동시에 현재 정보 보안 관행을 반영하는 것으로 간주될 수 있는 새로운 관리 틀을 추가합니다.
변경 사항은 다음에도 영향을 미칩니다:
-
ISO 27001:2013 – 정보 보안 경영시스템 - 부속서 A를 ISO 27002:2022의 새로운 관리 틀에 적용하기 위해 주로 ISO 27001이 긴급 변경되었습니다.
-
ISO 27017:2015 – 클라우드 서비스에 대한 ISO 27002를 기반으로 하는 정보 보안 관리를 위한 행동 강령
-
ISO 27018:2019 - PII 실행자 역할을 하는 공용 클라우드에서 개인 식별 정보(PII) 보호를 위한 실행 강령
-
ISO 27701:2019 – 개인정보보호 경영
재 구조화
이전 코멘트에서는 많은 관리가 삭제되었다고 제안했습니다. ISO 27002:2021 부속서 B에 제공된 매핑 테이블은 삭제된 관리가 없음을 보여줍니다. 그러나 분석 결과 일부 관리가 다른 관리와 병합된 경우 매우 최소화된 것으로 나타났습니다.
변경사항은 다음과 같습니다:
-
12개 관리 그룹 및 목표는 더 이상 존재하지 않습니다. 이는 목표 없이 4개 관리 그룹으로 대체되었습니다. 관리 그룹은 다음과 같습니다:
-
조직 관련 (5항)
-
인원 (6항)
-
물리적 (7항)
-
기술 (8항)
-
-
관리 사항이 114개에서 93개로 축소
-
19개 관리 사항들은 통합
-
11개 신규 관리 추가
컨트롤 범주를 테마라고 하며 각 컨트롤에는 속성 집합이 할당됩니다, 예를 들어:
테마와 속성은 사용자가 결정한 방향을 통해 관리를 구성하고 구조화하는 방법으로 제공됩니다. 컨트롤 자체와 관련이 없습니다.
관리 변경
NQA는 변경 사항에 대해 더 자세히 설명하는 웹 기사를 게시할 예정이지만, 매핑은 관리 이동을 보여줍니다.
FAQ
-
이는 가이드라인 문서이기 때문에 ISO 27002:2021로의 전환은 없습니다. ISO 27001에 대한 긴급 변경 사항은 2년 간의 전환을 거쳐 올해 5월에 발표될 예정입니다. 그러나 이는 IAF가 타임라인을 발표할 때까지 확인할 수 없습니다. 사전에 전환하는 고객은 여전히 ISO 27001:2013에 대한 심사를 받습니다.
-
ISO 27001:2013 6.1.3 c항 비고 2는 부속서 A에 추가 관리가 필요할 수 있다고 명시합니다. ISO 27002 개정판은 SoA에 포함될 추가 관리를 제공합니다. 단, 이는 반드시 리스크 기반이어야 합니다.
-
NQA는 IAF 일정이 알려지는 대로 전환 계획 및 전환 지침이 포함된 이메일을 통해 모든 ISO 27001:2013 고객에게 연락할 것입니다. 블로그, 기사 및 가이드를 포함하여 업데이트 및 조언을 위해 NQA 정보 보증 사업부 마이크로사이트에서 추가 정보를 활용할 수 있습니다.
-
일부 고객은 또한 개인정보보안경영시스템(ISO 27701:2019) 및/또는 ISO 27017 및 ISO 27018에 의해 정보보안경영시스템이 확장됩니다. ISO 27002:2022 또는 ISO 27001 긴급 변경에 따라 업데이트할지 여부에 대한 해당 표준에 대한 정보는 없습니다. 고객은 ISO 27001:2022로 전환되지만 확장된 SoA는 다음으로 덧붙여집니다.
-
확장된 ISO 27002:2017가 ISO 27002:2022로 직접 매핑하는 관리이므로, 이에 따라 변경되어야 합니다.
-
ISO 27002:2022변경사항에 영향을 받지 않는 ISO 27017, ISO 27018 및 ISO 27701에 의해 소개된 추가 관리.
-
업데이트 관련 기타 질문이나 우려사항이 있으시면 여기로 언제든 연락해주세요. IAF로부터 추후 정보를 얻는 경우 관련 변경사항 및 업데이트 제공을 위해 귀사와 의사소통할 것임을 약속합니다.