국제표준 정보보안 개론 #2 통제 프레임워크

1. 정보보안 통제의 구조

정보보안 위험은 위협이 정보자산 또는 그룹의 취약성을 악용하여 조직에 피해를 줄 수 있으므로 조직 및 이해 관계자는 정보보안 위험을 관리하는 것이 필요하다.

 

ISO 27002 정보보안 통제에서 사이버보안 통제 속성은 ISO 27002 사이버보안 프레임워크 또는 사이버보안 통제로 표현한다.

통제 프레임워크		통제 프레임워크 적용 방법
정보보안 통제	ISO/IEC 27001 ISO/IEC 27002	▶ ISO/IEC 27001 위험 기반 통제 원칙은 국제표준, 국가표준 등 통제 프레임워크를 권장함 ▶ Annex A 통제는 정보보안 통제의 포괄적인 통제 목록에 포함되어 있음 ▶ ISO/IEC 27001 Annex A 통제 프레임워크는 추가적인 통제를 권장함 ▶ ISO 27002:2022 정보보안, 사이버보안 통제 프레임워크
사이버보안 통제	ISO/IEC 27001 ISO/IEC 27002	▶ ISO 27002 사이버보안 프레임워크 구성은 5개 기능, 23개 카테고리, 108개 세부 카테고리, 프로파일(현재 목표), 4단계의 5가지 속성으로 구성되며, 조직의 환경에 따라 사이버보안 통제를 구현함
개인정보보호 통제	ISO/IEC 27001 ISO/IEC 27701	▶ ISO/IEC 27001 위험 기반 통제 원칙은 국제표준, 국가표준 등 통제 프레임워크를 권장함 ▶ ISO/IEC 27701 Annex A, B 통제는 추가적인 통제를 권장함
클라우드 보안 통제	ISO/IEC 27001 ISO/IEC 27017 ISO/IEC 27018	▶ ISO/IEC 27001 위험 기반 통제 원칙은 국제표준, 국가표준 등 통제 프레임워크를 권장함 ▶ ISO/IEC 27701 Annex A, B 통제는 추가적인 통제를 권장함

2. 정보보안 통제의 실무 지침

위험 평가에서 식별된 통제만 적용성 보고서(SOA)에 포함될 수 있으며, 위험 평가와 별개로는 보고서에 추가할 수 없다. 조직은 적용성 보고서의 정당성을 효과적으로 관리하기 위해 인증 기준에서 권장하는 추가 통제를 선택 및 구현하며, 이행 여부를 정기적으로 업데이트하는 것이 필요하다.

 

업무 처리 모범 규준은 조직의 보안 목적 및 목표에 따라 추가 통제와 섹터 통제에서 사이버보안 통제, 개인정보보호 통제, 클라우드 서비스 보안 및 개인정보보호 통제를 적합한 수준으로 선택 및 구현한다. 추가 통제 방법 및 통제 메커니즘은 ISO 27017, 27018, 27701, NIST CSF 등의 조직에서 위험 수용과 위험 감수 원칙에 따라 선택 및 구현할 수 있다.

 

통제 프레임워크 (ISO 27002)	통제 프레임워크 (NIST CSF)	핵심 포인트
속성 기반	ISO/IEC 27001 ISO/IEC 27002	▶ 114개 통제 항목에서 5가지 속성 기반으로 개정 ▶ Context 기반 ▶ 정보보안 통제 기반 추게 통제 - 개정된 통제 프레임워크 ▶ 국제표준, 국가표준 Best Practice Standard Reference Model 통제 구현
사이버보안 통제	ISO/IEC 27001 ISO/IEC 27002	▶ 정보보안 및 사이버보안 통제는 식별, 보호, 탐지, 대응, 복구의 5가지 핵심 개념으로 선택 및 구현할 수 있음 ▶ NIST 사이버보안 프레임워크 통합 ▶ ISO/IEC 27002 기반 통제 프레임워크 확장 및 추가 통제 ▶ 섹터 자동차 사이버보안 법규/규제에서는 조직의 사이버보안 위협 완화로 ISO/SAE 21434, ISO/IEC 27001, 27701 국제표준을 인증 참조 표준으로 입증을 권하고 있음
추가 통제 (클라우드 서비스 보안 개인정보보호 통제)	ISO/IEC 27017 ISO/IEC 27018 ISO/IEC 27701	▶ 클라우드 서비스 보안 및 개인정보보호 통제 권장 ▶ 클라우드 서비스 사업자 및 클라우드 서비스 이용자는 책임 공유 모델에 따라 추가 통제를 고려하여 구현함 ▶ 실무적 관점에서 클라우드 서비스 이용자 또는 사업자는 클라우드 사이버보안 위협에 대응하는 보안 통제를 필수적으로 구현해야 함

3. 정보보안 통제 메커니즘

ISO 27002 정보보안 통제에서 사이버보안 통제 속성은 ISO 27002 사이버보안 프레임워크 또는 사이버보안 통제로 표현한다. ISO 27002 국제표준의 명칭은 정보보안, 사이버보안, 개인정보보호 - 정보보안 통제이며, 사이버 공격을 예방, 탐지, 대응하는 것은 데이터 보호와 함께 고려되어야 한다.

 

ISO/IEC 27001 Annex A 및 추가 통제와 섹터 전체의 프레임워크는 다음과 같다.

 

 

NIST 사이버보안 프레임워크는 국제표준 사이버보안 표준과 호환되며, 참조 모델로 적용 및 구현할 수 있다.

 

최근 사이버 위협 피해로 사이버보안 통제가 충분하지 않기 때문에 사이버 리질리언스는 리질리언스 엔지니어링, 외부 충격, 사이버 공격 후에 복구하고, 원래 상태로 복구하는 시스템 또는 조직의 능력을 요구하고 있다.

 

실무를 적용하는 방법은 정보보안, 사이버보안, 개인정보보호 통제, 추가 통제 메커니즘을 이해하고 조직에 적용하는 것을 고려해야 한다.

 

조직은 추가 통제 메커니즘을 고려하지 않아 발생하는 정보보안 및 사이버보안 사고에 대해 위험을 수용하거나 감수해야 한다. 국제표준에서는 위험 완화 방법 및 통제 기법을 적극 권장하고 있다.

4. 정보보안 통제 메커니즘 개정

ISO 27002:2022 통제 메커니즘의 개정 사항

① ISO 27002:2013 정보보안 통제에서 정보보안, 사이버보안, 개인정보보호 통제가 확장된 부분이 개정의 핵심이다.

② 위험 평가와 처리 방법

⑴ 위험 평가와 위험 처리의 선택 및 구현 방법에서는 통제에 대한 속성이 개정되었다.

⑵ 사이버보안 속성에 따라 보호, 탐지, 대응, 복구의 사이버보안 통제를 구현할 수 있으며, NIST 사이버보안 추가 통제 개념을 통해 섹터 자율주행차 사이버보안 통제도 구현이 가능하다.