보안 표준 관련 중요 개정

지속적인 통제: 정보보호시스템 통제와 관련하여 새롭게 출시된 지침사항

새롭게 개정된 국제 사이버보안 표준은 정보 보안 전문가가 최신 정보 보안 위험을 해결하기 위해 정보 보안 통제를 고려하고 구현하는 것을 도와드립니다. 이번 블로그 포스트에서는 개정된 표준의 내용과 기업이 이를 사용해 얻을 수 있는 이점이 무엇인지 살펴봅니다.

데이터 보안은 모든 조직에게 필수적입니다. 현재 기술과 사이버보안 위험의 변화 속도를 감안할 때, 변화하는 정보 보안 환경에 맞춰 시스템과 프로세스를 최신으로 유지하는 것이 조직의 우선순위가 되어야 합니다.

ISO/IEC 27002:2022 정보 보안, 사이버보안 및 개인정보보호 – 정보보안통제는 새롭게 개정된 국제표준으로, BS EN ISO/IEC의 요건에 기반하여 정보보호시스템(ISMS) 내에서 사용할 보안 통제를 선택하고 구현하는 것에 대한 지침을 제공합니다.

해당 표준이 개정되면서 보안 통제 관리에서 속성을 사용하는 현대적인 접근 방식이 가능해집니다. 이번 개정에는 주제와 속성 사용이 포함되며, 현재 정보 보안 문제 및 관행을 반영하도록 후보 통제 업데이트가 포함됩니다. ISO/IEC 27002:2022 표준은 모든 규모와 부문의 기업에게 차세대 보안 통제 지침을 제공합니다. 이 지침은 현대적이고, 간편하며 다용도로 사용할 수 있도록 하는 것을 목표로 하며, 조직이 스스로 적합한 보안 통제를 선택하고 그 범위를 설정할 수 있습니다.

ISO/IEC 27002 표준과 BS EN ISO/IEC 27001 표준을 함께 사용하는 방법

BS EN ISO/IEC 27001은 조직이 효과적으로 정보보호시스템을 운영하는 데 필수적인 구성 요소와 구조를 제공합니다. 이러한 필수 구성 요소 중 하나는 적절한 정보 보안 통제를 배포하는 것입니다. 조직의 위험 프로필 및 니즈에 따라 통제사항을 신중하게 평가하고 고려해야 하며, 새로운 ISO/IEC 27002는 가장 적절한 통제 집합을 제공합니다.

정보 보안 통제에 관한 ISO/IEC 27002는 조직이 정보보호시스템 내에서 인식된 정보 보안 통제를 결정하고 구현하는 데 도움이 되는 지침 문서 역할을 합니다. 이 표준 내 지침은 국제 및 영국 산업전문가 위원회에서 개발하였으며, 국제적으로 합의한 모범 사례를 기반으로 작성되었습니다.

변경 사항

앞으로는 ISO/IEC 27002:2022를 "실행 지침"으로 설명하지 않지만, 의도하는 목적은 그대로입니다. 여전히 “참조 안내서”의 역할을 하며, 정보 보안 통제를 설명할 수 있는 방법에 대해 포괄적으로 안내하고, 참조를 위한 정보 보안 통제 집합을 포함합니다.

새로 개정된 표준은 필요한 통제를 간과하지 않고 지침을 4가지 핵심 영역으로 통합해 기업이 더 쉽게 채택할 수 있도록 하는 것이 목표입니다. 4가지 통제 영역은 조직, 인력, 물리적, 기술적 통제입니다.

결과적으로 개정된 표준은 기존 통제를 재구성하여 보안 통제 수가 114개에서 93개로 감소했습니다. 또한 더 이상 모범 사례를 반영하지 않는 일부 통제를 제거하였습니다.

11개의 신규 통제가 도입되었고, 24개의 통제가 병합되었으며, 58개의 통제가 지난 ISO/IEC 27002 표준에서 업데이트되었습니다. 이는 위협 인텔리전스, 클라우드 서비스 사용을 위한 정보 보안, 데이터 유출 방지를 포함하는 기술 및 산업 관행의 발전을 통제에 반영하기 위해서입니다. 이를 통해 사이버 공격의 특성이 변화해도 기업은 정보 보안을 지속적으로 통제할 수 있습니다.

IST 33 의장인 스티브 왓킨스는 “ISO/IEC 27002의 업데이트는 통제 옵션과 설명을 최신으로 업데이트하고 주제와 속성의 개념을 도입해, 조직이 사이버보안 위험을 관리하기 위해 통제를 선택하고 배포할 때 도움이 된다.”라고 말합니다.

BS EN ISO/IEC 27002:2013의 이전 버전 사용자가 업데이트된 2021 지침을 적용하는 방법을 알 수 있도록 새로운 27002 부록 A에서 속성을 사용하여 통제의 다양한 보기를 만드는 방법을 보여줍니다. 또한 새롭게 부록 B에서 2013년판 통제 식별자에 대한 참조를 제공해 이전 버전과 호환하여 사용할 수 있습니다.

기업이 이런 변화를 채택해야 하는 이유

코로나 19 팬데믹으로 인해 많은 직원이 계속해서 하이브리드 업무 형태에 적응하고 전환하면서 대부분의 기업이 디지털 전환에 속도를 내고 클라우드 인프라에 더욱 의존하게 되었습니다.

조직이 이렇게 급격한 변화에 적응하기 위해 방법을 찾는 동안 사이버범죄는 훨씬 더 정교한 기술을 사용하여 새로운 시스템 내 취약점을 악용할 방법을 연구하고 있습니다.

팬데믹 동안 디지털로 전환한 작업장 및 일상적인 기업 운영의 수를 생각할 때, ISO/IEC 27002:2022가 오늘날의 고위험 환경에서 조직이 효과적인 정보보호시스템을 갖추도록 지원하는 방법은 무엇일까요?

중요한 것은 표준을 사용하면 조직이 현재 환경에서 최신 정보 보안 통제를 식별, 구현하고 관리할 수 있다는 것입니다. 이러한 통제에는 정책, 규칙, 프로세스, 절차, 조직 구조, 소프트웨어, 하드웨어 솔루션이 포함됩니다.

기업은 지속 가능하면서 정보보호관리 시스템의 전체적인 적합성을 높이는 데 필요한 적절하고 비례하는 통제를 찾을 수 있습니다.

이번 개정된 표준의 이점을 최대한 활용하기 위해 각 조직은 ISO/IEC 27002:2022에서 인식된 새로운 후보 통제 집합을 각자의 변화하는 니즈에 맞춰 검토하고 고려해야 합니다.