통제항목?

ISO 27001의 통제항목은 조직의 정보보호 경영시스템(ISMS)을 구현하고 유지하기 위한 규칙과 조치들로 구성되어 있습니다. 2022년 버전 기준으로 부록 A에 총 93개의 통제항목이 있으며, 크게 4개의 영역으로 분류됩니다.

ISO 27001 통제항목 4개 영역

1. 조직적 통제 (Organizational Controls)
   • 조직 내 정보보호 정책 수립, 역할과 책임 정의, 인력 보안, 공급자 관계, 위험 관리 등
   • 예: 정보보호 정책, 정보보호 역할 및 책임, 직무 분리, 프로젝트 관리 내 보안
2. 인원 통제 (People Controls)
   • 직원의 입사부터 퇴사까지 보안 유지를 위한 교육, 인식 제고, 권한 통제 등
   • 예: 임직원 보안 교육, 인적자원 보안 절차
3. 물리적 통제 (Physical Controls)
   • 물리적인 접근 통제, 장비 보호, 환경 보안, 시설 출입 관리
   • 예: 출입 통제, 장비 보호 방안
4. 기술적 통제 (Technical Controls)
   • 접근통제, 암호화, 네트워크 보안, 시스템 개발/유지보수, 정보전송 보안
   • 예: 사용자 접근 관리, 암호화 정책, 악성코드 방지, 로그 관리

주요 통제항목 예시

• 정보보호 정책의 수립과 검토
• 내부 조직 내 보안 책임자 지정 및 직무 분리
• 자산 식별 및 관리
• 인적자원 보안 (교육, 권한 부여 및 회수)
• 접근 통제 (사용자 관리, 접근 권한)
• 암호화 및 키 관리
• 운영 보안 (백업, 악성코드 관리)
• 통신 보안 (네트워크 보안, 전송 보안)
• 정보보안 사고 관리
• 사업연속성 관리 및 복구 계획
• 법적 요구사항 및 계약 준수

이 93개의 통제항목은 조직이 식별한 정보보안 위험에 따라 선택적으로 적용하여 정보보호를 강화하는 수단으로 활용됩니다. 또한, 각 항목은 정책, 절차, 기술적 조치 등을 포함하여 조직이 정보보안 목표를 달성할 수 있도록 합니다.

 

요약:

• ISO 27001 통제항목은 총 93개(2022년 기준)
• 4대 영역: 조직적, 인원, 물리적, 기술적 통제
• 정보보호 정책 수립부터 기술적 보안까지 포괄
• 조직 환경과 위험에 맞게 선택 적용함