ISO/IEC 27001:2022 표준이란 무엇인가요?
ISO(국제표준화기구)는 170개 국가 표준화 기구로 구성된 독립적인 비정부 국제기구입니다. ISO/IEC 27001은 ISO와 IEC(국제전기기술위원회)가 공동으로 발행하며 정보 보안 관리 시스템(ISMS)에 대한 세계에서 가장 잘 알려진 표준입니다. ISO/IEC 27001 표준은 모든 조직에 정보 보안 관리 시스템을 수립, 구현, 유지 및 지속적으로 개선하기 위한 지침을 제공합니다.
ISO 표준은 사이버보안 전문가들이 국제적으로 합의한 것으로 전 세계적으로 널리 인정받고 있습니다. ISO 인증은 모든 경제 부문(1차 부문뿐만 아니라 모든 종류의 서비스 및 제조업, 민간, 공공 및 비영리 조직 등)의 조직에서 사용할 수 있습니다.
ISO/IEC 27001을 준수한다는 것은 조직 또는 비즈니스가 소유하거나 취급하는 데이터의 보안과 관련된 위험을 관리하기 위한 시스템을 마련하고 이 시스템이 이 국제 표준에 명시된 모든 모범 사례와 원칙을 채택하고 있음을 의미합니다.
규정 | 현재 시행 중
DORA는 금융 서비스 디지털 운영 복원력의 각기 다른 측면을 해결하도록 설계된 5가지 핵심 축을 중심으로 구성되어 있습니다.
- ICT 리스크 관리 및 거버넌스: DORA는 경영진과 이사회 구성원이 디지털 운영 복원력을 효과적으로 제공하기 위해 ICT 위험 관리 프레임워크를 정의, 구현 및 유지 관리할 책임을 갖도록 합니다. DORA는 금융 기관이 ICT 위험을 효과적이고 신중하게 관리할 수 있는 내부 거버넌스 및 통제 프레임워크를 마련할 것을 의무화하고 있습니다.
- 인시던트 보고: 금융 서비스 조직은 공격을 평가하고 고객과 운영에 미치는 영향을 완화하며 당국에 보고하기 위해 ICT 관련 사고를 모니터링, 관리, 기록, 분류 및 보고하는 시스템을 구축해야 합니다.
- 디지털 운영 복원력 테스트: 금융 기관은 매년 종합적인 디지털 운영 복원력 테스트 프로그램을 구현하고 수행해야 합니다. 또한 DORA는 해당되는 경우 금융 기관이 디지털 운영 복원력 테스트에 ICT 제3자 제공업체의 참여를 보장해야 한다고 명시하고 있습니다.
- ICT 제3자 위험: DORA의 주요 강조점 중 하나는 ICT 제3자 리스크와 리스크 완화를 위한 역할입니다. 금융 기관은 여러 클라우드 제공업체와 같이 EU 외부에 있는 외부 ICT 제공업체에 크게 의존합니다. 따라서 금융 기관은 ICT 제3자 리스크를 ICT 리스크 관리 프레임워크의 필수 구성 요소로 포함시켜야 합니다.
- 정보 공유: DORA는 또한 업계의 디지털 운영 복원력을 강화하기 위해 사이버 위협 정보 및 인텔리전스에 대한 자발적인 정보 공유를 장려합니다.
ISO 표준은 사이버보안 전문가들이 국제적으로 합의한 것으로 전 세계적으로 널리 인정받고 있습니다. ISO 인증은 모든 경제 부문(1차 부문뿐만 아니라 모든 종류의 서비스 및 제조업, 민간, 공공 및 비영리 조직 등)의 조직에서 사용할 수 있습니다.
ISO/IEC 27001은 미준수에 따른 불이익이 없는 국제 표준입니다. 그러나 ISO/IEC 27001:2022 인증은 정보 보안 모범 사례를 구현하기 위해 조직이 성실히 노력했음을 보여줌으로써 데이터 유출 시 GDPR과 같은 규정에 따른 과태료에 대한 방어 수단을 제공할 수 있습니다.
ISO/EC 27001은 ISMS 수립을 위한 요건을 명시하는 반면, ISO/EC 27002는 ISMS 내에서 적용할 수 있는 세부적인 모범 사례와 통제 사항을 제공합니다. 가장 큰 차이점은 ISO/IEC 27001은 조직이 인증을 받을 수 있는 표준인 반면 ISO/IEC 27002는 인증을 받을 수 없다는 점입니다. 아래 표의 요건은 ISO 27001 및 ISO 27002에 모두 명시되어 있습니다.
탈레스가 ISO/IEC 27001:2022 규정 준수를 지원하는 방법
탈레스는 정보 보안 제어를 위한 부록 A에 명시된 필수 요건을 충족하여 조직이 ISO/IEC 27001:2022를 준수할 수 있도록 지원합니다. 탈레스는 애플리케이션 보안, 데이터 보안, 신원 및 액세스 관리라는 사이버보안의 세 가지 핵심 영역에서 포괄적인 사이버 보안 솔루션을 제공합니다.
ISO/IEC 27001:2022 규정 준수 솔루션
ISO 요건 지원: 8. 기술 제어
클라우드, 온프레미스 또는 하이브리드 모델에서 규모에 맞게 애플리케이션과 API를 보호합니다. 시장을 선도하는 제품군에는 분산 서비스 거부(DDoS) 및 악성 BOT 공격에 대한 웹 애플리케이션 방화벽(WAF) 보호, API 보안, 안전한 콘텐츠 전송 네트워크(CDN), 런타임 애플리케이션 자가 보호(RASP) 등이 있습니다.
ISO 요건 지원: 5. 조직적 통제 및 8. 기술적 통제
하이브리드 IT 전반에서 중요한 데이터를 검색 및 분류하고 암호화, 토큰화, 키 관리를 사용하여 저장 중이거나 이동 중이거나 사용 중이거나 어디서든 자동으로 보호합니다. 또한 탈레스 솔루션은 정확한 위험 평가를 위해 잠재적 위험을 식별, 평가, 우선순위를 지정합니다. 또한 비정상적인 행동을 식별하고 활동을 모니터링하여 잠재적인 위협을 식별하고 규정 준수를 확인하여 조직이 노력을 어디에 우선적으로 할당할지 결정할 수 있습니다.
ISO 요건 지원: 5. 조직 통제, 6. 인력 통제, 7. 물리적 통제, 8. 기술적 통제
고객, 직원, 파트너에게 애플리케이션과 디지털 서비스에 대한 원활하고 안전하며 신뢰할 수 있는 액세스를 제공합니다. 탈레스 솔루션은 세분화된 액세스 정책과 다중 인증을 통해 역할과 상황에 따라 내외부 사용자의 액세스를 제한하여 적절한 사용자가 적절한 리소스에 대한 액세스 권한을 적시에 부여받도록 보장합니다.
전자책
ISO 27001 정보 보안, 사이버보안 및 개인 정보 보호 표준 준수
탈레스가 ISO 27001 규정 준수 요건을 충족하는 데 어떻게 도움을 줄 수 있는지 전자책에서 상세한 내용을 읽어보세요.
관련 자료
기타 주요 데이터 보호 및 보안 규정
PCI HSM
의무 규정 | 현재 시행 중
PCI HSM 규격은 특히 결제 산업을 위한 HSM의 논리적·물리적 보안 준수 기준을 정의합니다. PCI HSM 규제 준수 인증은 이러한 기준을 충족하는 데 달려 있습니다.
DORA
규정 | 현재 시행 중
DORA는 금융 기관의 IT 보안을 강화하여 사이버 공격의 규모와 심각성이 증가하는 상황에서 유럽의 금융 부문이 회복력을 갖출 수 있도록 하는 것을 목표로 합니다.
데이터 유출 통지법
규정 | 현재 시행 중
전 세계 각국에서는 개인 정보 유출에 따른 데이터 유출 통지 요건을 제정하고 있습니다. 관할권에 따라 다르지만 거의 보편적으로 '세이프 하버' 조항을 포함합니다.
GLBA
규정 | 현재 시행 중
'1999년 금융 서비스 현대화법'이라고도 불리는 '그램 리치 블라일리 법(GLBA)'은 금융 기관이 고객에게 정보 공유 관행을 설명하고 민감 데이터를 보호할 것을 요구합니다.