[정보보호] 국외 정보보호 인증 동향 (특강필기)

ISO/IEC 27000 시리즈

ISO(국제표준화기구)와 IEC(국제전기기술위원회)에서 제정한 정보보호 관리체계의 국제 보안 표준 규격 시리즈

체계 구분

27000: 정보보호 성격 29100: 개인정보보호 성격

 1) 일반 요구사항(General Requirements)

27001, 27701

 

 2)  일반 지침(General Guidelines)

27005: 위험관리 방법 / 27002: 구체적 평가 방법(실행지침)

 

 3) 분야별 특화 지침(Sector-specific Guidlines)

27017: 클라우드 서비스에 대한 27002기반 보안통제 실무 지침

27018: 클라우드의 PII(개인식별 가능정보) 보호 실무 지침

---

ISO/IEC 27001:2013

7개 관리과정 요구사항, 부록의 14개 분야 114개의 통제항목(Control)로 구성되어 있는 ISMS 심사 및 인증규격

PDCA싸이클

ISO/IEC 27701:2019

2019년 표준화된 개인정보보호 관리체계에 관한 인증규격 (ISO27001, 27002의 개인정보보호 버전 확장판)
Extention to ISO/IEC 27001and ISO/IEC 27002 for privacy information management 

---

영국 CES(Cyber Essentials Scheme)인증

: 영국 정부의 '사이버보안 10단계'범주 내에서 저렴한 비용으로 조직이 사이버위협으로부터 위험을 감소시키기 위한 기본적인 기술통제 방안을 기술하고 있는 인증제도, 2단계(일반, Plus)의 등급 중 선택하여 평가 수행 (ISO에 비해 비교적 Light함)

---

미국 FedRAMP 인증

미국 연방정부의 민간 클라우드 서비스 도입을 위한 보안성 평가 인증, 서비스 및 데이터의 중요도에 따라 Low, Moderate등 세 가지 인증으로 나위어짐 (국내도 CSAP도 단계별 인증 고려중임) 

---

미국 NIST CSF(Cyber Security Framwork)

미국 NIST에서 발표한 사이버보안 관련 리스크를 관리하기 위한 표준, 지침 및 모범 사례로 구성된 프레임 워크. 미국 정부기관은 기관 시스템에 대한 위험 평가를 수행할때는 이것을 후속 문서로 사용해야 함

CSF의 구조 및 요구사항

프레임워크 코어, 프레임워크 프로파일, 프레임워크 구현계층 등 프레임워크를 제시함

---

APEC CBPRs(Cross Border Privacy Rules)인증

APEC회원국 간 공통의 개인정보 보호 기준을 통해 안전한 개인정보 이전을 지원하고자 APEC회원국이 공동으로 개발

 - 가입국: 미국, 일본, 싱가폴 등 총 9개국 가입 (한국은 KISA가 국내 인증기관으로 운영 중)

 - 구성: 인증기준은 6개 영역 50개의 항목으로 구성 (국내 ISMS-P를 획득했다면 취득에 큰 어려움은 없을 것)

 

기타 국외 인증

• MTCS: 클라우드의 금융사 진출을 위해 주로 발급받는 인증제도
• CSA Star: ISO27001과 관련이 깊으며 Level 1,2,3로 나뉘어져 있음
• SOC: 많은 클라우드 서비스는 발급받음, 회계범인에서 감사가 많이 진행됨
• TiSAX: 자동차 공급망관련 보안 평가기준 표준화를 위한 인증제도
• CMMC: 사이버보안 성숙도 모델