ISO/IEC 27005

ISO/IEC 27005

ISO/IEC 27005 "정보 기술 - 보안 기술 - 정보 보안 위험 관리"는 국제 표준화 기구(ISO)와 국제 전기 표준 위원회(IEC)가 발행하는 국제 표준으로 정보에 [1]대한 위험 관리에 대한 모범 사례 지침을 제공합니다.ISO/IEC 27000 시리즈 표준(일반적으로 ISO27k)의 핵심 부분입니다.

이 표준은 ISO27k ISMS(Information Security Management System)의 핵심 프로세스인 정보 보안 위험을 체계적으로 식별, 평가, 평가 및 처리하는 방법에 대한 조언을 제공합니다.정보보안 리스크에 따라 조직이 정보보안 제어 및 기타 배치를 합리적으로 설계, 구현, 관리, 감시 및 유지하도록 하는 것을 목적으로 합니다.

ISO/IEC 27005의 현재 제3판은 2018년에 발행되었습니다.제4판은 초안을[2] 작성하고 있으며 2022년 말에 [3]발행될 예정이다.

개요

ISO/IEC 27005에서는 특정 리스크 관리 방법을 상세하게 지정하거나 권장하지 않습니다.대신 ISO 31000에[4] 의해 기술된 일반적인 위험 관리 방법을 사용하여 보다 일반적인/전체적인 관점에서 프로세스를 논의한다.

  • 리스크를 특정하고 평가한다.
  • 리스크에 대해 어떻게 대처할지 결정하고(어떻게 대처할지) 실행한다.
  • 리스크, 리스크 처리 등을 감시하고 중대한 변화, 문제/우려사항 또는 개선기회를 식별하여 적절히 대응한다.
  • 프로세스 전체를 통해서 이해관계자(주로 조직의 경영진)에게 계속 정보를 제공합니다.

이러한 광범위한 프레임워크 내에서 조직은 특정 요구에 가장 적합한 정보 리스크 관리 방법, 전략 및/또는 접근방식을 선택/개발하여 사용할 것을 권장합니다.[5]다음은 예를 제시하겠습니다.

  • 정보의 기밀성, 무결성 및/또는 가용성을 훼손하거나 해치는 다양한 사건, 상황 또는 시나리오의 가능성을 특정한다.
  • IT시스템 및 네트워크와 관련된 사고, 수동 정보처리, 문서상의 정보 또는 그림으로 표현된 정보, 지식, 지적재산 등의 무형정보에 대한 위협, 취약성 및 비즈니스에 미치는 영향 평가
  • 조직이 완전히 통제할 수 있는 요소, 완전히 조직의 통제를 벗어난 요소 또는 부분적으로 통제할 수 있는 요소를 고려한다.
  • 조직에 대한 다양한 정보, 특히 중요한 비즈니스 목표 달성에 중요한 정보 및 정보처리의 형태, 유형 또는 범주의 절대적 또는 상대적인 가치 결정
  • 다양한 유형의 사고의 확률/우도 및 발생할 경우 조직에 미치는 영향을 추정/판단하기 위해 정량적 또는 질적/비교적 방법을 사용한 정보 리스크 사이징업
  • 다른 종류의 정보 리스크(예: 전략, 상업/시장, 제품, IT, 보건 및 안전, 법률/규제 준수 리스크)에 대한 검토 및 관리
  • 조직이 이미 사용하고 있는 리스크 관리 방법 및 접근방식의 적용/적용, 우수 프랙티스 채택 또는 신규/하이브리드 접근방식 개발
  • 리스크를 회피할 것인지(일반적으로 리스크 활동을 개시 또는 종료하지 않음), 제3자와 공유할 것인지(예를 들어 사이버 보험 또는 계약 조항을 통해), 정보 보안 통제를 사용하여 리스크를 경감할 것인지, 또는 리스크 욕구/허용 기준을 적용하여 리스크를 유지/수용할 것인지를 결정한다.
  • 리스크의 중요성 또는 성격, 고려 중인 리스크 치료의 비용 효과 또는 기타 의미에 따라 우선순위를 부여하고 그에 따라 대처하는 계획, 자원 배분 등
  • 예방, 탐지 또는 수정 가능한 자동화, 수동, 물리적 또는 관리 제어 선택 등 다양한 방법으로 정보 위험 및/또는 영향을 줄임으로써 정보 위험 완화
  • 위험관리 프로세스 자체의 불확실성(예: 예상치 못한 사고, 불행한 우연, 판단 오류 및 부분적 또는 완전한 통제 실패)을 포함한 불확실성 처리
  • 선택된 위험처리가 적절하고 실무에서 충분한 효과를 유지한다는 것을 시험, 평가, 평가, 검토, 감사 등을 통해 확인한다.
  • 다양한 법률, 규제, 계약, 협정, 표준, 코드 등(프라이버시법, PCI-DSS, 윤리적, 환경적 고려사항 등)을 통해 조직에 부과되거나 자발적으로 수용된 관련 요건 또는 의무 준수
  • 경험(조직에 의한 사고와 니어미스, 동등한 조직에 영향을 미치는 사고 포함)을 학습하고 지속적으로 개선합니다.

목적

ISO/IEC 27000 시리즈의 표준은 조직의 모든 유형 및 규모에 적용할 수 있으며, 매우 다양한 그룹이기 때문에 이들 모두에 대해 특정 접근법, 방법, 위험 또는 통제를 의무화하는 것은 적절하지 않을 것이다.대신, 이 기준들은 관리 시스템의 산하에 일반적인 지침을 제공한다.관리자는 조직의 특정 상황에 적합하고 적절한 구조화된 방법을 따르고 정보 위험에 합리적이고 체계적으로 대처할 것을 권장합니다.

정보 리스크를 특정하여 관리 하에 두는 것은 변화에 대응하고 시간이 지남에 따라 ISMS의 성숙도와 유효성을 높이는 개선 기회를 활용하는 방법으로 정보 리스크를 적절히 취급하는 데 도움이 됩니다.

표준구조 및 내용

ISO/IEC 27005:2018은 다른 ISO/IEC 표준과 공통되는 일반적인 구조를 가지고 있으며, 주요 [6]섹션은 다음과 같습니다.

  1. 배경
  2. 정보보안 리스크 관리 프로세스의 개요
  3. 콘텍스트 확립
  4. 정보보안 리스크 평가
  5. 정보보안 리스크 처리
  6. 정보 보안 리스크 수용
  7. 정보보안 리스크 커뮤니케이션 및 컨설팅
  8. 정보보안 리스크 감시 및 검토

그리고 6개의 부록:

  1. 정보보안 리스크 관리 프로세스의 범위 및 경계 정의
  2. 자산의 식별 및 평가 및 영향 평가
  3. 일반적인 위협의 예
  4. 취약성 및 취약성 평가 방법
  5. 정보보안 리스크 평가 접근법
  6. 리스크 수정에 관한 제약사항

레퍼런스

  1. ^ "ISO/IEC 27005:2018". ISO.org. Retrieved 17 April 2021.
  2. ^ "ISO/IEC 27005 forthcoming". ISO.org. Retrieved 17 April 2021.
  3. ^ "ISO/IEC 27005". ISO27001security.com. Retrieved 17 April 2021.
  4. ^ "ISO 31000 risk management". ISO.org. Retrieved 17 April 2021.
  5. ^ "ISO27k FAQ". ISO27001security.com. Retrieved 17 April 2021.
  6. ^ "ISO preview of 27005:2018". ISO.org. Retrieved 17 April 2021.