ISO/IEC 27017, 27018 (클라우드 정보보호 표준)

I. ISO/IEC 27017의 개요 및 통제 항목

가. ISO/IEC 27017의 개요

개념클라우드 서비스의 보안성 확보를 위한 ISO/IEC 27002 기반의 클라우드 서비스 정보보안 통제 가이드라인을 제공하는 표준
특징보안 지침 제공ISO/IEC 27002의 37개 컨트롤의 클라우드 기반 보안 지침
R&R 명확화클라우드 서비스 공급사와 클라우드 서비스 고객의 책임/역할
  • ISO/IEC 27001 표준의 경우 특정 정보 보안 통제를 요구하지는 않지만 ISO/IEC 27017 표준은 통제 프레임워크 및 체크리스트 제공

나. ISO/IEC 27017의 표준 구성 및 통제 항목

표준
구성
통제
항목
정보 보호 정책정보 및 기타 자산에 대한 보안 위험 수준과 일치 
정보 보호 조직내부 조직 역할과 책임, 모바일 장치와 원격 접근 정책
인적 보안표준과 절차, 보안 위험 관리 방법, 법적 규제사항 교육
자산 관리자산의 책임, 정보 분리, 미디어 제어
접근 통제접근 관리, 사용자 통제, 시스템/소프트웨어 접근 통제
암호화공급자의 암호 기능 사용 정책, 서비스 사용자 키 관리
물리적 보안사무실, 시설 등 보안 영역, 케이블, 시스템 등 보안 장비 
서비스 운영 보안문서 운영 절차, 변경 관리, 용량 관리, 백업, 로그 모니터링
통신 보안네트워크 보안 관리, ACL, 정보 전송 정책
시스템 개발 및 유지보안 요구사항 적용, 개발 지원 절차, 테스트 데이터
공급 업체 관계공급 업체 정보보호, 공급 서비스 보안 감사, 공급자 신원확인
보안 사고 관리보안 사고 책임과 절차, 정보보호 이벤트 보고, 포렌식
BCM의 정보보호ISO 22301기반 정보보호 지속성 확보, 보안 가용성 확보
법률 및 규정관할 지역 법률 준수, 라이선스 규정 준수 및 문서화

 

II. ISO/IEC 27018의 개념과 통제 항목

가. ISO/IEC 27018의 개념

개념클라우드 서비스 사용자 개인 식별 정보(PII)의 안전한 처리를 위한 통제와 관련된 가이드라인을 제공하는 국제 표준
특징개인정보 보호개인 식별 정보(PII : Personally Identifiable Information) 보호
컴플라이언스 준수국가 간 상이한 법률에 대응 일관된 클라우드 정보보호체계

나. ISO/IEC 27018의 통제 항목

표준
구성
통제
항목
동의와 선택데이터 액세스, 수정, 제거 요구 준수 위한 도구 제공
합법성 및 사용목적고유 목적 외 고객 데이터 사용 금지, 고객의 명시 동의 필요
수집 제한개인정보 수집 목적 명확화, 목적 외 수집 제한
데이터 최소화지정된 기간 내 파기 및 임시 파일 삭제 점검
사용 및 공개 제한법적 의무 시 사전 고객에 내용, 대상, 시간 고지 의무
정확성과 품질개인정보 수집/통제 정확성, 사용 품질 확보
개방성, 투명성서비스 계약 체결 전 업체의 신원 및 PII 처리 위치 공개
개인 참여와 접근개인 자신의 데이터 액세스 권한 주장 시 제공 등 규정 준수
책임PII 무단 액세스, 손실, 초래 시 관련 고객에게 즉시 고지
정보 보호기밀 유지 의무, 하드 카피 작성 제한, 암호화 포함 접근 제한
개인정보 보호규정PII의 반품, 양도 또는 삭제 정책 보유, 고객에 정책 정보 제공
  • 클라우드 공급 사업자의 ISO/IEC 27017, 27018 표준 준수로 국내 ISMS, PIMS, ISMS-P 인증 적용

 

[참고]

  • bsi. Blog, “클라우드 서비스 정보보안 통제 가이드라인”, 2019
  • Dale Johnstone, “ISO/IEC 27018 Introduction, ISO/IEC 27017 Update”, 2015. 1

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^