I. ISO/IEC 27017의 개요 및 통제 항목
가. ISO/IEC 27017의 개요
개념 | 클라우드 서비스의 보안성 확보를 위한 ISO/IEC 27002 기반의 클라우드 서비스 정보보안 통제 가이드라인을 제공하는 표준 | |
---|---|---|
특징 | 보안 지침 제공 | ISO/IEC 27002의 37개 컨트롤의 클라우드 기반 보안 지침 |
R&R 명확화 | 클라우드 서비스 공급사와 클라우드 서비스 고객의 책임/역할 |
- ISO/IEC 27001 표준의 경우 특정 정보 보안 통제를 요구하지는 않지만 ISO/IEC 27017 표준은 통제 프레임워크 및 체크리스트 제공
나. ISO/IEC 27017의 표준 구성 및 통제 항목
표준 구성 | ||
---|---|---|
통제 항목 | 정보 보호 정책 | 정보 및 기타 자산에 대한 보안 위험 수준과 일치 |
정보 보호 조직 | 내부 조직 역할과 책임, 모바일 장치와 원격 접근 정책 | |
인적 보안 | 표준과 절차, 보안 위험 관리 방법, 법적 규제사항 교육 | |
자산 관리 | 자산의 책임, 정보 분리, 미디어 제어 | |
접근 통제 | 접근 관리, 사용자 통제, 시스템/소프트웨어 접근 통제 | |
암호화 | 공급자의 암호 기능 사용 정책, 서비스 사용자 키 관리 | |
물리적 보안 | 사무실, 시설 등 보안 영역, 케이블, 시스템 등 보안 장비 | |
서비스 운영 보안 | 문서 운영 절차, 변경 관리, 용량 관리, 백업, 로그 모니터링 | |
통신 보안 | 네트워크 보안 관리, ACL, 정보 전송 정책 | |
시스템 개발 및 유지 | 보안 요구사항 적용, 개발 지원 절차, 테스트 데이터 | |
공급 업체 관계 | 공급 업체 정보보호, 공급 서비스 보안 감사, 공급자 신원확인 | |
보안 사고 관리 | 보안 사고 책임과 절차, 정보보호 이벤트 보고, 포렌식 | |
BCM의 정보보호 | ISO 22301기반 정보보호 지속성 확보, 보안 가용성 확보 | |
법률 및 규정 | 관할 지역 법률 준수, 라이선스 규정 준수 및 문서화 |
II. ISO/IEC 27018의 개념과 통제 항목
가. ISO/IEC 27018의 개념
개념 | 클라우드 서비스 사용자 개인 식별 정보(PII)의 안전한 처리를 위한 통제와 관련된 가이드라인을 제공하는 국제 표준 | |
---|---|---|
특징 | 개인정보 보호 | 개인 식별 정보(PII : Personally Identifiable Information) 보호 |
컴플라이언스 준수 | 국가 간 상이한 법률에 대응 일관된 클라우드 정보보호체계 |
나. ISO/IEC 27018의 통제 항목
표준 구성 | ||
---|---|---|
통제 항목 | 동의와 선택 | 데이터 액세스, 수정, 제거 요구 준수 위한 도구 제공 |
합법성 및 사용목적 | 고유 목적 외 고객 데이터 사용 금지, 고객의 명시 동의 필요 | |
수집 제한 | 개인정보 수집 목적 명확화, 목적 외 수집 제한 | |
데이터 최소화 | 지정된 기간 내 파기 및 임시 파일 삭제 점검 | |
사용 및 공개 제한 | 법적 의무 시 사전 고객에 내용, 대상, 시간 고지 의무 | |
정확성과 품질 | 개인정보 수집/통제 정확성, 사용 품질 확보 | |
개방성, 투명성 | 서비스 계약 체결 전 업체의 신원 및 PII 처리 위치 공개 | |
개인 참여와 접근 | 개인 자신의 데이터 액세스 권한 주장 시 제공 등 규정 준수 | |
책임 | PII 무단 액세스, 손실, 초래 시 관련 고객에게 즉시 고지 | |
정보 보호 | 기밀 유지 의무, 하드 카피 작성 제한, 암호화 포함 접근 제한 | |
개인정보 보호규정 | PII의 반품, 양도 또는 삭제 정책 보유, 고객에 정책 정보 제공 |
- 클라우드 공급 사업자의 ISO/IEC 27017, 27018 표준 준수로 국내 ISMS, PIMS, ISMS-P 인증 적용
[참고]
- bsi. Blog, “클라우드 서비스 정보보안 통제 가이드라인”, 2019
- Dale Johnstone, “ISO/IEC 27018 Introduction, ISO/IEC 27017 Update”, 2015. 1