ISO/IEC 27017, 27018 (클라우드 정보보호 표준)

I. ISO/IEC 27017의 개요 및 통제 항목

가. ISO/IEC 27017의 개요

개념	클라우드 서비스의 보안성 확보를 위한 ISO/IEC 27002 기반의 클라우드 서비스 정보보안 통제 가이드라인을 제공하는 표준
특징	보안 지침 제공	ISO/IEC 27002의 37개 컨트롤의 클라우드 기반 보안 지침
	R&R 명확화	클라우드 서비스 공급사와 클라우드 서비스 고객의 책임/역할

• ISO/IEC 27001 표준의 경우 특정 정보 보안 통제를 요구하지는 않지만 ISO/IEC 27017 표준은 통제 프레임워크 및 체크리스트 제공

나. ISO/IEC 27017의 표준 구성 및 통제 항목

표준 구성
통제 항목	정보 보호 정책	정보 및 기타 자산에 대한 보안 위험 수준과 일치
	정보 보호 조직	내부 조직 역할과 책임, 모바일 장치와 원격 접근 정책
	인적 보안	표준과 절차, 보안 위험 관리 방법, 법적 규제사항 교육
	자산 관리	자산의 책임, 정보 분리, 미디어 제어
	접근 통제	접근 관리, 사용자 통제, 시스템/소프트웨어 접근 통제
	암호화	공급자의 암호 기능 사용 정책, 서비스 사용자 키 관리
	물리적 보안	사무실, 시설 등 보안 영역, 케이블, 시스템 등 보안 장비
	서비스 운영 보안	문서 운영 절차, 변경 관리, 용량 관리, 백업, 로그 모니터링
	통신 보안	네트워크 보안 관리, ACL, 정보 전송 정책
	시스템 개발 및 유지	보안 요구사항 적용, 개발 지원 절차, 테스트 데이터
	공급 업체 관계	공급 업체 정보보호, 공급 서비스 보안 감사, 공급자 신원확인
	보안 사고 관리	보안 사고 책임과 절차, 정보보호 이벤트 보고, 포렌식
	BCM의 정보보호	ISO 22301기반 정보보호 지속성 확보, 보안 가용성 확보
	법률 및 규정	관할 지역 법률 준수, 라이선스 규정 준수 및 문서화

 

II. ISO/IEC 27018의 개념과 통제 항목

가. ISO/IEC 27018의 개념

개념	클라우드 서비스 사용자 개인 식별 정보(PII)의 안전한 처리를 위한 통제와 관련된 가이드라인을 제공하는 국제 표준
특징	개인정보 보호	개인 식별 정보(PII : Personally Identifiable Information) 보호
	컴플라이언스 준수	국가 간 상이한 법률에 대응 일관된 클라우드 정보보호체계

나. ISO/IEC 27018의 통제 항목

표준 구성
통제 항목	동의와 선택	데이터 액세스, 수정, 제거 요구 준수 위한 도구 제공
	합법성 및 사용목적	고유 목적 외 고객 데이터 사용 금지, 고객의 명시 동의 필요
	수집 제한	개인정보 수집 목적 명확화, 목적 외 수집 제한
	데이터 최소화	지정된 기간 내 파기 및 임시 파일 삭제 점검
	사용 및 공개 제한	법적 의무 시 사전 고객에 내용, 대상, 시간 고지 의무
	정확성과 품질	개인정보 수집/통제 정확성, 사용 품질 확보
	개방성, 투명성	서비스 계약 체결 전 업체의 신원 및 PII 처리 위치 공개
	개인 참여와 접근	개인 자신의 데이터 액세스 권한 주장 시 제공 등 규정 준수
	책임	PII 무단 액세스, 손실, 초래 시 관련 고객에게 즉시 고지
	정보 보호	기밀 유지 의무, 하드 카피 작성 제한, 암호화 포함 접근 제한
	개인정보 보호규정	PII의 반품, 양도 또는 삭제 정책 보유, 고객에 정책 정보 제공

• 클라우드 공급 사업자의 ISO/IEC 27017, 27018 표준 준수로 국내 ISMS, PIMS, ISMS-P 인증 적용

 

[참고]

• bsi. Blog, “클라우드 서비스 정보보안 통제 가이드라인”, 2019
• Dale Johnstone, “ISO/IEC 27018 Introduction, ISO/IEC 27017 Update”, 2015. 1