ISO 27001: Annex A 통제 완전 정복

ISO 27001 보안 통제! 우리 회사에 딱 맞는 옷 골라 입는 방법
김성하's avatar
Mar 05, 2025
ISO 27001: Annex A 통제 완전 정복

ISO 27001 Annex A 통제가 뭔가요?

ISO 27001 부록 A 통제 (Annex A Controls) 는 여러분의 회사가 정보 보안 위험으로부터 보호받기 위해 도입할 수 있는 보안 통제 목록이에요. 어떤 통제를 선택할지는 여러분 회사의 ISO 27001 인증 범위와 직면한 위험에 따라 달라진답니다.

이 통제 목록에는 도움이 될 만한 지침(Guidance)도 함께 제공돼요. 하지만 이건 단순히 체크만 하고 넘어가는 체크리스트가 아니라, 통제를 어떻게 구현할 수 있는지에 대한 제안이에요. 많은 분들이 이 부분을 오해하시곤 해요. 부록 A의 통제를 어느 정도로 구현할지는 전적으로 여러분에게 달려 있어요. 위험 관리와 회사의 필요성에 맞게 합리적으로 설명할 수 있다면 그걸로 충분하답니다!

Annex A 통제의 핵심 가치

ISO 27001 Annex A Controls (부록 A 통제)핵심 가치는 여러분 회사의 데이터를 세 가지 중요한 측면에서 보호하는 거예요. 바로 기밀성(confidentiality), 무결성(integrity), 그리고 가용성(availability)이죠. 이 세 가지는 정보 보안의 기본 원칙이라고 할 수 있어요!

이 부록은 "이것만큼은 꼭 고려해 보세요"라고 전문가들이 추천하는 모범 사례 목록이에요. 정보 보안을 진지하게 생각하는 모든 조직이 최소한 검토해봐야 할 기본적인 안전장치라고 생각하시면 됩니다.

ISO 27001:2022 변경 사항

2022년에 ISO 27001이 새롭게 개정되면서 큰 변화가 있었어요! Annex A의 통제 항목이 114개에서 93개로 줄어들었답니다. 하지만 단순히 줄어든 것만은 아니에요. 기존 항목들의 이름을 바꾸거나 비슷한 항목들을 하나로 합치는 등 여러 변화가 있었죠.

구분

2013년 버전

2022년 버전

표준 본문의 조항 개수

10개 조항

10개 조항

Annex A에 포함된 보안 통제 항목 수

114개

93개

Annex A의 구성 영역 수

14개 항목

4개 항목

새롭게 추가된 11개의 통제 항목

ISO 27001:2022에 새로운 통제 항목들도 추가되었는데요, 이런 변화들은 우리 업무 환경이 달라진 것을 반영한 거예요. 예를 들어 재택근무가 늘어난 것이나, 날로 새로워지는 사이버 보안 위협에 대응하기 위해서죠! 😊

조항

통제 항목

상세 내용

5.7

위협 인텔리전스
Threat Intelligence

정보 보안 위협과 관련된 정보를 수집하고 분석하는 체계 구축

5.23

클라우드 서비스 정보 보안
Information security for use of cloud services

클라우드 서비스 사용에 대한 정보 보안 요구사항 명시 및 관리

5.30

업무 연속성을 위한 ICT 준비도
ICT readiness for business continuity

운영 복원력 유지를 위한 ICT 연속성 계획 수립

7.4

물리적 보안 모니터링
Physical security monitoring

적절한 감시 도구를 활용해 내/외부 침입자 탐지 및 예방

8.9

구성 관리
Configuration management

전체 네트워크의 구성 사용을 문서화, 구현, 모니터링 및 검토하는 정책 수립

8.10

정보 삭제
Information deletion

법규 준수를 위한 데이터 삭제 관리 방법 제시

8.11

데이터 마스킹
Data masking

법규 준수를 위한 개인식별정보(PII) 마스킹 기술 적용

8.12

데이터 유출 방지
Data leakage protection

정보의 노출 및 유출을 탐지하고 방지하는 기술적 조치 구현

8.16

모니터링 활동

Monitoring activities

비정상 행위 식별과 보안 이벤트/사고 대응을 위한 네트워크 모니터링 활동 개선

8.23

웹 필터링

Web filtering

외부 웹사이트 접근 통제 및 제한을 위한 조치 시행

8.28

시큐어 코딩

Secure coding

취약한 코딩 방식으로 인한 보안 취약점 예방을 위한 시큐어 코딩 원칙 준수

2022년 버전에서는 통제 항목들을 주제별로 깔끔하게 정리했어요. 덕분에 기업들이 ISO 27001을 실제로 적용하기가 더 쉬워졌답니다. 마치 잘 정리된 서랍장처럼, 필요한 보안 수칙을 더 쉽게 찾아 적용할 수 있게 된 거죠! 📚✨

ISO 27001:2022 Annex A의 4가지 항목

앞서 설명드린 것처럼 ISO 27001이 2022년 버전으로 업데이트 되면서 통제 항목 개수가 기존 114개에서 93개로 조정되었어요.

이 통제들은 이제 좀 더 체계적으로 4가지 주요 테마로 분류되었는데, 이것이 바로 ISO 27001 부록 A의 새로운 4가지 도메인이랍니다.

조항

보안 통제

통제 항목 (93개)

5항

조직적 통제 (Organizational Controls)

37개

6항

인적 통제 (People controls)

8개

7항

물리적 통제 (Physical controls)

14개

8항

기술적 통제 (Technological controls)

34개

1. 조직적 통제 (Organizational Controls)

조직적 통제는 ISO 27001의 핵심으로, 전체 93개 통제 항목 중 무려 37개 항목을 차지하고 있어요!

이 첫 번째 테마는 조직이 데이터 보안을 어떻게 접근하고 관리하는지에 관한 모든 것을 다룹니다. 정책 수립부터 회사 구조, 역할 분담까지 정보 보안의 전체 프레임워크를 설계하는 단계죠.

번호

통제

상세 설명

5.1

정보 보안 정책
(Policies for Information Security)

정보 보안 정책과 주제별 세부 정책을 수립하고, 이를 전달하며, 검토하고, 인정받도록 요구

5.2

정보 보안 역할 및 책임
(Information Security Roles and Responsibilities)

정보 보안 역할과 책임을 정의하고 이를 적절한 사람들에게 할당하도록 요구

5.3

직무 분리
(Segregation of Duties)

상충되는 정보 보안 역할과 책임을 분리하고 격리하도록 요구

5.4

경영진의 책임

(Management Responsibilities)

경영진이 직원들이 문서화된 정책 및 절차에 따라 정보 보안을 적용하도록 보장할 것을 요구

5.5

유관기관과의 소통
(Contact with Authorities)

조직과 관련 법적, 규제 및 감독 기관 사이에 정보 보안과 관련된 적절한 정보 교류가 이루어지도록 보장하기 위해 조직이 관련 기관들과 연락 체계를 구축하고 유지할 것을 요구

5.6

보안 전문 커뮤니티와의 소통
(Contact With Special Interest Groups)

정보 보안과 관련하여 적절한 정보 흐름이 이루어지도록 보장하기 위해 보안 관련 전문가 협회, 포럼 및 관심 그룹과 연락 체계를 구축하고 유지할 것을 요구

5.7

위협 인텔리전스
(Threat Intelligence)

정보 보안 위협과 관련된 정보를 수집하고 분석하여 그 정보를 바탕으로 완화 조치를 취하도록 요구

5.8

프로젝트 관리 정보보안
(Information Security In Project Management)

프로젝트 관리에 정보 보안을 통합하도록 요구

5.9

정보 및 기타 관련 자산 목록
(Inventory Of Information And Other Associated Assets)

정보와 기타 관련 자산을 식별하여 정보 보안을 유지하고 적절한 소유권을 할당하도록 보장하기 위해 정보와 그 관련 자산의 목록을 개발하고 유지하도록 요구

5.10

정보 및 관련 자산의 적절한 사용
(Acceptable Use Of Information And Other Associated Assets)

정보 및 기타 자산을 적절하게 사용할 수 있도록 규칙과 절차를 마련하도록 요구

5.11

자산의 반납
(Return of Assets)

직원의 퇴사, 계약 종료 또는 업무 변경 시 조직의 자산이 안전하게 보호되도록 조직의 자산을 보유한 사람이 조직을 떠날 때 해당 자산을 반납하도록 요구

5.12

정보 분류
(Classification Of Information)

정보의 중요도와 관련 이해관계자의 요구에 따라 정보를 분류하도록 요구

5.13

정보 라벨링
(Labelling Of Information)

자체 정보 분류 기준에 따라 정보를 적절하게 라벨링하도록 요구

5.14

정보 전송
(Information Transfer)

조직 내부 및 외부(제3자 포함)와의 모든 정보 전송에 대해 규칙, 절차, 또는 계약을 마련하도록 요구

5.15

접근 통제
(Access Control)

정보 및 기타 자산에 대한 접근을 비즈니스 및 정보 보안 요구사항에 따라 관리하도록 요구

5.16

아이덴티티 관리
(Identity Management)

데이터 및 자원에 접근하는 데 사용되며, 적절한 엔터티(사용자, 시스템 등)가 적절한 리소스에 적절한 접근 권한을 갖도록 요구

5.17

인증 정보
(Authentication Information)

인증 정보(예: 비밀번호, 암호화 키, 인증 토큰 등)의 전체 생애 주기를 안전하게 관리하도록 요구

5.18

접근 권한
(Access Rights)

특정 보안 정책 및 접근 통제 규칙에 따라 접근 권한의 전체 생애 주기를 체계적으로 관리하도록 요구

5.19

공급업체 관계에서의 정보 보안
(Information Security in Supplier Relationships)

공급업체 제품 및 서비스 사용과 관련된 정보 보안 위험을 관리하도록 요구

5.20

공급업체 계약 내 정보 보안 관련 설명
(Addressing Information Security Within Supplier Agreements)
 

공급업체와 정보 보안 요구사항을 수립하고 합의하도록 요구

5.21

ICT 공급망에서의 정보 보안 관리
(Managing Information Security In The ICT Supply Chain)

ICT(information and communications technology) 제품 및 서비스 공급망과 관련된 위험을 관리하도록 요구

5.22

공급업체 서비스의 모니터링, 검토 및 변경 관리
(Monitor, Review And Change Management Of Supplier Services)

법적 계약에 따라 합의된 수준의 서비스와 정보 보안을 유지하도록 요구

5.23

클라우드 서비스 사용을 위한 정보 보안
(Information Security For Use Of Cloud Services)

클라우드 서비스 사용에 대한 정보 보안을 명시하고 관리하도록 요구

5.24

정보 보안 사고 관리 계획 및 준비
(Information Security Incident Management Planning and Preparation)

정보 보안 사고를 관리하기 위한 계획을 수립하고 준비하도록 요구

5.25

정보 보안 이벤트 평가 및 결정
(Assessment And Decision On Information Security Events)

정보 보안 이벤트를 분류하고 우선순위를 지정하기 위해 평가하도록 요구

5.26

정보 보안 사고 대응
(Response To Information Security Incidents)

문서화된 절차에 따라 정보 보안 사고에 대응하도록 요구

5.27

정보 보안 사고로부터의 학습
(Learning From Information Security Incidents)

향후 사고 발생 가능성이나 그 결과를 줄이기 위해 정보 보안 이벤트로부터 학습하도록 요구

5.28

증거수집
(Collection Of Evidence)

정보 보안 사고와 관련된 증거를 식별, 수집, 획득 및 보존하도록 요구

5.29

중단 상황에서의 정보 보안
(Information Security During Disruption)

중단 상황 동안 적절한 수준의 정보 보안을 계획하고 유지하도록 요구

5.30

업무 연속성을 위한 ICT 준비
(ICT Readiness For Business Continuity)

업무 연속성 목표와 연속성 요구사항에 기반하여 ICT 준비 상태를 계획, 유지 및 테스트하도록 요구

5.31

법적, 법규적, 규제적 및 계약적 요구사항
(Legal, statutory, regulatory and contractual requirements)

정보 보안에 대한 외부 요구사항을 이해하고 이를 구현하도록 요구

5.32

지적 재산권
(Intellectual Property Rights)

지적 재산과 관련된 외부 요구사항을 이해하고 이를 구현하도록 요구

5.33

기록 보호
(Protection Of Records)

법적, 규제적, 법규적 및 계약적 요구사항뿐만 아니라 사회적 및 커뮤니티 기대에 맞게 기록을 보호하도록 요구

5.34

개인정보 및 개인식별정보 보호
(Privacy And Protection Of PII)

개인식별정보(PII)를 적절하게 보호하고, 관련 법적·규제 요구사항을 준수하도록 요구

5.35

정보 보안의 독립적 검토
(Independent Review Of Information Security)

계획된 주기로 또는 중대한 변화가 있을 때 정보 보안 관리 및 통제에 대한 독립적인 검토를 받도록 요구

5.36

정보 보안 정책, 규칙 및 표준 준수
(Compliance With Policies, Rules And Standards For Information Security)

조직이 정의한 정보 보안 정책, 주제별 정책, 규칙 및 표준을 준수하고 이를 정기적으로 검토하도록 요구

5.37

문서화된 운영 절차
(Documented Operating Procedures)

거의 모든 것을 문서화하도록 요구하는 ISO 27001 표준의 통제 항목
단순히 절차를 실행하는 것뿐만 아니라 일관성 있고 재현 가능한 방식으로 운영이 이루어지도록 명확하게 문서화하는 것이 목표

2. 인적 통제 (People Controls)

인적 통제총 8개로 구성되어 있는데요, 이건 모든 직원들이 우리의 소중한 데이터와 시스템을 어떻게 안전하게 다뤄야 하는지에 관한 가이드라인이에요.

새로운 직원을 채용할 때 배경 확인부터 시작해서, 모두가 알아야 할 보안 교육, 비밀 유지 약속, 재택근무 시 주의사항, 그리고 회사를 떠날 때도 지켜야 할 보안 책임까지 모든 단계가 포함되어 있답니다.

번호

통제

상세 설명

6.1

직원 배경 조사
(Screening)

고용 전과 고용 중에 인력에 대한 배경 조사를 수행하도록 요구

6.2

고용 계약 및 보안 약정
(Terms and Conditions Of Employment)

직원들의 정보 보안 책임을 명시하는 계약을 직원들과 체결하도록 조직에 요구

6.3

정보 보안 인식, 교육 및 훈련
(Information Security Awareness, Education And Training)

보안 인식 훈련과 교육뿐만 아니라, 정보 보안 정책, 주제별 정책 및 프로세스의 정기적인 업데이트를 포함하여 정보 보안 전반에 대한 체계적인 교육을 요구

6.4

징계 절차
(Disciplinary Process)

정보 보안 정책, 주제별 정책 및 프로세스를 위반하는 사람들에 대해 조치를 취하는 절차를 갖추도록 요구

6.5

고용 종료 또는 변경 후 책임
(Responsibilities After Termination Or Change Of Employment)

직원이 조직을 떠난 후에도 정보 보안 책임이 유효하게 유지되도록 보장할 것을 요구

6.6

기밀 또는 비공개 계약
(Confidentiality Or Non-Disclosure Agreements)

계약에 비공개 계약 또는 기밀 조항이 포함되도록 보장할 것을 요구

6.7

원격 근무
(Remote Working)

직원들이 정보를 처리, 저장 또는 전송할 때 원격으로 작업하는 사람들을 위한 보안 조치를 마련하도록 요구

6.8

정보 보안 이벤트 보고
(Information Security Event Reporting)

사람들이 정보 보안 이벤트를 적시에 보고할 수 있는 방법을 구현하도록 요구

3. 물리적 통제 (Physical Controls)

물리적 통제총 14개의 항목으로 구성되어 있어요. 이것은 쉽게 말해서 우리 회사의 중요한 정보와 자산을 실제로 볼 수 있고, 만질 수 있는 위험으로부터 지키는 모든 방법이랍니다!

출입문 보안부터 시작해서, 깨끗한 책상 정책, 장비 보호, 데이터 센터 관리까지, 마치 우리가 소중한 보물 상자를 지키는 것처럼 회사의 물리적 자산을 보호하는 방법들이죠.

번호

통제

상세 설명

7.1

물리적 보안 경계
(Physical Security Perimeters)

조직이 사무실과 처리 시설을 보호하기 위한 물리적 보안 경계를 갖추도록 요구

7.2

물리적 출입
(Physical Entry)

접근 지점 및 출입 통제로 보안 구역을 보호하도록 요구

7.3

사무실, 방 및 시설 보안
(Securing Offices, Rooms And Facilities)

사무실, 방 및 시설을 물리적 보안으로 보호하도록 요구

7.4

물리적 보안 모니터링
(Physical Security Monitoring)

사무실과 처리 시설을 보호하기 위한 물리적 보안 경계를 갖추도록 요구
원치 않는 사람들이 출입했을 때 또는 출입하는 경우 이를 감지

7.5

물리적 및 환경적 위협으로부터의 보호
(Protecting Against Physical and Environmental Threats)

조직이 물리적 및 환경적 위협으로부터 보호하도록 요구

자연재해(홍수, 지진, 화재 등), 기반시설 문제(전력 중단, 냉각 시스템 고장), 또는 기타 물리적 위험(누수, 건물 손상)과 같은 위협으로부터 정보 시스템과 자산을 보호

7.6

보안 구역에서의 작업
(Working In Secure Areas)

보안 구역에서 작업할 때 보안을 위한 조치를 마련하도록 요구

7.7

깨끗한 책상 및 깨끗한 화면
(Clear Desk And Clear Screen)

책상, 화면 및 기타 접근 가능한 영역에서 정보를 보호하도록 요구

7.8

장비 배치 및 보호
(Equipment Siting And Protection)

장비를 안전하게 배치하고 보호함으로써 장비를 보호하도록 요구

7.9

오프프레미스 자산의 보안
(Security Of Assets Off-Premises)

조직의 통제 범위를 벗어난 장소에서 사용되는 자산(노트북, 모바일 기기, 이동식 저장 매체 등)의 보안을 보장하기 위해 장비를 안전하게 배치하고 보호함으로써 장비를 보호하도록 요구

7.10

저장매체
(Storage Media)

저장 매체의 수명 주기, 최종 파기에 이르기까지 분류에 기반한 매체 관리를 요구

7.11

지원 유틸리티
(Supporting Utilities)

전력 및 인터넷 연결과 같은 서비스를 고려하고 이들이 중단될 경우 대응 방안을 마련하도록 요

7.12

케이블링 보안
(Cabling Security)

케이블이 손상되거나, 간섭받거나, 사람들이 통신을 가로채기 위해 사용하는 것으로부터 보호하도록 요구

7.13

장비 유지 관리
(Equipment Maintenance)

장비가 계속 작동하고 데이터의 기밀성, 무결성 및 가용성을 보호하도록 지침에 따라 장비를 유지 관리하도록 요구

7.14

장비의 안전한 폐기 또는 재사용
(Secure Disposal Or Re-Use Of Equipment)

장비를 안전하게 폐기하고, 재사용하는 경우 복구할 수 없는 방식으로 모든 데이터를 완전히 제거하도록 요구

4. 기술적 통제 (Technological Controls)

기술적 통제총 34개의 항목으로 구성되어 있어요. 사용자 기기부터 네트워크, 소프트웨어 개발까지 디지털 세계의 모든 영역을 지키는 다양한 보안 조치들이 포함되어 있답니다.

누가 어떤 정보에 접근할 수 있는지 꼼꼼히 관리하고, 악성 프로그램으로부터 시스템을 보호하며, 소중한 데이터가 유출되거나 손실되지 않도록 백업하는 등 우리의 디지털 자산을 안전하게 지키는 모든 기술적인 방법들이 여기에 포함되어 있어요.

번호

통제

상세 설명

8.1

사용자 엔드포인트 디바이스
(User Endpoint Devices)

데이터를 저장, 처리 또는 전송하는 장치를 보호하기 위한 통제를 갖출 것을 요구

8.2

특권 접근 권한
(Privileged Access Rights)

승인된 사용자, 소프트웨어 구성 요소 및 서비스에만 특권 접근 권한이 제공되도록 요구

8.3

정보 접근 제한
(Information Access Restriction)

위험과 조직 필요성에 기반하여 정보에 대한 접근을 제한하기 위한 통제를 갖출 것을 요구

8.4

소스 코드 접근
(Access To Source Code)

코드에 대한 접근과 관련하여 통제를 갖추도록 보장할 것을 요구

8.5

안전한 인증
(Secure Authentication)

정보에 접근하는 사람들이 자신이 주장하는 사람임을 보장하기 위한 통제를 갖출 것을 요구

8.6

자원 관리
(Capacity Management)

필요한 작업을 수행하기 위해 필요한 자원을 확보할 것을 요구

8.7

맬웨어 방지
(Protection Against Malware)

모든 형태의 맬웨어를 이해하고 이에 대한 포괄적인 보호 접근 방식을 취할 것을 요구

8.8

기술적 취약점 관리
(Management of Technical Vulnerabilities)

기술에 존재하는 취약점을 이해하고 이를 관리하기 위한 정보에 기반한 결정을 내릴 것을 요구

8.9

구성관리
(Configuration Management)

소프트웨어와 하드웨어를 구성하고, 이를 문서화하며, 모니터링 및 검토할 것을 요구

8.10

정보삭제
(Information Deletion)

더 이상 필요하지 않은 데이터를 복구할 수 없는 방식으로 삭제할 것을 요구

8.11

데이터 마스킹
(Data Masking)

비즈니스 요구사항, 법률 및 규정에 따라 데이터를 마스킹하여 민감한 데이터를 보호할 것을 요구

8.12

데이터 유출 방지
(Data Leakage Prevention)

시스템에서 데이터가 추출되거나 유출되는 것을 방지할 것을 요구

8.13

정보 백업
(Information Backup)

데이터, 소프트웨어 및 시스템의 백업을 생성하고 테스트할 것을 요구

8.14

정보 처리 시설의 이중화
(Redundancy of information processing facilities)

중요한 시스템과 서비스가 중단 없이 계속 작동할 수 있도록 백업 시설과 장비를 갖추도록 요구

8.15

로깅
(Logging)

활동, 예외, 오류 및 관련 이벤트의 로그를 생성, 저장, 보호 및 분석할 것을 요구

8.16

활동 모니터링
(Monitoring Activities)

네트워크, 시스템, 애플리케이션 및 구내에서 부적절한 행동을 확인할 것을 요구

8.17

시계 동기화
(Clock Synchronisation)

모든 시스템의 시계가 승인된 시간 소스와 동기화되도록 보장할 것을 요구

8.18

권한 있는 유틸리티 프로그램 사용
(Use of Privileged Utility Programs)

시스템 및 애플리케이션 통제를 우회할 수 있는 유틸리티 프로그램의 사용을 엄격히 관리할 것을 요구

8.19

운영 시스템 내 소프트웨어 설치
(Installation of Software on Operational Systems)

운영 시스템에서 소프트웨어 설치를 체계적으로 관리할 것을 요구

8.20

네트워크 보안
(Network Security)

조직이 네트워크 환경을 보호하고, 보안 조치를 문서화할 것을 요구

8.21

네트워크 서비스 보안
(Security of Network Services)

네트워크 서비스를 보호하고, 서비스 수준과 보안 요구사항을 정의, 구현, 모니터링할 것을 요구

8.22

네트워크 분리
(Segregation of Networks)

정보 서비스, 사용자, 정보 시스템을 그룹화 하여 서로 다른 네트워크에 배치하고, 보안 경계를 설정할 것을 요구

8.23

웹 필터링
(Web Filtering)

조직이 외부 웹사이트에 대한 접근을 관리하여 악성 콘텐츠 및 보안 위협 노출을 최소화하도록 요구

8.24

암호화 사용
(Use of Cryptography)

암호화 관련 규칙을 정의하고, 암호화 기술을 적절하게 관리할 것을 요구

8.25

보안 개발 생명주기
(Secure Development Life Cycle)

소프트웨어 및 시스템을 개발할 때 보안을 설계하고, 내재화할 것을 요구

8.26

애플리케이션 보안 요구사항
(Application Security Requirements)

애플리케이션을 개발하거나 도입할 때, 보안 요구사항을 사전에 식별하고 명확히 정의하여 승인할 것을 요구

8.27

보안 시스템 아키텍처 및 엔지니어링 원칙
(Secure Systems Architecture and Engineering Principles)

조직이 시스템을 설계하고 개발할 때, 모든 아키텍처 계층에서 보안을 고려하도록 요구

8.28

안전한 코딩
(Secure Coding)

소프트웨어 개발 시 보안을 고려하여, 보안 취약점이 최소화된 안전한 코드를 작성할 것을 요구

8.29

개발 및 승인 단계의 보안 테스트
(Security Testing in Development and Acceptance)

애플리케이션 및 코드를 운영 환경에 배포하기 전에 보안 요구사항을 충족하는지 검증하기 위한 테스트를 수행할 것을 요구

8.30

외주 개발
(Outsourced Development)

외부 업체에 소프트웨어 또는 시스템 개발을 위탁할 때, 조직의 정보 보안 요구사항을 준수하도록 요구

8.31

개발, 테스트 및 운영 환경 분리
(Separation of Development, Test and Production Environments)

소프트웨어 개발 생명주기(SDLC)에서 개발(Development), 테스트(Test), 운영(Production) 환경을 분리하고, 이를 효과적으로 관리할 것을 요구

8.32

변경 관리
(Change Management)

정보 보안 관리 시스템(ISMS) 및 정보 처리 시설(IT 시스템, 네트워크, 애플리케이션 등)에 대한 변경을 체계적으로 관리할 것을 요구

8.33

테스트 정보
(Test Information)

운영 및 프로덕션 데이터를 테스트 목적으로 사용할 경우, 해당 데이터를 보호할 것을 요구

8.34

감사 테스트 중 정보 시스템 보호
(Protection of Information Systems During Audit Testing)

조직이 정보 시스템을 감사(Audit)하거나 보안 점검을 수행할 때, 운영 시스템과 비즈니스 프로세스에 영향을 주지 않도록 계획하고 관리할 것을 요구

이 많은 통제 항목들을 다 적용해야 하나요?

ISO 27001 인증, 겁먹지 마세요! 모든 통제 항목을 의무적으로 다 하는 건 아니에요. 마치 옷을 고르듯이, 우리 회사에 꼭 맞는 통제 항목만 골라 입으면 됩니다!

어떻게 골라야 하죠?🤔

  1. 우리 회사의 IT 환경 살펴보기

  2. 어떤 위험이 도사리고 있는지 체크하기

  3. 진짜 필요한 보안 옷만 골라 입기

Annex A 통제는 여러분의 현명한 선택을 도와줄 든든한 가이드북 같은 존재예요. 각 통제 항목의 디테일을 알려주고, 우리 회사에 정말 필요한 건지 판단하는 데 도움을 줍니다.

기억하세요! 💡 모든 기업이 같은 보안 옷을 입을 순 없어요. 우리만의 맞춤형 보안, 그게 바로 진정한 강점입니다!

Share article
✨ Conta 뉴스레터를 구독하고 최신 소식을 받아보세요!

Conta, ISO 인증의 모든 것