ISO 27001: Annex A 통제 완전 정복

10개 조항

10개 조항

114개

93개

14개 항목

4개 항목

정보 보안 위협과 관련된 정보를 수집하고 분석하는 체계 구축

클라우드 서비스 사용에 대한 정보 보안 요구사항 명시 및 관리

운영 복원력 유지를 위한 ICT 연속성 계획 수립

적절한 감시 도구를 활용해 내/외부 침입자 탐지 및 예방

전체 네트워크의 구성 사용을 문서화, 구현, 모니터링 및 검토하는 정책 수립

법규 준수를 위한 데이터 삭제 관리 방법 제시

법규 준수를 위한 개인식별정보(PII) 마스킹 기술 적용

정보의 노출 및 유출을 탐지하고 방지하는 기술적 조치 구현

비정상 행위 식별과 보안 이벤트/사고 대응을 위한 네트워크 모니터링 활동 개선

외부 웹사이트 접근 통제 및 제한을 위한 조치 시행

취약한 코딩 방식으로 인한 보안 취약점 예방을 위한 시큐어 코딩 원칙 준수

조직적 통제 (Organizational Controls)

37개

인적 통제 (People controls)

8개

물리적 통제 (Physical controls)

14개

기술적 통제 (Technological controls)

34개

정보 보안 정책
(Policies for Information Security)

정보 보안 정책과 주제별 세부 정책을 수립하고, 이를 전달하며, 검토하고, 인정받도록 요구

정보 보안 역할 및 책임
(Information Security Roles and Responsibilities)

정보 보안 역할과 책임을 정의하고 이를 적절한 사람들에게 할당하도록 요구

직무 분리
(Segregation of Duties)

상충되는 정보 보안 역할과 책임을 분리하고 격리하도록 요구

경영진의 책임

(Management Responsibilities)

경영진이 직원들이 문서화된 정책 및 절차에 따라 정보 보안을 적용하도록 보장할 것을 요구

유관기관과의 소통
(Contact with Authorities)

조직과 관련 법적, 규제 및 감독 기관 사이에 정보 보안과 관련된 적절한 정보 교류가 이루어지도록 보장하기 위해 조직이 관련 기관들과 연락 체계를 구축하고 유지할 것을 요구

보안 전문 커뮤니티와의 소통
(Contact With Special Interest Groups)

정보 보안과 관련하여 적절한 정보 흐름이 이루어지도록 보장하기 위해 보안 관련 전문가 협회, 포럼 및 관심 그룹과 연락 체계를 구축하고 유지할 것을 요구

위협 인텔리전스
(Threat Intelligence)

정보 보안 위협과 관련된 정보를 수집하고 분석하여 그 정보를 바탕으로 완화 조치를 취하도록 요구

프로젝트 관리 정보보안
(Information Security In Project Management)

프로젝트 관리에 정보 보안을 통합하도록 요구

정보 및 기타 관련 자산 목록
(Inventory Of Information And Other Associated Assets)

정보와 기타 관련 자산을 식별하여 정보 보안을 유지하고 적절한 소유권을 할당하도록 보장하기 위해 정보와 그 관련 자산의 목록을 개발하고 유지하도록 요구

정보 및 관련 자산의 적절한 사용
(Acceptable Use Of Information And Other Associated Assets)

정보 및 기타 자산을 적절하게 사용할 수 있도록 규칙과 절차를 마련하도록 요구

자산의 반납
(Return of Assets)

직원의 퇴사, 계약 종료 또는 업무 변경 시 조직의 자산이 안전하게 보호되도록 조직의 자산을 보유한 사람이 조직을 떠날 때 해당 자산을 반납하도록 요구

정보 분류
(Classification Of Information)

정보의 중요도와 관련 이해관계자의 요구에 따라 정보를 분류하도록 요구

정보 라벨링
(Labelling Of Information)

자체 정보 분류 기준에 따라 정보를 적절하게 라벨링하도록 요구

정보 전송
(Information Transfer)

조직 내부 및 외부(제3자 포함)와의 모든 정보 전송에 대해 규칙, 절차, 또는 계약을 마련하도록 요구

접근 통제
(Access Control)

정보 및 기타 자산에 대한 접근을 비즈니스 및 정보 보안 요구사항에 따라 관리하도록 요구

아이덴티티 관리
(Identity Management)

데이터 및 자원에 접근하는 데 사용되며, 적절한 엔터티(사용자, 시스템 등)가 적절한 리소스에 적절한 접근 권한을 갖도록 요구

인증 정보
(Authentication Information)

인증 정보(예: 비밀번호, 암호화 키, 인증 토큰 등)의 전체 생애 주기를 안전하게 관리하도록 요구

접근 권한
(Access Rights)

특정 보안 정책 및 접근 통제 규칙에 따라 접근 권한의 전체 생애 주기를 체계적으로 관리하도록 요구

공급업체 관계에서의 정보 보안
(Information Security in Supplier Relationships)

공급업체 제품 및 서비스 사용과 관련된 정보 보안 위험을 관리하도록 요구

공급업체 계약 내 정보 보안 관련 설명
(Addressing Information Security Within Supplier Agreements)
 

공급업체와 정보 보안 요구사항을 수립하고 합의하도록 요구

ICT 공급망에서의 정보 보안 관리
(Managing Information Security In The ICT Supply Chain)

ICT(information and communications technology) 제품 및 서비스 공급망과 관련된 위험을 관리하도록 요구

공급업체 서비스의 모니터링, 검토 및 변경 관리
(Monitor, Review And Change Management Of Supplier Services)

법적 계약에 따라 합의된 수준의 서비스와 정보 보안을 유지하도록 요구

클라우드 서비스 사용을 위한 정보 보안
(Information Security For Use Of Cloud Services)

클라우드 서비스 사용에 대한 정보 보안을 명시하고 관리하도록 요구

정보 보안 사고 관리 계획 및 준비
(Information Security Incident Management Planning and Preparation)

정보 보안 사고를 관리하기 위한 계획을 수립하고 준비하도록 요구

정보 보안 이벤트 평가 및 결정
(Assessment And Decision On Information Security Events)

정보 보안 이벤트를 분류하고 우선순위를 지정하기 위해 평가하도록 요구

정보 보안 사고 대응
(Response To Information Security Incidents)

문서화된 절차에 따라 정보 보안 사고에 대응하도록 요구

정보 보안 사고로부터의 학습
(Learning From Information Security Incidents)

향후 사고 발생 가능성이나 그 결과를 줄이기 위해 정보 보안 이벤트로부터 학습하도록 요구

증거수집
(Collection Of Evidence)

정보 보안 사고와 관련된 증거를 식별, 수집, 획득 및 보존하도록 요구

중단 상황에서의 정보 보안
(Information Security During Disruption)

중단 상황 동안 적절한 수준의 정보 보안을 계획하고 유지하도록 요구

업무 연속성을 위한 ICT 준비
(ICT Readiness For Business Continuity)

업무 연속성 목표와 연속성 요구사항에 기반하여 ICT 준비 상태를 계획, 유지 및 테스트하도록 요구

법적, 법규적, 규제적 및 계약적 요구사항
(Legal, statutory, regulatory and contractual requirements)

정보 보안에 대한 외부 요구사항을 이해하고 이를 구현하도록 요구

지적 재산권
(Intellectual Property Rights)

지적 재산과 관련된 외부 요구사항을 이해하고 이를 구현하도록 요구

기록 보호
(Protection Of Records)

법적, 규제적, 법규적 및 계약적 요구사항뿐만 아니라 사회적 및 커뮤니티 기대에 맞게 기록을 보호하도록 요구

개인정보 및 개인식별정보 보호
(Privacy And Protection Of PII)

개인식별정보(PII)를 적절하게 보호하고, 관련 법적·규제 요구사항을 준수하도록 요구

정보 보안의 독립적 검토
(Independent Review Of Information Security)

계획된 주기로 또는 중대한 변화가 있을 때 정보 보안 관리 및 통제에 대한 독립적인 검토를 받도록 요구

정보 보안 정책, 규칙 및 표준 준수
(Compliance With Policies, Rules And Standards For Information Security)

조직이 정의한 정보 보안 정책, 주제별 정책, 규칙 및 표준을 준수하고 이를 정기적으로 검토하도록 요구

문서화된 운영 절차
(Documented Operating Procedures)

거의 모든 것을 문서화하도록 요구하는 ISO 27001 표준의 통제 항목
단순히 절차를 실행하는 것뿐만 아니라 일관성 있고 재현 가능한 방식으로 운영이 이루어지도록 명확하게 문서화하는 것이 목표

직원 배경 조사
(Screening)

고용 전과 고용 중에 인력에 대한 배경 조사를 수행하도록 요구

고용 계약 및 보안 약정
(Terms and Conditions Of Employment)

직원들의 정보 보안 책임을 명시하는 계약을 직원들과 체결하도록 조직에 요구

정보 보안 인식, 교육 및 훈련
(Information Security Awareness, Education And Training)

보안 인식 훈련과 교육뿐만 아니라, 정보 보안 정책, 주제별 정책 및 프로세스의 정기적인 업데이트를 포함하여 정보 보안 전반에 대한 체계적인 교육을 요구

징계 절차
(Disciplinary Process)

정보 보안 정책, 주제별 정책 및 프로세스를 위반하는 사람들에 대해 조치를 취하는 절차를 갖추도록 요구

고용 종료 또는 변경 후 책임
(Responsibilities After Termination Or Change Of Employment)

직원이 조직을 떠난 후에도 정보 보안 책임이 유효하게 유지되도록 보장할 것을 요구

기밀 또는 비공개 계약
(Confidentiality Or Non-Disclosure Agreements)

계약에 비공개 계약 또는 기밀 조항이 포함되도록 보장할 것을 요구

원격 근무
(Remote Working)

직원들이 정보를 처리, 저장 또는 전송할 때 원격으로 작업하는 사람들을 위한 보안 조치를 마련하도록 요구

정보 보안 이벤트 보고
(Information Security Event Reporting)

사람들이 정보 보안 이벤트를 적시에 보고할 수 있는 방법을 구현하도록 요구

물리적 보안 경계
(Physical Security Perimeters)

조직이 사무실과 처리 시설을 보호하기 위한 물리적 보안 경계를 갖추도록 요구

물리적 출입
(Physical Entry)

접근 지점 및 출입 통제로 보안 구역을 보호하도록 요구

사무실, 방 및 시설 보안
(Securing Offices, Rooms And Facilities)

사무실, 방 및 시설을 물리적 보안으로 보호하도록 요구

물리적 보안 모니터링
(Physical Security Monitoring)

사무실과 처리 시설을 보호하기 위한 물리적 보안 경계를 갖추도록 요구
원치 않는 사람들이 출입했을 때 또는 출입하는 경우 이를 감지

물리적 및 환경적 위협으로부터의 보호
(Protecting Against Physical and Environmental Threats)

조직이 물리적 및 환경적 위협으로부터 보호하도록 요구

자연재해(홍수, 지진, 화재 등), 기반시설 문제(전력 중단, 냉각 시스템 고장), 또는 기타 물리적 위험(누수, 건물 손상)과 같은 위협으로부터 정보 시스템과 자산을 보호

보안 구역에서의 작업
(Working In Secure Areas)

보안 구역에서 작업할 때 보안을 위한 조치를 마련하도록 요구

깨끗한 책상 및 깨끗한 화면
(Clear Desk And Clear Screen)

책상, 화면 및 기타 접근 가능한 영역에서 정보를 보호하도록 요구

장비 배치 및 보호
(Equipment Siting And Protection)

장비를 안전하게 배치하고 보호함으로써 장비를 보호하도록 요구

오프프레미스 자산의 보안
(Security Of Assets Off-Premises)

조직의 통제 범위를 벗어난 장소에서 사용되는 자산(노트북, 모바일 기기, 이동식 저장 매체 등)의 보안을 보장하기 위해 장비를 안전하게 배치하고 보호함으로써 장비를 보호하도록 요구

저장매체
(Storage Media)

저장 매체의 수명 주기, 최종 파기에 이르기까지 분류에 기반한 매체 관리를 요구

지원 유틸리티
(Supporting Utilities)

전력 및 인터넷 연결과 같은 서비스를 고려하고 이들이 중단될 경우 대응 방안을 마련하도록 요

케이블링 보안
(Cabling Security)

케이블이 손상되거나, 간섭받거나, 사람들이 통신을 가로채기 위해 사용하는 것으로부터 보호하도록 요구

장비 유지 관리
(Equipment Maintenance)

장비가 계속 작동하고 데이터의 기밀성, 무결성 및 가용성을 보호하도록 지침에 따라 장비를 유지 관리하도록 요구

장비의 안전한 폐기 또는 재사용
(Secure Disposal Or Re-Use Of Equipment)

장비를 안전하게 폐기하고, 재사용하는 경우 복구할 수 없는 방식으로 모든 데이터를 완전히 제거하도록 요구

사용자 엔드포인트 디바이스
(User Endpoint Devices)

데이터를 저장, 처리 또는 전송하는 장치를 보호하기 위한 통제를 갖출 것을 요구

특권 접근 권한
(Privileged Access Rights)

승인된 사용자, 소프트웨어 구성 요소 및 서비스에만 특권 접근 권한이 제공되도록 요구

정보 접근 제한
(Information Access Restriction)

위험과 조직 필요성에 기반하여 정보에 대한 접근을 제한하기 위한 통제를 갖출 것을 요구

소스 코드 접근
(Access To Source Code)

코드에 대한 접근과 관련하여 통제를 갖추도록 보장할 것을 요구

안전한 인증
(Secure Authentication)

정보에 접근하는 사람들이 자신이 주장하는 사람임을 보장하기 위한 통제를 갖출 것을 요구

자원 관리
(Capacity Management)

필요한 작업을 수행하기 위해 필요한 자원을 확보할 것을 요구

맬웨어 방지
(Protection Against Malware)

모든 형태의 맬웨어를 이해하고 이에 대한 포괄적인 보호 접근 방식을 취할 것을 요구

기술적 취약점 관리
(Management of Technical Vulnerabilities)

기술에 존재하는 취약점을 이해하고 이를 관리하기 위한 정보에 기반한 결정을 내릴 것을 요구

구성관리
(Configuration Management)

소프트웨어와 하드웨어를 구성하고, 이를 문서화하며, 모니터링 및 검토할 것을 요구

정보삭제
(Information Deletion)

더 이상 필요하지 않은 데이터를 복구할 수 없는 방식으로 삭제할 것을 요구

데이터 마스킹
(Data Masking)

비즈니스 요구사항, 법률 및 규정에 따라 데이터를 마스킹하여 민감한 데이터를 보호할 것을 요구

데이터 유출 방지
(Data Leakage Prevention)

시스템에서 데이터가 추출되거나 유출되는 것을 방지할 것을 요구

정보 백업
(Information Backup)

데이터, 소프트웨어 및 시스템의 백업을 생성하고 테스트할 것을 요구

정보 처리 시설의 이중화
(Redundancy of information processing facilities)

중요한 시스템과 서비스가 중단 없이 계속 작동할 수 있도록 백업 시설과 장비를 갖추도록 요구

로깅
(Logging)

활동, 예외, 오류 및 관련 이벤트의 로그를 생성, 저장, 보호 및 분석할 것을 요구

활동 모니터링
(Monitoring Activities)

네트워크, 시스템, 애플리케이션 및 구내에서 부적절한 행동을 확인할 것을 요구

시계 동기화
(Clock Synchronisation)

모든 시스템의 시계가 승인된 시간 소스와 동기화되도록 보장할 것을 요구

권한 있는 유틸리티 프로그램 사용
(Use of Privileged Utility Programs)

시스템 및 애플리케이션 통제를 우회할 수 있는 유틸리티 프로그램의 사용을 엄격히 관리할 것을 요구

운영 시스템 내 소프트웨어 설치
(Installation of Software on Operational Systems)

운영 시스템에서 소프트웨어 설치를 체계적으로 관리할 것을 요구

네트워크 보안
(Network Security)

조직이 네트워크 환경을 보호하고, 보안 조치를 문서화할 것을 요구

네트워크 서비스 보안
(Security of Network Services)

네트워크 서비스를 보호하고, 서비스 수준과 보안 요구사항을 정의, 구현, 모니터링할 것을 요구

네트워크 분리
(Segregation of Networks)

정보 서비스, 사용자, 정보 시스템을 그룹화 하여 서로 다른 네트워크에 배치하고, 보안 경계를 설정할 것을 요구

웹 필터링
(Web Filtering)

조직이 외부 웹사이트에 대한 접근을 관리하여 악성 콘텐츠 및 보안 위협 노출을 최소화하도록 요구

암호화 사용
(Use of Cryptography)

암호화 관련 규칙을 정의하고, 암호화 기술을 적절하게 관리할 것을 요구

보안 개발 생명주기
(Secure Development Life Cycle)

소프트웨어 및 시스템을 개발할 때 보안을 설계하고, 내재화할 것을 요구

애플리케이션 보안 요구사항
(Application Security Requirements)

애플리케이션을 개발하거나 도입할 때, 보안 요구사항을 사전에 식별하고 명확히 정의하여 승인할 것을 요구

보안 시스템 아키텍처 및 엔지니어링 원칙
(Secure Systems Architecture and Engineering Principles)

조직이 시스템을 설계하고 개발할 때, 모든 아키텍처 계층에서 보안을 고려하도록 요구

안전한 코딩
(Secure Coding)

소프트웨어 개발 시 보안을 고려하여, 보안 취약점이 최소화된 안전한 코드를 작성할 것을 요구

개발 및 승인 단계의 보안 테스트
(Security Testing in Development and Acceptance)

애플리케이션 및 코드를 운영 환경에 배포하기 전에 보안 요구사항을 충족하는지 검증하기 위한 테스트를 수행할 것을 요구

외주 개발
(Outsourced Development)

외부 업체에 소프트웨어 또는 시스템 개발을 위탁할 때, 조직의 정보 보안 요구사항을 준수하도록 요구

개발, 테스트 및 운영 환경 분리
(Separation of Development, Test and Production Environments)

소프트웨어 개발 생명주기(SDLC)에서 개발(Development), 테스트(Test), 운영(Production) 환경을 분리하고, 이를 효과적으로 관리할 것을 요구

변경 관리
(Change Management)

정보 보안 관리 시스템(ISMS) 및 정보 처리 시설(IT 시스템, 네트워크, 애플리케이션 등)에 대한 변경을 체계적으로 관리할 것을 요구

테스트 정보
(Test Information)

운영 및 프로덕션 데이터를 테스트 목적으로 사용할 경우, 해당 데이터를 보호할 것을 요구

감사 테스트 중 정보 시스템 보호
(Protection of Information Systems During Audit Testing)

조직이 정보 시스템을 감사(Audit)하거나 보안 점검을 수행할 때, 운영 시스템과 비즈니스 프로세스에 영향을 주지 않도록 계획하고 관리할 것을 요구