버전 20 13 ISO2700 1 은 20 13 10 6 월 1 일에 ga 되었습니다. 새로운 가이드라인은 비즈니스, 포괄적인 위험 관리 및 거버넌스와의 통합을 반영하며 성과에 대한 새로운 규범의 중시와 위험 평가 방법의 개정을 반영합니다. 이것은 또한 IT 거버넌스의 목표와 매우 일치합니다.
IT 거버넌스의 원동력은 이사회와 같은 거버넌스 차원에서 IT 가치와 투자의 의사 결정 메커니즘을 확립하여 IT 전략과 비즈니스 전략의 일관성을 보장하고 비즈니스 발전을 혁신하는 것입니다. 정보 보안 관리의 새로운 표준은 위험과 비용의 균형에서 정보 보안 관리의 성과를 정기적으로 보고하는 것으로 바뀌며, 이는 정보 보안 관리 표준의 발전이 성숙기에 접어들었다는 것을 반영하고 있으며, 거버넌스가 정보 보안 투자에 대한 예상 모니터링에 더 많은 관심을 기울이고 있음을 반영합니다. 동시에 위험 관리의 측정도 관계자와 경영진의 관심사다.
(표준 조항 5. 1e, 5.3b, 6.1..1a, 6.1./참조
정보 보안의 목표는 비즈니스 개발 목표와 매우 일치하므로 새로운 표준에 따르면 정보 보안 위험 관리는 정보 중심적이고 정보는 전체 비즈니스 프로세스에 통합되어야 합니다. 새로운 표준은 기존의 자산, 자산의 위협 및 취약점을 식별하는 방법론을 배제하고, 관리 수준이 비즈니스 가치를 기반으로 하고, 정보를 식별하고, 정보의 가치를 결정하고, 다른 비즈니스 프로세스 기반 ISO 관리 표준과의 통합을 용이하게 합니다.
(표준 조항 5. 1A/B 및 6. 1.2 참조)
비즈니스에 더 많은 관심을 기울이고 있기 때문에 새로운 표준은 거시 정책, 기술 개발, 산업 동향 및 미시 조직 환경을 포함한 비즈니스 및 조직 목표에 대한 이해를 내부 및 외부 환경에서 분석해야 합니다. 환경 요인이 비즈니스에 미치는 영향과 정보 보안 요구 사항. 경영진은 정보 보안 관리 목표가 비즈니스 전략을 지원하는 방법을 중요하게 생각합니다.
(표준 조항 4. 1, 4.2, 5. 1a 및 5.2a 참조)
정보 보안 위험은 새로운 표준에서 더욱 생생하고 중립적이 되며, 위험도 기회를 의미할 수 있습니다. 새로운 표준은 위험 소유자를 정의해야 합니다. 위험 소유자는 IT 직원뿐 아니라 비즈니스 리더 또는 특정 활동의 책임자가 될 가능성이 더 큽니다. 정보 보안 위험에 대한 선호도와 태도는 조직의 전반적인 위험 관리 프레임워크와 완전히 결합되어 있습니다.
(표준 조항 6.1..1참조. D/E, 6.1.2.c2; ) 1. 클라우드 기술의 광범위한 응용 및 아웃소싱 비즈니스가 부상함에 따라 공급망의 보안 위험 관리는 조직의 전략적 수준에서 일상적인 운영 수준까지 식별, 활용 및 통제되어야 합니다. 공급망 관계 관리를 늘리고 공급망 관계의 정보 보안 및 서비스 제공 업체의 배송 과정에서 정보 보안에 초점을 맞추고 있습니다.
(표준 조항 4.3.c; 참조; 8. 1, A. 15)
2. 동시에, 큰 데이터의 출현으로 데이터 유출 위험이 커짐에 따라 표준은 암호화 제어를 제어 대상 항목에서 제어 도메인으로 올립니다.
(표준 조항 A. 10 참조)
3. 모바일 인터넷은 생활, 사무실, 새로운 모바일 장치에 보안 정책을 사용합니다.
(표준 조항 A.6.2. 1 참조)
4. 일상적인 운영뿐 아니라 조직 차원에서도 프로젝트의 정보 보안 관리에 특별한주의를 기울여야 합니다. 이는 새로운 통제입니다. 요구 사항 분석, 개발 환경, 테스트 데이터 보호, 테스트 수용, 변경 관리, 개발 아웃소싱 관리 등 시스템 개발 수명주기 전반에 걸친 정보 보안 관리 기능도 향상되었습니다.
(표준 조항 A.6. 1.5, A. 14. 1/2/3 참조).
5. 신기술과 위험지점이 등장하면서 위험처리 통제 조치는 더 이상 부록 A .. 부록 A 는 기본적인 필수 옵션일 뿐이다. (표준 조항 6. 1.3c 참조) 구조적으로 새 표준은 다른 ISO 시리즈 표준과 정확히 일치하며 ISO 지침 83 을 준수하며 다른 ISO 관리 시스템과의 통합을 용이하게 하는 ISO 관리 시스템 인증 표준의 기본 프레임워크입니다.
새로운 표준의 틀은 다음과 같이 요약됩니다
0 소개
1 범위
2 규범 참조 문서
3 용어 및 정의
4 ISO3 1000 과 일치하는 조직 시나리오.
5 리더십은 특히 높은 수준의 지도가 필요하며, 정보 보안 인력이 관리 효율성을 높이기 위해 노력하고 각자의 책임 분야에서 리더십을 보여줄 수 있도록 지원해야 합니다.
6 계획
7. 지원: 자원, 조직 서비스 능력, 정보 보안 인식 요구 사항, 특히 정보 보안에 관한 내부 및 외부 커뮤니케이션 프로세스를 설정합니다.
정보 보안 위험 평가 및 폐기를 포함한 ISMS 구축 요구 사항을 설명하는 일상적인 운영
9 성과 검토, 모니터링, 측정 및 검토 활동 요구 사항 설명
10 개선, 개선 활동 요구 사항 설명 이 가운데 예방조치가 취소되고 위험 관리 자체가 주동적인 예방이다.