BS7799-1(ISO/IEC 1799:2000) "정보 보안 관리 구현 규칙"은 조직이 정보 보안 관리 시스템을 수립하고 구현하는 데 필요한 지침 원칙으로, 주로 조직에 정보 보안 전략 및 구현을 제공합니다. 효과적인 정보 보안 통제는 일반적인 모범 사례를 제공합니다. BS7799-2 "정보 보안 관리 시스템 사양"은 정보 보안 관리 시스템(ISMS)을 구축, 구현 및 문서화하기 위한 요구 사항을 명시하고 있으며, 독립 조직의 요구에 따라 보안 통제를 구현하기 위한 요구 사항을 규정합니다. 이 표준의 적용 범위가 소개됨에 따라 이 표준은 다음과 같은 경우에 적용됩니다. 조직은 이 표준의 요구 사항에 따라 정보 보안 관리 시스템을 구축 및 구현하고 효과적인 정보 보안 위험 관리를 수행하며 지속 가능한 비즈니스 개발을 보장합니다. 정보 보안 관리 시스템을 추구하는 수단으로 제3자 인증 표준. BS7799-2는 정보보호 관리 요구사항을 명확하게 제시하고 있으며, BS7799-1은 이에 상응하는 공통 통제 방법(조치)을 제공하고 있으므로 엄밀히 말하면 해당 기관이 획득한 인증은 BS7799를 획득한 것입니다. -2 인증, BS7799-1은 BS7799-2의 구체적인 구현에 대한 지침을 제공하지만, 표준의 제어 목표 및 제어 방법 요구 사항이 정보 보안 관리의 전부는 아닙니다. 조직은 필요에 따라 추가 제어 목표 및 제어 방법을 고려할 수 있습니다.
BS7799-1:1999 "정보 보안 관리 구현 규칙" 내용 소개
BS7799-1:1999(ISO/IEC 1799:2000) 표준에는 "서문"이 있습니다. 본문 앞에 "소개"는 정보 보안이 무엇인지, 정보 보안이 필요한 이유, 보안 요구 사항을 결정하는 방법, 보안 위험 평가, 제어 조치 선택, 정보 보안의 시작점, 핵심을 이해합니다. 성공요인을 파악하고 자신만의 가이드라인을 수립하라' 등의 내용을 설명하고 있다. 표준에 따르면 정보보안이란 정보의 기밀성, 무결성, 가용성을 유지하는 것을 의미한다. 기밀성은 해당 정보를 사용할 권한이 있는 사람만 정보에 액세스할 수 있도록 보장하는 것으로 정의됩니다. 무결성은 정보와 그 처리의 정확성과 완전성을 보호하는 것으로 정의됩니다. 가용성은 승인된 사용자가 필요할 때 정보를 얻고 관련 자산을 사용할 수 있도록 보장하는 것으로 정의됩니다. 표준에서 "정보 보안이 필요한 이유"를 소개하면 정보, 정보 처리 프로세스, 정보를 지원하는 정보 시스템 및 정보 네트워크는 모두 중요한 비즈니스 자산입니다. 정보의 기밀성, 무결성 및 가용성은 경쟁 우위, 재무 흐름, 수익성, 법률 준수 및 비즈니스 이미지를 유지하는 데 매우 중요합니다. 그러나 점점 더 많은 조직과 정보 시스템 및 네트워크가 컴퓨터 사기, 간첩, 기물 파손, 화재, 홍수 등 광범위한 보안 위협과 컴퓨터 바이러스, 컴퓨터 침입, DOS 공격으로 인한 정보 재해에 직면하고 있습니다. 등. 이는 더욱 일반적이고 계획적이며 감지하기 어려워졌습니다. 정보 시스템 및 정보 서비스에 대한 조직의 의존성은 보안 위협에 더 취약하다는 것을 의미하며, 공공 및 민간 네트워크의 상호 연결과 정보 자원의 공유로 인해 액세스 제어 달성이 더 어려워집니다. 많은 정보 시스템 자체가 보안 시스템의 요구 사항에 따라 설계되지 않았으므로 정보 보안을 달성하기 위해 기술적 수단에만 의존하는 것은 한계가 있습니다. 따라서 정보 보안 구현은 관리 및 프로그램 제어를 통해 적절하게 지원되어야 합니다.
표준 본문에는 조직이 운영 중 정보 보안에 영향을 미치는 요소를 식별하는 데 도움이 되는 127가지 보안 통제 조치가 명시되어 있습니다. 조직은 해당 법률, 규정 및 헌장에 따라 이를 선택하여 사용할 수 있으며 기타 사항을 추가할 수 있습니다. 추가 컨트롤. 이러한 127가지 통제 조치는 10가지 측면으로 나누어져 있으며 조직이 정보 보안 관리를 구현하는 데 실질적인 지침이 됩니다.
(1) 보안 정책: 정보 보안 관리를 제공하기 위한 정보 보안 정책을 개발합니다. 지도와 지원.
(2) 조직 보안: 조직 내 정보 보안을 관리하기 위한 정보 보안 인프라를 구축합니다.
조직의 정보 처리 시설 및 제3자가 액세스하는 정보 자산을 유지 관리합니다. 정보 처리를 다른 조직에 아웃소싱하는 경우 정보 보안을 유지합니다.
(3) 자산 분류 및 통제: 조직 자산의 적절한 보호를 유지하기 위해 모든 정보 자산을 확인하고, 정보 자산이 적절한 수준으로 보호되도록 정보를 분류합니다.
(4) 직원 보안: 인적 오류, 도난, 사기 또는 시설 오용의 위험을 줄이기 위해 직무 책임 및 인사 보안의 정의에 주의를 기울여 사용자가 다음 사항을 준수하는지 확인합니다. 정보 보안 위협 및 업무를 인식하고 정상적인 업무 과정에서 조직의 보안 정책을 지원할 준비를 갖추고 보안 사고 및 실패의 피해를 최소화하기 위해 보안 사고 및 실패에 대한 대응 절차를 개발하고 사고를 모니터링하고 학습합니다.
(5) 물리적 및 환경적 보안: 사업장 및 정보에 대한 무단 접근, 손상 및 간섭을 방지하기 위해 보안 영역을 정의하고 장비 보안을 보호하고 정보 자산 누출 및 손실을 방지합니다. 업무활동의 중단, 정보 및 정보처리시설의 유출 또는 도용을 방지하기 위한 전반적인 통제
(6) 통신 및 운영 관리: 정보 처리 시설의 올바르고 안전한 운영을 보장하기 위한 운영 절차 및 책임을 개발하고, 악성 코드로부터 시스템 오류를 최소화하기 위한 시스템 계획 및 승인 기준을 수립합니다. 소프트웨어 및 정보의 무결성을 보호하고 정보 처리 및 통신 서비스의 무결성과 가용성을 유지하기 위한 관리 절차를 확립하고 네트워크의 정보 보안을 보장하며 자산 손상을 방지하기 위한 미디어 처리 및 보안 절차를 확립합니다. 조직 간 교환 시 정보 및 소프트웨어의 손실, 수정 또는 오용을 방지하는 비즈니스 활동 중단.
(7) 액세스 제어: 정보에 대한 액세스를 제어하기 위한 비즈니스 요구 사항을 개발하고, 정보 시스템에 대한 무단 액세스를 방지하기 위한 포괄적인 사용자 액세스 관리를 확립하여 사용자가 이를 방지하기 위한 제어 책임을 유지하도록 합니다. 무단 사용자의 액세스를 제어하여 네트워크 서비스를 보호합니다. 컴퓨터에 대한 무단 액세스를 방지하기 위해 애플리케이션 액세스 제어를 설정하여 시스템 액세스 및 사용을 모니터링합니다. 승인되지 않은 활동을 탐지하고 모바일 컴퓨팅 및 원격 작업을 사용할 때 정보 보안을 보장합니다.
(8) 시스템 개발 및 유지 관리: 정보 시스템에 보안이 내장되어 있는지 확인하기 위해 시스템의 보안 요구 사항을 식별하고 사용자의 손실, 수정 또는 오용을 방지하기 위해 응용 프로그램 시스템의 보안을 제어합니다. 애플리케이션 시스템의 데이터 암호 제어를 사용하여 정보의 기밀성, 신뢰성 또는 무결성을 보호합니다. IT 프로젝트 및 지원 활동이 안전한 방식으로 수행되도록 시스템 파일에 대한 액세스를 제어합니다. 보안을 유지하기 위해 개발 및 지원 프로세스를 엄격하게 제어합니다. 응용 시스템 소프트웨어 및 정보.
(9) 비즈니스 연속성 관리: 비즈니스 활동 중단을 줄이고 주요 비즈니스 프로세스를 중대한 실패나 자연 재해로부터 보호하는 것이 목적입니다.
(10) 규정 준수: 정보 시스템의 설계, 운영, 사용 및 관리는 법적 요구 사항을 준수해야 하며 범죄, 민법 위반, 법령, 규정 또는 계약 의무 위반 및 보안 요구 사항을 피해야 합니다. , 정기적으로 보안 정책 및 기술 준수를 검토하여 시스템이 조직의 보안 정책 및 표준을 준수하는지 확인하여 시스템 감사 프로세스의 효율성을 최대화하고 중단을 최소화합니다.
BS7799-2:2002 "정보 보안 관리 시스템 사양" 내용 소개
BS7799-2:2002 표준은 정보 보안 관리 시스템(ISMS) 요구 사항의 수립, 구현 및 유지 관리에 대해 자세히 설명합니다. 이는 구현 조직이 가장 적절한 제어 개체를 식별하고 자체 요구에 맞는 적절한 제어를 채택하기 위해 특정 위험 평가를 따라야 함을 나타냅니다. 이 부분에서는 그림 1과 같이 정보 보안 관리 시스템을 구축하는 방법에 대한 단계를 제시합니다.
(1) 정보 보안 정책을 정의합니다.
정보 보안 전략은 조직 정보 보안의 최고 정책으로, 조직 내 각 부서의 실제 상황에 따라 다양한 정보 보안 전략을 수립해야 합니다. 예를 들어, 소규모 조직 단위에는 조직 내의 모든 부서와 직원에 적용되는 정보 보안 정책이 하나만 있을 수 있지만, 대규모 그룹 조직에서는 다양한 자회사나 지점의 각 부서에 적용되는 정보 보안 정책 문서를 개발해야 합니다. 정보 보안 정책은 간단하고 명확하며 이해하기 쉬워야 하며 서면으로 문서화하여 조직의 모든 구성원에게 배포해야 합니다.
동시에, 모든 관련 직원은 정보보안 전략에 대한 교육을 받아야 하며, 정보보안에 대한 특별한 책임을 맡은 사람들은 정보보안 정책이 조직 내 모든 직원의 마음 속에 정착되고 실행될 수 있도록 특별 교육을 받아야 합니다. 실제 작업.
(2) ISMS의 범위를 정의합니다.
ISMS의 범위에 따라 정보보안 관리에 중점을 두어야 하는 영역이 결정됩니다. 조직은 전체 조직 내에서, 또는 개별 부서나 분야에서 실제 상황에 따라 ISMS를 구축해야 합니다. 이 단계에서는 조직이 다양한 요구 사항이 있는 영역에서 적절한 정보 보안 관리를 보다 쉽게 수행할 수 있도록 조직을 다양한 정보 보안 제어 영역으로 나누어야 합니다.
(3) 정보 보안 위험 평가를 수행합니다.
정보 보안 위험 평가의 복잡성은 위험의 복잡성과 보호되는 자산의 민감도에 따라 달라집니다. 사용되는 평가 방법은 정보 자산 위험에 대한 조직의 보호 요구 사항과 일치해야 합니다. 위험 평가는 주로 ISMS 범위 내에서 정보 자산을 식별하고 가치를 부여한 후 정보 자산이 직면한 다양한 위협과 취약성을 평가하고 기존 또는 계획된 보안 통제 조치를 식별합니다. 위험 평가는 주로 비즈니스 정보 및 시스템의 성격, 정보를 사용하는 비즈니스 목적, 사용된 시스템 환경과 같은 요소에 따라 달라집니다. 조직은 정보 자산에 대한 위험 평가를 수행할 때 직접적인 결과와 잠재적인 결과를 모두 고려해야 합니다.
(4) 정보 보안 위험 관리.
위험평가 결과에 따라 상응하는 위험관리를 수행한다. 정보 보안 위험 관리에는 주로 다음 조치가 포함됩니다.
위험 감소: 위험 이전을 고려하기 전에 먼저 위험을 줄이기 위한 조치를 취하는 것을 고려해야 합니다.
위험 방지: 일부 위험은 쉽게 수행할 수 있습니다. 다른 기술 사용, 운영 절차 변경, 간단한 기술 조치 채택 등을 통해 방지;
위험 이전: 일반적으로 위험을 줄이거나 피할 수 없고 제3자가 이를 수락하는 경우에만(이전됨) 당)이 채택됐다. 일반적으로 확률이 낮지만 위험이 발생할 경우 조직에 큰 영향을 미칠 위험에 사용됩니다.
위험 수용: 위험 감소 및 위험 회피 조치를 취한 후 조직이 운영되는 동안 실용적이고 경제적인 이유로 존재하고 수용해야 하는 위험에 사용됩니다.
(5) 통제 목표를 결정하고 통제 수단을 선택합니다.
통제 목표를 결정하고 통제 수단을 선택하는 원칙은 비용이 위험으로 인한 손실을 초과하지 않는다는 것입니다. 정보 보안은 역동적인 시스템 엔지니어링이므로 조직은 조직의 정보 자산이 효과적이고 경제적이며 합리적으로 보호될 수 있도록 변화하는 상황에 적응하기 위해 선택된 통제 목표와 통제 조치를 실시간으로 확인하고 조정해야 합니다.
(6) 정보 보안 적합성 진술서를 준비합니다.
정보 보안 적합성 선언문에는 조직 내 관련 위험 통제 목표와 각 위험에 대해 채택된 다양한 통제 조치가 기록되어 있습니다. 정보 보안 적용성 기술서를 준비하는 것은 정보 보안이 직면한 위험에 대한 태도를 조직 내 직원에게 선언하고, 더 나아가 조직의 태도와 행동을 외부 세계에 나타내기 위한 것입니다. 조직이 종합적으로, 체계적으로 조직의 정보 보안 시스템을 검토하고 허용 가능한 한도 내에서 필요한 모든 위험을 통제하고 있음을 보여줍니다.
BS7799-2:2002의 특징
새 버전은 ISO9001:2000(품질경영시스템), ISO14001:1996(환경경영시스템) 등 국제적으로 유명한 경영시스템 표준과 동일한 표준을 채택했습니다. 관리 시스템) 스타일을 사용하므로 정보 보안 관리 시스템이 다른 관리 시스템과 더 쉽게 조화를 이룰 수 있습니다.
새 표준 버전의 주요 업데이트는 다음과 같습니다:
PDCA(Plan Do Check Act) 모델
PDCA 모델을 기반으로 한 프로세스 기반 방법
위험 평가 프로세스, 제어 선택 및 적합성 설명의 내용 및 상호 관계에 대한 설명,
ISMS의 지속적인 프로세스 개선의 중요성,
보다 명확한 문서 및 기록의 필요성,
p>
위험 평가 및 관리 프로세스의 개선,
새 버전 사용에 대한 지침을 제공하는 부록,
새 버전에서는 정보 보안 관리 시스템의 구축, 구현 및 개선 과정에서도 PDCA 모델이 인용됩니다. PDCA 모델에 따르면 정보 보안 관리 시스템은 위험 평가, 보안 설계 및 실행, 보안의 4가지 하위 프로세스로 분해됩니다. 특히 PDCA 모델을 기반으로 한 프로세스 관리 방법을 소개하고, 부록에서는 그림 2와 같이 새로운 버전의 표준을 해석하거나 채택하기 위한 지침을 제공합니다. 조직은 이러한 프로세스를 지속적으로 실행하여 정보 보안 수준을 지속적으로 향상시킵니다.
새 버전의 표준에는 BS7799-2:1999에 비해 새로운 감사 및 인증 요구 사항이 도입되지 않았습니다. 새 표준은 확립, 구현 및 유지되는 정보 보안 관리 시스템(ISMS)과 완벽하게 호환됩니다. BS7799-2:1999에 따라. 새 버전의 표준에는 제어 목표 및 제어 방법이 추가되지 않습니다. 모든 제어 목표 및 제어 방법은 ISO/IEC 1799:2000을 따릅니다. 표준의 새 버전은 원본 BS7799-2:1999의 네 번째 부분을 표준 뒷부분에 Annex A로 배치하고 다른 번호 매기기 방법을 사용하여 BS7799-2:1999와 ISO/IEC 1799를 결합합니다. 2000.