녹색 O 2700 1 여기서 핵심적인 역할을 하는 ISO 270000 정보 보안 표준 제품군 중 가장 중요한 표준은 다음과 같습니다.
업계, 기술 및 애플리케이션 측면에서 정보 보안의 모든 측면을 포괄하는 더 많은 기준이 아래에 나와 있습니다.
ISO27000
정보 기술-보안 기술-정보 보안 관리 시스템-개요 및 용어
이 표준은 ISMS 표준 패밀리를 구성하는 정보 보안 관리 표준을 요약하고 ISMS 표준 패밀리와 관련된 용어를 규정합니다.
ISO2700 1
정보 기술-보안 기술-정보 보안 관리 시스템-요구 사항
이 표준은 BS7799-2 에서 유래한 것으로 ISMS 의 기본 요구 사항을 주로 제시하고 2005 년 6 월 공식 발표됐다.
접미사 O2700 1 을 사용하여 ISMS (정보 보안 관리 시스템) 구축, 구현, 운영, 모니터링, 검토, 유지 관리 및 개선을 위한 모델을 제공합니다. ISMS 채택은 조직의 전략적 결정이어야합니다. 조직의 ISMS 설계 및 구현은 비즈니스 요구 사항과 목표, 보안 요구 사항, 채택된 프로세스, 조직의 규모와 구조에 의해 영향을 받습니다. 이러한 요소와 지원 프로세스는 계속 변경될 것입니다. 정보 보안 관리 시스템은 조직의 필요에 따라 측정할 수 있기를 기대합니다. 예를 들어 간단한 경우 간단한 ISMS 솔루션을 사용할 수 있습니다. O2700 1 기준은 고객, 조직 자체 및 법률 정보 보안 요구 사항을 충족하는 조직의 능력을 평가하는 기준으로 사용할 수 있으며, 조직 자체 평가나 공급자 능력 평가 및 독립 제 3 자 인증의 기준으로 사용할 수 있습니다. 상하이 정보 교육 센터에서는 IRCA 가 인정한 ISO 2700 1LA 정보 보안 관리 시스템 책임자 감사원 교육을 제공합니다.
ISO27002
정보 기술-보안 기술-정보 보안 관리 유틸리티 규칙 이 표준은 ISO/IEC 17799: 2005 를 대체하고 표준 번호를 ISO/IEC 17799: 2005 에서 iso 로 직접 변경합니다
이 표준은 조직 내에서 정보 보안 관리를 시작, 구현, 유지 관리 및 개선하기 위한 지침과 일반 원칙을 제공합니다. 이 표준에 요약된 목표는 공인된 정보 보안 관리 목표에 대한 공통 지침을 제공합니다.
위험 평가에 명시된 요구 사항을 충족하기 위해 이 표준의 통제 목표와 조치를 이행할 것으로 예상됩니다. 이 표준은 조직 보안 표준 및 효과적인 보안 관리 관행의 발전을 지원하고 조직 간 활동에서 자신감을 쌓는 데 도움이 되는 실천 가이드로 사용될 수 있습니다. 이 표준에 포함된 구현 규칙은 조직에 대한 구체적인 지침을 개발하기 위한 시작점으로 볼 수 있습니다. 이 구현 규칙의 모든 제어 및 설명이 적용되는 것은 아닙니다. 또한 이 표준에 포함되지 않은 추가 제어 및 지침이 필요할 수 있습니다. 추가 통제 조치 및 지침이 포함된 문서를 개발할 때 이 표준의 적용 가능한 조항에 대한 상호 참조를 포함시키면 감사자 및 비즈니스 파트너가 규정 준수 검증을 수행하는 데 도움이 될 수 있습니다.
ISO27003
정보 기술-보안 기술-정보 보안 관리 시스템 구현 지침
이 표준은 20 10 년 2 월에 ga 되었습니다. 이 표준은 ISO/IEC 2700 1 ISMS (정보 보안 관리 시스템) 구현 계획에 따른 애플리케이션 가이드를 제공합니다. ISMS 는 일반적으로 하나의 프로젝트로 구현됩니다.
ISO27004
정보 기술-보안 기술-정보 보안 관리-측정
이 표준은 2009 년 2 월에 공식 발표되었습니다. 이 표준은 조직이 정보 보안 관리 시스템의 효율성을 측정, 보고 및 체계적으로 향상시킬 수 있도록 설계되었습니다. 이 표준은 ISO/IEC 2700 1 에 명시된 정보 보안 관리 시스템 및 제어 조치의 구현 효과를 평가하기 위한 측정 프로젝트 개발 및 구현 측정에 대한 지침을 제공합니다.
ISO27005
정보 기술-보안 기술-정보 보안 위험 관리
이 표준은 BS7799-3 및 ISO 13335 를 기반으로 하며 2008 년 6 월 공식 발표되었습니다. 이 표준은 정보 보안 위험 관리의 요구 사항을 설명하며 위험 평가, 보안 요구 사항 식별 및 정보 보안 관리 시스템 구축 및 유지 관리에 사용할 수 있습니다.
ISO27006
정보 기술. 보안 기술. 정보 보안 관리 시스템에 대한 감사 및 인증 기관의 요구 사항
이 표준은 2007 년 2 월에 공식 발표되었습니다. 이 표준은 ISMS 인증을 제공하는 기관에 대한 요구 사항을 제시하며, ISMS 인증 서비스를 제공하는 모든 기관은 이 표준의 요구 사항에 따라 역량과 신뢰성을 증명해야 합니다.
ISO27007
정보 기술-보안 기술-정보 보안 관리 시스템 감사 가이드
이 표준은 인증 기관, 내부 감사자, 외부/제 3 자 감사자 및 ISO/IEC 2700 1 감사 정보 보안 관리 시스템을 기반으로 한 기타 감사 활동에 대한 지침을 제공합니다.
ISO27008
정보 기술-보안 기술-감사원 가이드-ISMS 통제 조치
이 표준은 정보 보안 관리 시스템의 모든 감사인에게' 위험 방법에 따라 ISMS 통제 조치 선택' 에 대한 지침을 제공합니다. 이 표준은 ISMS 와 선택한 통제 조치 간의 관계를 명확히 하여 정보 보안 위험 관리 프로세스와 내부 및 외부 ISMS 감사를 지원합니다. 또한 "ISMS 제어 조치" 의 실행 정도를 확인하는 방법에 대한 지침을 제공합니다.
ISO/IEC 27009: 정보 보안 거버넌스 프레임워크
ISO270 10
정보 기술-보안 기술-조직 간 정보 보안 관리
이 표준은 산업, 영역 및 국가 간 정보 보안 위험, 통제 조치, 분쟁 및 보안 이벤트에 대한 정보 공유에 대한 지침을 제공하는 여러 섹션으로 구성됩니다.
ISO270 1 1
정보 기술-보안 기술-ISO/IEC 27002 기반 통신 조직 정보 보안 관리 가이드
이 표준은 2008 년 2 월에 공식 발표되었습니다. 이 표준은 통신 산업에 사용되며 ITU-T 와 ISO/IEC JTC 1/SC27 * * 이 공동으로 개발하고 ITU-t X.105/kloc/를 공동 발표했습니다
정보 및 지원 프로세스, 통신 시설, 네트워크 및 회선은 통신 기관의 중요한 비즈니스 자산이며, 정보 보안은 통신 기관이 비즈니스 자산을 적절히 관리하고, 비즈니스 활동의 연속성을 정확하고 성공적으로 유지하는 데 매우 중요합니다. 이 표준은 통신 기관의 정보 보안 관리에 대한 요구 사항을 제시하고, 통신 기업이 전체 운영 위험 프레임워크 하에서 파일 기반 정보 보안 관리 시스템 (ISMS) 을 구축, 구현, 운영, 모니터링, 검토, 유지 관리 및 개선할 수 있도록 규정하고 있습니다.
ISO/IEC 270 12: 전자 정부 서비스
ISO270 13
IT 기술. 보안 기술. ISO/IEC 20000- 1 및 ISO/IEC 2700 1 통합 구현 안내서
이 표준은 ISO/IEC 2700 1 (정보 보안 관리 시스템) 및 ISO/IEC 20000- 1 (정보 기술 서비스 관리 사양) 의 통합 구현에 대한 지침을 제공합니다.
ISO270 14
정보 기술-보안 기술-정보 보안 관리 아키텍처
이 표준은 조직이 정보 보안을 관리 할 수 있도록 설계되었습니다. 정보 보안 거버넌스는 조직의 비즈니스 전략, 원칙 및 목표를 고려합니다. 거버넌스와 관련된 적용 가능한 법률 및 규정을 준수하십시오. 제 3 자에 대한 조직의 계약의무나 기타 법적 의무를 준수하며, 그 반대의 경우도 마찬가지입니다. 제 3 자에게 보증에 필요한 감사 및 인증서 요구 사항을 제공합니다.
ISO270 15
정보 기술. 보안 기술. 금융 및 보험업계의 정보 보안 관리 시스템 가이드
이 기준은 금융 서비스 업계의 조직 (예: 은행, 보험회사, 신용카드 회사 등) 을 돕기 위한 것입니다. ) ISO27000 시리즈 표준을 사용하여 ISMS 를 구현합니다. 이 업계에도 ISOTR13569-'은행업 정보 보안 가이드' 와 같은 위험 및 보안 관리 기준이 있지만 SC27 이 개발한' ISMS 구현 가이드' 는 ISO/IEC 27002/KLOC-;
ISO2703 1
정보 기술-보안 기술-무중단 업무 운영을위한 ICT 준비 가이드
ISO/IEC 2703 1 은 무중단 업무 운영을 보장하는 ICT (정보 통신 기술) 의 개념과 원칙을 설명합니다. 이 표준은 모든 유형의 조직 (개인, 정부 및 비정부 조직) 에 대한 프레임워크 (방법 및 절차) 를 제공합니다. 조직의 ISMS 의 일환으로, 통신 기술 준비 능력을 향상시키고, 무중단 업무 운영을 보장하며, 성과 기준, 구현 세부 사항 등 모든 관련 콘텐츠를 식별하고 규정합니다. 조직은 지속 가능성과 보안을 측정할 수 있으므로 일관성 있고 검증된 방식으로 재해로부터 복구할 수 있습니다.
ISO27032
정보 기술-보안 기술-네트워크 공간 보안 가이드
ISO/IEC 27032 는 "네트워크 공간" 이 직면한 고유한 보안 문제를 설명합니다. "네트워크 공간" 은 인터넷에서 사람, 소프트웨어 및 서비스의 상호 작용으로 인해 발생하는 복잡한 환경으로 표준에 정의되어 있으며, 어떠한 물리적 방식으로도 존재하지 않고 기술 시설과 네트워크에 의해 상호 연결됩니다. 사이버 공간에는 현재 정보 보안, 인터넷 보안, 네트워크 보안, ICT 보안이 적용되지 않는 보안 문제가 있습니다. 이러한 보안 영역 간에 차이가 있기 때문입니다. 사이버 공간 보안은 사이버 공간의 다양한 보안 영역 차이로 인한 보안 문제를 해결합니다. 동시에 사이버 공간 보안은 사이버 공간에서 서로 다른 보안 이해 관계자에게 협력 프레임워크를 제공합니다.
ISO27033
정보 기술-보안 기술-네트워크 보안
(ISO/IEC 27033- 1 의 1 부는 2009 년 2 월 공식 발표됐다.).
ISO/IEC 27033 은 기존 네트워크 보안 표준인 ISO/IEC 18028 의 5 개 부분에서 나온 멀티파트 표준이 될 것입니다. 기존 표준은 이름을 바꾸지 않을 뿐만 아니라 큰 수정이 있을 것이다.
ISO/IEC 27033 은 ISO/IEC 27002 에 도입된 네트워크 보안 제어 구현을 위한 자세한 지침을 제공하며 다음 섹션을 포함합니다.
ISO/IEC 27033- 1:2009 정보 기술-보안 기술-네트워크 보안-섹션 1 개요 및 개념
ISO/IEC 27033-2: 네트워크 보안 설계 및 구현 설명서
ISO/IEC 27033-3: 참조 네트워크 시나리오-위협, 설계 기술 및 제어 문제
ISO/IEC 27033-4: 보안 게이트웨이를 사용하여 네트워크 간 통신 보호-위협, 설계 기술 및 제어 문제
ISO/IEC 27033-5: 가상 사설망 보호-위협, 설계 기술 및 제어 문제
ISO/IEC 27033-6: IP 컨버전스
ISO/IEC 27033-7: 무선 네트워크 보안 가이드-위험, 설계 기술 및 통제 문제
ISO/IEC 27033-8: 안전 가이드 [기타 네트워크 보안 분야 삽입]-위험, 설계 기술 및 통제 문제
ISO27034
정보 기술-보안 기술-응용 보안
ISO/IEC 27034 는 멀티파트 표준이 될 것입니다. 이 표준은 조직의 시스템 개발 수명주기와 통합된 일련의 프로세스를 통해 정보 보안 제어 조치를 계획, 설계, 선택 및 구현하는 지침을 제공합니다. 이 표준은 다음 섹션으로 구성됩니다.
ISO/IEC 27034- 1-정보 기술-보안 기술-애플리케이션 보안 개요 및 개념
ISO/IEC 27034-2-조직 사양 프레임워크
ISO/IEC 27034-3-보안 관리 프로세스 적용
ISO/IEC 27034-4-보안 인증 적용
ISO/IEC 27034-5-프로토콜 및 어플리케이션 보안 제어 데이터 구조
ISO/IEC 27034-6-애플리케이션별 보안 가이드
ISO27035
정보 기술-안전 기술-안전 사고 관리
ISO/IEC 27035 는 ISO TR 18044 에서 업그레이드됩니다.
ISO27036
IT 보안-보안 기술-아웃소싱 보안 관리 가이드
ISO/IEC 27036 은 아웃소싱 서비스 조달 및 사용과 관련된 보안 위험을 평가 및 제거하고 ISO/IEC 27002 아웃소싱 보안 통제 조치 구현을 지원하도록 조직에 지시할 예정입니다.
ISO27037
IT 보안. 보안 기술. 디지털 증거의 식별, 수집, 획득 및 보존 지침
이 표준은 전자 증거의 식별, 수집, 획득, 표시, 저장, 처리 및 보호에 대한 자세한 지침을 제공합니다.
현재 표준의 이름과 범위는 아직 결정되지 않았습니다.
ISO27799
의료 정보학. ISO/IEC 27002 를 이용한 의료 정보 보안 관리
이 표준은 의학 정보학을 담당하는 ISO 기술위원회 TC2 15 가 발표하며---K 를 담당하는 JTC 1/SC27 이 발표하지 않습니다. 따라서 ISO 27799 가 ISO/IEC 27000 시리즈 표준 중 하나인지 여부는 여전히 논란의 여지가 있다. O 27799:2008 은 의료 정보 분야의 ISO/IEC 27002 를 이해하고 구현하기 위한 지원을 제공하며 ISO/IEC 27002 의 동반 표준입니다.