ISO/IEC 27001:2022의 규범적 변경
구현 및 유지관리에 필요한 ISMS 내에서 필요한 프로세스 및 상호 작용을 식별하기 위한 요구 사항과 함께 4.4절의 조직 컨텍스트에 매우 중요한 변경사항이 추가됩니다. 이 명시적인 요구사항은 HS(HLS)에 따른 다른 관리 시스템의 모범사례 접근방식과 일치하도록 ISO/IEC 27001:2022를 제공합니다. 정보보안 관리시스템은 확립되고 추적 가능한 프로세스와 상호작용을 기반으로 해야 합니다. Annex A 정보보안 제어는 이러한 프로세스를 중심으로 설계 및 조정됩니다.
8.1절의 변경사항은 또한 모든 HS 기반 관리시스템에 공통적인 프로세스 지향의 중요성을 강조합니다. 조직은 정보보안 위험을 관리하기 위한 조치를 구현하기 위해 운영계획 및 제어의 일부로 프로세스를 실현해야 합니다. 새로운 점은 이제 프로세스 기준을 정의해야 한다는 것입니다. 프로세스 제어는 이러한 기준에 따라 구현되어야 합니다.
또한 다음 절에서 다소 사소한 설명 및 사양이 작성되었습니다.
- 조항 5.3은 정보보안과 관련된 역할에 대한 책임과 권한을 조직 내에서 알려야 한다는 명시적 요구 사항으로 보완됩니다.
- 7.4절은 ISMS에 관한 내부 및 외부 커뮤니케이션의 필요성을 규제합니다. 무엇에 대해, 언제, 누구와 관련하여 여전히 적용 가능한 조항 외에도 의사 소통 방법은 이전 요구 사항에서 실행 가능한 단순화입니다.
- 조항 9.2 내부심사 및 9.3 경영 검토가 통합 구조에 맞게 조정되었습니다. 9.2항은 이제 9.2.1 및 9.2.2로 세분되고, 9.3항은 9.3.1, 9.3.2 및 9.3.3의 세 가지 하위 절로 나뉩니다.
- 조항 10.1 및 조항 10.2가 구성되는 순서는 통합 구조에 맞게 조정되었습니다. 향후 지속적인 개선의 측면은 이제 내용의 추가 변경 없이 10.1절의 10.2절에 있는 부적합 및 시정 조치의 소급 처리보다 우선합니다. 이 조정은 지속적인 개선 프로세스(CIP)의 중요성을 강조합니다.
Annex A의 제어 집합을 참조하는 ISO/IEC 27001의 핵심적이고 명확한 요구사항은 6.1.3 c)절에 따라 조직별 정보보안 제어와 Annex A의 제어 간의 비교 프로세스입니다. 조항 6.1.3 d), 적용성 진술(SoA) 준비. 이러한 핵심 요구 사항은 변경되지 않습니다!
가능한 정보 보안 제어 목록으로 부속서 A를 참조하는 6.1.3 c)절에 대한 정보(비규범) 주석의 설명은 부속서 A를 보완하는 추가 소스에서 추가 조치를 선택할 가능성을 나타냅니다.
ISO/IEC 27001:2022의 새로운 Annex A
ISO/IEC 27001:2022의 표준 부록 A에서 가능한 정보보안(IS) 제어 목록은 ISO/IEC 27002:2022에서 동일하게 파생됩니다. 일반 보안제어 카탈로그는 2022년 2월에 게시되었습니다. 따라서 ISO/IEC 27001:2022의 Annex A에 대한 변경사항은 한동안 예측할 수 있었습니다. 이전에 Annex A에는 14개 조항으로 구성된 35개의 제어 목표에 따라 정보보안 위험을 해결하는 데 사용할 수 있는 총 114개의 제어가 포함되었습니다.
새로운 ISO/IEC 27001:2022가 제어 목표를 제거한다는 사실과는 별개로 Annex A의 정보보안 제어가 개정되고 최신 상태가 되며 몇 가지 새로운 제어로 보완 및 재구성되었습니다.
Annex A의 이전 14개 조항은 이제 하기 4개 주제에 중점을 두고 있습니다 :
A.5 조직 제어(37개 제어 포함)
A.6 개인 컨트롤(컨트롤 8개 포함)
A.7 물리적 컨트롤(14개의 컨트롤 포함)
A.8 기술적 컨트롤(34개 컨트롤 포함)
새로운 ISO/IEC 27001:2022 버전의 Annex A에는 이제 총 93개의 컨트롤이 포함되며 그 중 다음 11개의 컨트롤이 새로 추가되었습니다.
A.5.7 위협적 지능
A.5.23 클라우드 서비스 이용을 위한 정보보안
A.5.30 비즈니스 연속성을 위한 ICT 준비성
A.7.4 물리적 보안 모니터링
A.8.9 구성관리
A.8.10 정보 삭제
A.8.11 데이터 마스킹
A.8.12 데이터 유출방지
A.8.16 활동 모니터링
A.8.23 웹 필터링
A.8.28 안전한 코딩
ISO/IEC 27001:2022의 Annex A는 컨트롤 이름 지정으로 제한되어 있지만 ISO/IEC 27002:2022 구현 가이드는 컨트롤을 분류하기 위한 추가 옵션을 제공합니다. 여기에서 각 컨트롤에는 서로 다른 보기와 관점을 허용하는 5가지 속성이 할당됩니다. 속성 또는 해당 속성 값을 사용하여 다양한 조직 보기를 필터링, 정렬 또는 표시할 수 있습니다.
다섯 가지 속성은 다음과 같습니다.
제어 유형은 조치가 정보보안 사고발생과 관련된 위험을 언제 어떻게 변경하는지 관점에서 제어 보기에 대한 속성입니다.
정보보안 속성은 측정이 지원하려는 보호 목표의 관점에서 컨트롤을 보기 위한 특성입니다.
사이버 보안 개념에서는 제어가 ISO/IEC TS 27110에 설명된 사이버 보안 프레임워크에 매핑되는 방식의 관점에서 제어를 살펴봅니다.
운영능력은 운영 정보보안 기능의 관점에서 통제를 고려하고 조치에 대한 실질적인 사용자 관점을 지원합니다.
보안 도메인은 네 가지 정보보안 도메인의 관점에서 컨트롤을 볼 수 있도록 하는 속성입니다.