ISO/IEC 27001:2022은 정보보호 관리체계(ISMS)의 국제 표준으로, 조직이 정보 자산을 안전하게 보호
페이지 정보
작성자 게시판관리자 작성일25-05-18 08:47 조회3회 댓글0건관련링크
본문
ISO/IEC 27001:2022은 정보보호 관리체계(ISMS)의 국제 표준으로, 조직이 정보 자산을 안전하게 보호하기 위한 관리적, 물리적, 기술적 통제를 요구합니다.
2022년 개정판에서는 Annex A 통제 항목이 93개로 재구성되었으며, 기존 114개에서 군더더기를 줄이고 통제를 4개의 **테마(도메인)**로 재분류하였습니다.
ISO/IEC 27001:2022 Annex A 통제 항목 요약
총 93개 항목, 4개 주요 테마
1. 조직적 통제 (Organizational Controls) – 37개
-
정보보호 정책 (A.5.1)
-
정책 수립 및 검토 기준 마련
-
-
정보보호 역할 및 책임 (A.5.2)
-
정보보호 책임자 지정, 역할 명확화
-
-
연락 담당자 및 연계 (A.5.7)
-
규제기관, 보안 커뮤니티와의 협력체계
-
-
프로젝트 보안 통합 (A.5.11)
-
프로젝트 단계부터 정보보안 통합 적용
-
✅ 조직 전반에 걸친 거버넌스, 인사, 공급망, 보안 정책 등이 포함됩니다.
2. 인적 통제 (People Controls) – 8개
-
고용 전 보안 점검 (A.6.1)
-
채용 전 보안검토 및 배경 확인
-
-
보안 인식 교육 (A.6.3)
-
전 임직원 대상 정보보안 인식 교육
-
-
퇴직 또는 전보 시 통제 (A.6.5)
-
퇴사 후 접근 권한 제거 및 보안 약정 지속
-
✅ 직원의 생애주기(Lifecycle) 전반에 걸친 보안 책임과 행동 기준에 초점.
3. 물리적 통제 (Physical Controls) – 14개
-
출입통제 (A.7.1)
-
시설 접근 권한 통제
-
-
장비 보호 (A.7.3)
-
서버, 노트북 등 자산 물리적 보호
-
-
데이터 삭제 (A.7.10)
-
장비 폐기 시 안전한 데이터 삭제
-
✅ 시설보안, 장비보호, 전원공급 및 환경조건 유지 등 포함
4. 기술적 통제 (Technological Controls) – 34개
-
인증 (Authentication) (A.8.2)
-
멀티팩터 인증 등
-
-
접근통제 (Access Control) (A.8.3)
-
최소권한, 역할 기반 접근 설정
-
-
암호화 (A.8.24)
-
데이터 보호를 위한 암호화 적용
-
-
로깅 및 모니터링 (A.8.15)
-
로그 기록, 감사 가능성 확보
-
-
악성코드 방지 (A.8.7)
-
백신, EDR 등 위협 탐지 및 대응
-
✅ 정보시스템, 네트워크, 어플리케이션 보안을 포함하며 가장 기술적인 영역입니다.
댓글목록
등록된 댓글이 없습니다.