# ISO 17799

# Ⅰ. 정보보호 관리체계 인증규격 BS 7799의 개요

## 가. ISO 17799의 정의
  * 영국표준협회(BSI) 주관으로 1993년부터 산업계의 보안관련 표준을 수렴하여 1998년까지 제정한 `정보보호관리체계 인증 규격`
  * 1999년 10월 ISO 표준으로 제안되어 ISO/IEC 17799로 국제 표준화 되었음

## 나. BS 7799 의 변천 과정

^  1995~1998  ^  1999  ^  2000  ^  2005  ^  2007  ^  
| BS 7799 part1 \\ BS 7799 part2 | BS 7799 part1,2 개정 | BS7799 part1이 ISO/IEC 17799으로 전환 | ISO/IEC 17799 개정 | ISO/IEC 17799가 ISO/IEC 27002로 전환 |
|:::|:::^  2002  ^  2005  |:::|
|:::|:::| BS 7799 part2 개정 | BS 7799 part2가 ISO/IEC 27001로 전환 |:::|


## 다. BS 7799(British Standard 7799)의 구성

^  구성  ^  내용  ^  표준화 과정  ^  
|  Part1  | - 정보 보안 관리에 대한 실행 지침 \\ - 보안정책, 조직, 인적 보안 등의 10개 주요분야와 127개 통제 항목으로 구성 | ISO 17799로 개정 |
|  Part2  | - 정보보안관리시스템(ISMS; Information Security Management System)에 대한 규격 \\ - 정보보안관리시스템은 비즈니스 위험 접근 방법에 근거하여 정보보안을 수립, 구현, 운영, 모니터링, 검토, 유지 및 개선하기 위한 시스템 | ISO 27701로 개정 |


# Ⅲ. ISO 17799 개요

## 가. ISO 17799(27002)의 정의

  * 정보 보안 관리 시스템(ISMS; Information Security Management System)를 시작, 이행 또는 유지하는 책임자에게 정보 보안 관리에 있어서 Best Practice를 제공

## 나. ISO 17799 구성

^  구성  ^  내용  ^  
|  범위  | |
|  용어와 정의  | |
|  보안 정책  | 1. 정보 보안 정책 |
|  `보안 조직`  | 1. 정보 보안 인프라 \\ 2. 보안 및 타사 접근 \\ 3. 아웃소싱 |
|  자산 분류 및 통제  | 1. 자산에 대한 책임 \\ 2. 정보 구분 |
|  인사 보안  | 1. 직무 정의 및 자원에 대한 보안 \\ 2. 사용자 교육 \\ 3. 보안 사고와 결함에 대응 |
|  `물리적 및 환경적 보안`  | 1. 보안 구역 \\ 2. 장비 보안 \\ 3. 일반적인 컨트롤 |
|  의사 소통 및 운영 관리  | 1. 운영 절차 및 책임 \\ 2. 시스템 기획 및 수락 \\ 3. 악의적인 소프트웨어로부터 보호 \\ 4. 일상 업무 \\ 5. 네트워크 관리 \\ 6. 미디어 관리 및 보안 \\ 7. 정보와 소프트웨어의 교류 |
|  `접근 제어`  | 1. 접근 제어에 대한 비즈니스 요구 사항 \\ 2. 사용자 접근 관리 \\ 3. 사용자 책임 \\ 4. 네트워크 접근 제어 \\ 5. 운영 시스템 접근 제어 \\ 6. 어플리케이션 접근 관리 \\ 7. 모니터링 시스템의 접근과 사용 \\ 8. 모바일 컴퓨팅과 Telenetworking |
|  시스템 개발 및 유지 보수  | 1. 시스템의 보안 요구 사항 \\ 2. 어플리케이션 시스템에서의 보안 \\ 3. 암호화 컨트롤 \\ 4. 시스템 파일에 대한 보안 \\ 5. 개발과 지원 프로세스에 대한 보안 |
|  비즈니스 연속성 관리  | 1. 비즈니스 연속성 관리 측면 |
|  `준거성`((준거: 어떤 일을 기준이나 근거로 하여 거기에 따름))  | 1. `법적 요구 사항 준수` \\ 2. 보안 정책 및 기술적 준수 검토 \\ 3. 시스템 감사 고려 사항 |


# Ⅳ. 정보보안 경영시스템 사용자 지침 명세서, ISO 27001의 개요

## 가. ISO 27001의 연혁

  * 2005년 BS 7799 Part-Ⅱ를 국제 표준 규격으로 채택, 정보보호관리체계(ISMS)에 대한 국제 표준, 인증

## 나. ISO 27001의 목적
  * **정보보안경형 시스템에 대한 규격 제시를 통한 기업의 정보보안경영 시스템 평가/인증**

## 다. ISO 27001의 구성요소
^  구분  ^  설명  ^  
| 0. 개요 | 일바사항, 프로세스 접근방법, PDCA 모델, 다른 경영시스템과의 병용성 기술 |
| 1. 적용 범위 | 요구사항의 적용 범위 기술 |
| 2. 인용규격 | ISO 9001, ISO 17799, ISO Guide 73의 인용내용 기술 |
| 3. 용어 정의 | 가용성: 인가된 사용자가 필요시 정보 및 관련 자산에 접근하는 것을 보장 \\ 기밀성: 접근이 인가된 사용자만 정보에 접근 가능함을 보장 \\ 무결성: 정보 및 처리 방법의 정확성, 완전성 보장 \\ 정보보안: 정보의 기밀성, 무결성, 가용성에 대한 보증 \\ 정보: 조직에 가치를 제공하고, 적절하게 보호될 필요성이 지속적으로 요구되는 것 \\ 위험관리: 위험과 관려하여 조직을 관리하고 통제하기 위한 활동 |
| 4. 정보보안 경영 시스템(??) | ISMS(Information Security Management System)의 수립, 구현, 운영, 모니터링, 검토, 유지 및 개선에 대한 요구사항 및 문서화 요구사항 기술 |
| 5. 경영책임 | 경영자의 의지 강조, 자원관리 |
| 6. 정보보안 경영 시스템 경영 검토 | 경영검토 입력물 및 출력물 \\ `ISMS 내부심사` |
| 7. 정보보안 경영 시스템 개선 | 지속적인 개선, 시정조치, 예방조치 |


# Ⅴ. ISO 27001에 기초한 정보보안 경영시스템 구축 절차

^  단계  ^  내용  ^  
|  1단계  | 정보보안정책 정의 |
|  2단계  | 정보보안 경영시스템의 범위 설정 \\ 범위는 조직의 특성, 위치, 자산 및 기술 등의 용어로 정의 |
|  3단계  | 위험 평가 실시 \\ 자산에 대한 위협, 취약점 및 조직에 대한 영향도 식별하고 위험 수준을 결정 |
|  4단계  | 위험 관리 |
|  5단계  | 적절한 통제 목표 및 방안 선정, 선정의 정당화 |
|  6단계  | 적용성 보고서 작성 \\ 설정한 통제 목표 및 방안과 그것의 설정 사유를 적용성 보고서로 문서화 |


# Ⅵ. ISO 27001 인증 절차

^  단계  ^   추진 전략  ^  
| 1. Pre Assessment  | 프로젝트 환경을 셋업하고 ISO 27001 인증 범위인 ISMS 정의 \\ 프로젝트 추진 조직을 구성하고 각 담당자를 선정 \\ `프로젝트의 상세계획을 확립` |
| 2. Environment Analysis | ISO 17799의 127 통제 항목을 토대로 물리적, 관리적, 기술적 보안 현황분석을 위한 _GAP_ 분석을 실시 |
| 3. Security Health Check | `위험분석 범위를 설정하고, 위험 분석을 진행할 인력을 구성` \\ 위험분석에 필요한 양식 및 자료를 배포하고, 교육을 실시 \\ 위험분석을 실시 |
| 4. Quick Fix | 각 분야별로 기업에 적용할 ISO 17799 통제항목을 선정 \\ ISO 17799 보안관리 체계(ISMS)를 설계 |
| 5. To be Design | 각 분야별로 ISO 17799 통제항목을 구현할 보안관리 체계를 설계 \\ ISO 17799 보안관리 체계에 적합한 보안 정책/지침/절차를 수립하고 필요한 양식을 작성 |
| 6. Compliance Check | 수립된 보안관리 체계를 기업에 적용 \\ 보안관리 체계를 적용하면서 발생되는 각종 로그를 수집 정리하고, 적용성 보고서(SOA)를 작성 \\ 인증 예비 심사를 실시하고, 본 심사를 준비 |
| 7. 인증심사 | 인증 본 심사를 진행 |


# Ⅶ. 효과적인 정보 보안 시스템의 필요성

## 가. 관리적인 측면
  * _기업 정보의 개인적인 데이터의 완전성, 기밀성 및 가용성을 보증할 수 있는 효과적인 정보보안 시스템을 가지고 있음을 입증할 필요성_

## 나. 비즈니스 측면
  * 정보보안시스템이 효과적이지 못할 경우 정보가 유출되거나 컴퓨터 바이러스, 외부의 해커나 사이버 테러로부터 쉽게 공격 받을 수 있음.
  * 기업 비즈니스 연속성 측면의 중요성 대두


# 참고
  * 정보보호관리체계(ISMS)는 조직의 정보 자산을 체계적으로 보호화고 사이버침해 위협으로부터 조직이 유기적으로 대응하기 위한 종합적인 관리체계를 의미함
  * G-ISMS의 정의
    * 전자정부 정보보호관리체계(G-ISMS)는 정부 행정기관 등의 조직 및 서비스의 특성에 적합하게 수립된 종합적인 정보보호 관리체계를 의미함


## ISO 27000 시리즈

^  시리즈  ^   상세  ^  
|  ISO 27000  | - Principle and Vocabulary |
|  `ISO 27001`  | - `ISMS Requirements/ISMS 에 대한 심사 및 이능 규격(BS 7799 part2)`, 정보보안관리시스템 문서화 수립 실행에 대한 요구사항 규정 \\ - 기업에 대한 정보보안 관리규격을 정의하고 있으며 실 심사/인증용으로 사용됨 \\ - **11개 Domain**에 총 **133통제항목**으로 구성되어 있음 |
|  ISO 27002  | - 정보보안관리에 대한 실행 지침(BS 7799 part2) \\ ISO 27991에 대한 참조 문서로 사용될 수 있음 \\ ISO 27001의 정보보안관리에 대한 통제항목을 포함한 상세 실행 지침 제공 \\ 심사 및 인증 용으로 사용되지 않음 |
|  ISO 27003  | - Risk Management (개발 중) |
|  ISO 27004  | - ISM Metrics & Measurements (개발 중) |
|  ISO 27005  | - ISMS Implementation Guidelines (개발 중) |
|  ISO 27006  | - Disaster Recovery Services (개발 중) |