홈메뉴 > ISO인증 > 인증서비스 분야 > ISO/IEC 27017

ISO/IEC 27017

인증개요

ISO/IEC27017은 ISO/IEC27002에 주어진 지침에 추가 및 보완되었습니다.
이 표준은 클라우드서비스 이용자와 제공자를 위한 정보보호 통제의 구현을 지원하기 위한 지침을 제공합니다. 통제를 구현하는 클라우드서비스 이용자를 위한 것이며, 이 표준은 통제의 구현을 클라우드서비스 제공자를 지원하기 위한 것입니다.

적절한 정보보호 통제의 선택과 제공된 구현 지침의 적용은 위험평가와 법적, 계약적, 규제 등 특유의 기타 클라우드 부문의 정보보호 요구사항에 따라 결정됩니다.

이 표준은 클라우드서비스 제공 및 이용 시 적용 가능한 다음과 같은 정보보호 통제지침을 제공합니다.

ISO/IEC27002에 명시된 관련 통제를 위한 추가적인 구현지침

특히, 클라우드서비스와 관련된 추가적인 통제와 구현지침

또한, 클라우드서비스 제공자와 이용자 모두에게 통제와 구현지침을 제공합니다.

필요성 및 인증의 기대효과

클라우드컴퓨터의 사용은 컴퓨팅 자원을 기술적으로 설계하고, 가동하고, 관리하는 방식을 크게 변화시켰고 이에 따라, 조직이 정보보호 위험을 평가하고 완화하는 방법도 변화되었다.

또한, 클라우드서비스 제공량과 이용수가 증가함에 따라 클라우드서비스 관련 정보보호 통제지침의 필요성도 높아졌습니다. 클라우드 산업계에 클라우드서비스 제공자와 이용자에 대한 정보보호 통제지침을 빠르게 적용하기 위하여 이 표준이 도움을 줄 수 있습니다.

ISO/IEC27017은 ISO//IEC27002에 명시된 관련 통제를 위한 추가적인 구현지침이 반영되어 있으며, 특히 이 표준의 클라우드서비스 통제과 구현지침을 클라우드시스템 기반의 정보보호 처리에 활용 가능토록 합니다.

요구사항
5 정보보호 정책
5.1 정보보호를 위한 경영방침
6 정보보호 조직
6.1 내부 조직
6.2 모바일 기기 및 원격근무
7 인적자원 보안
7.1 고용 전
7.2 조용 중
7.3 고용 종료 및 직무 변경
8 자산관리
8.1 자산에 대한 책임
8.2 정보 등급 분류
8.3 매체 취급
9 접근통제
9.1 접근통제 업무 요구사항
9.2 사용자 접근관리
9.3 사용자 책임
9.4 시스템 및 애플리케이션 접근통제
10 암호화
10.1 암호통제
11 물리적, 환경적 보안
11.1 보안 구역
11.2 장비
12 운영보안
12.1 운영 절차 및 책임
12.2 악성코드 방지
12.3 백업
12.4 로그 기록 및 모니터링
12.5 운영 소프트웨어 통제
12.6 기술적 취약점 관리
12.7 정보시스템 감사 고려사항
13 통신보안
13.1 네트워크 보안관리
13.2 정보 전송
14 시스템 도입, 개발, 유지보수
14.1 정보시스템 보안 요구사항
14.2 개발 및 지원 프로세스 보안
14.3 시험 데이터
15 공급자 관계
15.1 공급자 관계 정보보호
15.2 공급자 서비스 전달관리
16 정보보호 사고 관리
16.1 정보보호 사고 관리 및 개선
17 업무연속성관리의 정보보호 측면
17.1 정보보호 연속성
17.2 이중화
18 준거성
18.1 법적 및 계약 요구사항 준수
18.2 정보보호 검토

Annex
A : 클라우드 확장 통제 집합
B : 클라우드 컴퓨팅 관련 정보보호 위험에 대한 참조 문서

ISO/IEC 27017;
Information technology - Security techniques - Code of practice for information security controls based on ISO/IEC 27002 for cloud services

ISO/IEC 27799;
Health informatics - Information security management in health using ISO/IEC 27002

ISO/IEC 27701;
Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management
- Requirements and guidelines

ISO/IEC 27001
Information technology - Security techniques -- Information security management systems - Requirements

ISO/IEC 27002;
Information technology- Security techniques - Code of practice for information security controls

ISO/IEC 27018;
Information technology - Security techniques - Code of practice for protection of personally identifiable information
(PII) in public clouds acting as PII processors

ISO/IEC 29001;
Information technology - Security techniques - Privacy framework

한국경영인증원 고객지원팀
T. 02-6309-9023, 9016, 9022, 9026 / E-mail. lsh@ikmr.co.kr