홈메뉴 > ISO인증 > 인증서비스 분야 > ISO/IEC 27018

ISO/IEC 27018

인증개요

ISO/IEC 27018은 공공클라우드 서비스 제공자의 정보보호 위험 환경의 상황에서 적용 가능한 개인정보 보호를 위한 규제 요구사항을 고려하여 ISO/IEC 27702에 기반한 지침을 제공합니다.

이 국제표준은 타 조직과의 계약에 따라 클라우드 서비스를 통해 개인정보 수탁자 역할을 하며 정보처리 서비스를 제공하는 공공기관과 민간 기업, 정부 기관 및 비영리 조직을 포함하는 모든 유형과 규모의 조직에 적용 가능합니다.

필요성 및 인증의 기대효과

ISO/IEC 27001(정보보호경영시스템)을 구축한 일반적인 조직은 그 조직의 정보자산을 보호합니다.
그러나 공공클라우드 서비스 제공자가 개인정보 수탁자 역할을 하는 상황에서 조직은 조직의 이용자가 조직에게 맡긴 정보자산을 보호함으로써 개인정보 보호 요구사항을 충족해야 합니다.

이 국제 표준은 기존 ISO/IEC 27702의 특정 통제들에 대하여 공공클라우드 개인정보 보호에 적용할 수 있는 시스템을 구축하는 데 도움이 되며, 조직이 개인정보 보호를 위한 요구사항을 식별하고 관리하는데 도움이 됩니다.

또한 ISO/IEC 27702 통제 집합에서 다루지 않는, 공공 클라우드 개인정보 보호를 다루기 위해 만들어진 추가적인 통제와 관련된 지침을 수립할 수 있습니다.

요구사항
5 정보보호 정책
5.1 정보보호를 위한 경영방침
6 정보보호 조직
6.1 내부 조직
6.2 모바일 기기 및 원격근무
7 인적자원 보안
7.1 고용 전
7.2 조용 중
7.3 고용 종료 및 직무 변경
8 자산관리
8.1 자산에 대한 책임
8.2 정보 등급 분류
8.3 매체 취급
9 접근통제
9.1 접근통제 업무 요구사항
9.2 사용자 접근관리
9.3 사용자 책임
9.4 시스템 및 애플리케이션 접근통제
10 암호화
10.1 암호통제
11 물리적, 환경적 보안
11.1 보안 구역
11.2 장비
12 운영보안
12.1 운영 절차 및 책임
12.2 악성코드 방지
12.3 백업
12.4 로그 기록 및 모니터링
12.5 운영 소프트웨어 통제
12.6 기술적 취약점 관리
12.7 정보시스템 감사 고려사항
13 통신보안
14 시스템 도입, 개발, 유지보수
15 공급자 관계
16 정보보호 사고 관리
16.1 정보보호 사고 관리 및 개선
17 업무연속성관리의 정보보호 측면
18 준거성
18.1 법적 및 계약 요구사항 준수
18.2 정보보호 검토

Annex
A : 개인정보 보호를 위한 공공 클라우드 개인정보 수탁자의 확장 통제 집합

ISO/IEC 27018;
Information technology - Security techniques - Code of practice for protection of personally identifiable information
(PII) in public clouds acting as PII processors

※ISO/IEC 27017;
Information technology - Security techniques - Code of practice for information security controls based on ISO/IEC 27002 for cloud services

ISO/IEC 27799;
Health informatics - Information security management in health using ISO/IEC 27002

ISO/IEC 27701;
Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management
- Requirements and guidelines

ISO/IEC 27001;
Information technology - Security techniques -- Information security management systems - Requirements

ISO/IEC 27002;
Information technology- Security techniques - Code of practice for information security controls

ISO/IEC 29001;
Information technology - Security techniques - Privacy framework

한국경영인증원 고객지원팀
T. 02-6309-9023, 9016, 9022, 9026 / E-mail. lsh@ikmr.co.kr