-
개요
-
구성
-
PART 1
- ISO/IEC 17799 2000(BS7799-1:2000)은 기업이 정보 보호에 영향을 미칠 수 있는 요소들을 파악할 수 있도록 도와줄 100여 개의 정보 보호 통제 항목을 포함한 정보 보호 실행 지침
- BS 7799-2의 참조 문서로 활용할 수 있으며, 정보 보호 관리의 포괄적인 실행 지침을 제공하고 10개의 섹션과 127개의 통제 항목으로 구성
- 심사 및 인증 목적으로는 사용이 불가하며, 그 구성은 다음과 같음
-
PART 2
- ISO/IEC 17799 2002(BS7799-2:2002)은 기업이 심사 및 인증 받는 데 필요한 세부사항이며, 부속서 A에서 규정하는 통제 항목은 다음과 같은 10개의 섹션으로 구성
|
|
정보 보호에 대한 경영진의 방향성 및 자원을 제공 |
|
|
조직 내에서 정보 보호를 관리하는데 활용 |
|
|
자산을 파악하고 이를 적절히 보호하는데 활용 |
|
|
인적 오류, 절도, 사기 또는 시설의 오용에 따른 위험을 예방 |
|
|
사업 경계(사업장) 및 정보에 대한 비인가된 접근, 피해 및 방해 요인을 예방 |
|
|
정보처리 시설의 정확하고 안전한 운영을 보장 |
|
|
정보에 대한 접근을 통제 |
|
|
정보시스템 내에 보안이 수립되어 있음을 보장 |
|
|
비즈니스 활동에 대한 방해 요인에 대응하여, 중대한 실패 또는 재산의 영향으로부터 중요한 비즈니스 프로세스를 보호하기 위함 |
|
|
형법과 민법, 법령, 규정 또는 계약 의무 및 보안 요구사항에 대한 위반을 피하기 위함 |
-
주요 용어
-
정보(Information)
다른 중요 자산과 마찬가지의 자산으로, 조직에 가치를 제공하고 적절하게 보호될 필요성이 지속적으로 요구되는 것
-
정보 보호(Information Security)
정보의 기밀성, 무결성 및 가용성의 보존
-
가용성(Availability)
인가된 사용자가 필요 시 정보 및 관련 자산에 접근하는 것을 보장
-
기밀성(Confidentiality)
접근이 인가된 사람만이 정보에 접근 가능함을 보장
-
무결성(Integrity)
정보 및 처리 방법의 정확성 및 완전성을 보호
-
정보 보호 관리 체계(Information Security Management System)
비즈니스 위험 접근 방법에 근거하여 정보 보호를 수립, 구현, 운영, 모니터링, 검토, 유지 및 개선하기 위한 전체 경영 시스템의 일부
-
위험 수용 (Risk Acceptance)
위험을 수용하는 결정
-
위험 분석(Risk Analysis)
위험의 원천을 식별하고, 위험을 추정하기 위한 정보의 체계적인 활용
-
위험 평가(Risk Assessment)
위험 분석 및 위험 측정의 전체 프로세스
-
위험 측정(Risk Evaluation)
위험의 심각성을 결정하기 위하여 주어진 위험 기분에 대해 추정된 위험을 대비하는 프로세스
-
위험 관리(Risk Management)
위험과 관련하여 조직을 관리하고 통제하기 위한 공동의 활동
-
위험 처리(Risk Treatment)
위험을 줄이기 위한 대책을 선택하고 실행하는 처리 프로세스
-
적용성 보고서(Statement of Application)
위험 평가와 위험 처리 프로세스의 결과 및 결론에 근거하여 조직의 정보 보호 관리 체계에 적절하고 적용 가능한 통제 목표 및 통제 항목을 기술한 문서
- 참고 <BSI 홈페이지 정보 보호 관리 체계>