강의/멀티 : 국제표준과 정보보안감사 실무(20강)
정보보호 관리체계(ISO)
forgetissimo
2025. 5. 11. 22:00
728x90
ISO ISMS란?
: 조직이 정보보호 목표를 달성하기 위해 정보보안 리스크를 식별, 평가, 관리하는 조직적이고 체계적인 절차 및 정책의 집합
인데 한국의 ISMS 체계랑 유사해 보인다.
ISO ISMS vs 한국 ISMS 인증 차이
| 공식 명칭 | Information Security Management System (ISMS) | 정보보호 관리체계 (ISMS 또는 ISMS-P) |
| 기준 문서 | ISO/IEC 27001 | 「정보보호 관리체계 인증 등에 관한 고시」(KISA 주관) |
| 운영 주체 | 국제표준화기구(ISO), IEC | 한국인터넷진흥원(KISA) |
| 인증 목적 | 국제적으로 통용되는 정보보호 체계 인증 | 국내 법령(예: 정보통신망법, 전자금융거래법 등) 준수 및 국내 기업 정보보호 수준 평가 |
| 인증 대상 | 글로벌 기업, 국제 비즈니스 대상 | 국내 인터넷서비스 사업자, 전자금융업체 등 |
| 주요 기준 구조 | ISO/IEC 27001: 요구사항 + Annex A (114개 통제 항목) | 관리체계 요구사항 + 보호대책 (ISMS: 80개, ISMS-P: 102개) |
| 심사 방식 | 국제 인증기관의 심사 (예: BSI, SGS 등) | KISA 인증기관의 심사 (예: KISA 지정기관) |
| 인증 사용 목적 | 국제 입찰, 글로벌 신뢰도 확보 | 국내 규제 준수, 사업 허가 조건 충족 등 |
| 개인정보 포함 여부 | 기본 ISMS는 개인정보 요건 미포함 (→ ISO/IEC 27701과 연계 가능) | ISMS-P는 개인정보보호법까지 통합 대응 가능 |
즉, 정보보호 관리체계라는 점에서는 차이가 없는데 항목 개수, 국제 표준 등에서 차이만 있다.
연도별 통제 항목 수 변화
| 2005년판 | 133개 | 11개 도메인 | ISO/IEC 17799 기반. 초창기 버전. 통제 항목이 많고 중복되는 부분 존재. |
| 2013년판 | 114개 | 14개 도메인 | 항목 정리·간소화. 위험 기반 접근 강화. 일부 항목 통합/삭제. |
| 2022년판 | 93개 | 4개 테마(도메인)+ 속성(Attribute) 기반 분류 도입 | 구조를 크게 개편. 도메인 단순화. 새로운 보안 트렌드 반영(클라우드, 위협 인텔리전스 등). 통제 항목 11개 신설, 24개 통합, 58개 유지. |
- 2022년 개정판은 최신 보안 환경(예: 클라우드, DevOps, 제로트러스트 등)에 맞춘 항목 신설이 많음
참고
멀티캠퍼스 [국제표준과 정보보안감사 실무]