Ȩ > Ç¥ÁØÈ Âü¿© > TTA°£Ç๰ > ICT Standard Weekly
[Á¤º¸º¸È£] Á¤º¸º¸È£°ü¸®½Ã½ºÅÛ ±¹Á¦Ç¥ÁØü°è(ISO 27000 ½Ã¸®Áî) ¸ð½À ³ªÅ¸³ª
Á¤º¸º¸È£°ü¸®½Ã½ºÅÛ(Information Security Management System: ISMS)À̶õ Á¶Á÷ÀÇ Àü¹ÝÀûÀÎ °ü¸®½Ã½ºÅÛÀÇ ÀϺημ ºñÁî´Ï½º À§Çè¿¡ ±â¹ÝÇÏ¿© Á¤º¸º¸È£¸¦ °èȹ, ±¸Çö, ¿î¿µ, °ËÅä ¹× °³¼±½ÃÅ°±â À§ÇØ Á¶Á÷ü°è ¹× Á¤Ã¥, Á¤º¸º¸È£ ÇÁ·Î¼¼½º ¹× ÀýÂ÷, Á¤º¸º¸È£ÅëÁ¦ µîÀ¸·Î ±¸¼ºµÈ °ü¸®Ã¼°èÀÌ´Ù. ÃÖ±Ù Àü¼¼°èÀûÀ¸·Î ISMS¿¡ ´ëÇÑ ÀÎÁõ ³ë·ÂÀÌ ºü¸£°Ô È®»êµÇ°í ÀÖÀ¸¸ç ±¹³»¿¡¼µµ BS7799¿¡ ±Ù°ÅÇÑ ISMS ÀÎÁõ ȹµæÀÌ 30°ÇÀ» ³Ñ¾î¼¹À» Á¤µµÀÌ´Ù. ÀÌ·¯ÇÑ Çö½Ç¿¡¼ 2005³âÀº ISMS±¹Á¦Ç¥ÁØÈ¿¡ °üÇؼ Àü±â¸¦ ¸¶·ÃÇÑ Çضó°í ÇÒ ¼ö ÀÖ´Ù. ISMS ¼ö¸³À» À§ÇÑ µÎ °¡Áö Áß¿äÇÑ ¹®¼°¡ ±¹Á¦Ç¥ÁØÈ¿¡ ¼º°øÇÏ¿´±â ¶§¹®ÀÌ´Ù. ù ¹ø° ¹®¼´Â ISMS¼ö¸³À» À§ÇÑ ¿ä±¸»çÇ×À» Æ÷ÇÔÇÑ ¹®¼À̸ç 2005³â 11¿ù ¸»¿¡IS 27001 (ISMS Requirements)À¸·Î ÃâÆÇµÉ ¿¹Á¤ÀÌ´Ù. µÎ ¹ø° ¹®¼´Â ISMS ±¸ÇöÀ» À§ÇÑ ±âÃÊÀûÀÎ ÅëÁ¦¼ö´ÜÀ» ¼ö·ÏÇÑ IS 17799: 2000 ¹®¼À̸ç, 2002³âºÎÅÍ ÇØ´ç ¹®¼¿¡ ´ëÇÑ °³Á¤ ÀÛ¾÷ÀÌ ¿À·£ »ê°í ³¡¿¡ µåµð¾î ¿Ï·áµÇ¾î 2005³â 11¿ù ¸»¿¡ IS 17799:2005À¸·Î ¹ßÇ¥µÉ ¿¹Á¤ÀÌ´Ù.
µÎ Ç¥ÁØÀÇ ±âº» ¹®¼´Â Áö±Ý±îÁö ISMSÀÇ »ç½ÇÇ¥ÁØ(de facto standard) ¿ªÇÒÀ» ÇØ¿Â ¿µ±¹Ç¥ÁØ BS 7799ÀÌ´Ù. BS 7799´Â ¿µ±¹ BSI(British Standard Institute)¿¡¼ Á¤º¸º¸È£ °ü¸®¸¦ À§ÇÑ Ç¥ÁØÈµÈ ½Ç¹« ±Ô¾à(code of practice for information security management)À¸·Î¼ 1995³â óÀ½ °³¹ßµÇ¾ú´Ù. 1998³â¿¡´Â ÀÌ ±âÁØ¿¡ µû¸¥ ÀÎÁõ ¿ä°Ç(requirements specification)À» °³¹ßÇÏ¿© º»·¡ÀÇ Ç¥ÁØÀÎ ½Ç¹« ±Ô¾àÀº Part 1À¸·Î, ÀÎÁõ ¿ä°ÇÀº Part 2·Î ¸¸µé¾îÁ³´Ù. Part 1Àº Á¤º¸º¸È£°ü¸®¸¦ À§ÇÑ ÅëÁ¦¼ö´ÜµéÀ» ¼ö·ÏÇÑ ¹®¼À̸ç Part 2´Â ISMS¼ö¸³À» À§ÇÑ ¿ä±¸»çÇ×À» ¸í½ÃÇÏ°í ÀÖÀ¸¸ç, À§Çè°ü¸® ±â¹ÝÀÇ Áö¼ÓÀû °³¼±À» À§ÇÑ Á¤º¸º¸È£ ÇÁ·Î¼¼½º(Plan Do Check Act Cycle)¸¦ ±â¼úÇÏ°í ÀÖ´Ù.
2000³â¿¡´Â Part 1ÀÌ ISO/IEC JTC 1/SC27 WG1À» ÅëÇÏ¿© IS 17799·Î Á¦Á¤µÇ¾úÀ¸¸ç, ±× ÀÌÈÄ 17799ÀÇ °³Á¤ ÀÛ¾÷¿¡ µé¾î°¡ 2000¿©°ÇÀÌ ³Ñ´Â ÄÚ¸àÆ®ÀÇ °ËÅ並 °ÅÃÄ ÃÖÁ¾ °³Á¤¾ÈÀÌ ¸¶·ÃµÇ¾úÀ¸¸ç 2005³â 11¿ù¿¡ »õ·Î¿î ±¹Á¦Ç¥ÁØÀ¸·Î µî·ÏµÇ¾ú´Ù. IS 17799: 2000¿¡¼´Â 10°³ÀÇ °ü¸® ÅëÁ¦ ¿µ¿ª°ú 126°³ÀÇ ÅëÁ¦ Ç׸ñÀ» Á¦°øÇϴµ¥ ¹ÝÇØ 2005³â °³Á¤µÈ IS 17799´Â 11°³ÀÇ °ü¸® ÅëÁ¦ ¿µ¿ª°ú 132°³ÀÇ ÅëÁ¦ Ç׸ñÀ» Á¦°øÇÏ°í ÀÖ´Ù. <±×¸² 1>Àº º¯ÈµÈ ÅëÁ¦ ¿µ¿ª°ú ÅëÁ¦ Ç׸ñÀ» ¿ä¾àÇÏ¿´´Ù.
<±×¸² 1> ISO 17799ÀÇ ÅëÁ¦ ¿µ¿ª°ú Ç׸ñ º¯°æ ¿ä¾à
ÇÑÆí, BS 7799 Part 2´Â 1999³â óÀ½ Á¦Á¤µÇ¾î ISMSÀÎÁõÀ» À§ÇÑ ±Ô°ÝÀ¸·Î »ç¿ëµÇ¾ú°í ISO 9001 ¹× ISO 14001 µîÀÇ ´Ù¸¥ °ü¸®½Ã½ºÅÛ ±Ô°Ý°úÀÇ Á¶È¸¦ À§ÇÏ¿© 2002³â 9¿ù °³Á¤µÇ¾ú´Ù. ISO´Â ISMS¿¡ ´ëÇÑ ±¹Á¦Ç¥ÁØÈ ¿ä±¸¿¡ ´ëÀÀÇÏ¿© BS 7799 Part 2: 2002³â ¹öÀüÀ» fast track ¹æ½ÄÀ» äÅÃÇÏ¿© ºü¸¥ ±â°£ ³»¿¡ ¾à°£ÀÇ ¼öÁ¤À» °ÅÃÄ ±¹Á¦Ç¥ÁØ(ISO 27001)À¸·Î¼ µî·ÏÇÏ¿´´Ù. ÁÖ¿ä º¯È·Î´Â ISMS¿¡ ´ëÇÑ È¿°ú¼º¿¡ ´ëÇÑ ³»¿ëÀÌ Ãß°¡µÇ¾úÀ¸¸ç ºÎ·ÏÀÇ ³»¿ëÀÌ »ó´çºÎºÐ º¯°æµÇ¾ú´Ù.
ISMS°ü·Ã Áß¿äÇÑ µÎ ¹®¼°¡ ±¹Á¦Ç¥ÁØÈ °úÁ¤ÀÌ ¿Ï·áµÊ¿¡ µû¶ó, ISMS ±¹Á¦Ç¥ÁØ Æйи®°¡ ¸ð½ÀÀ» º¸ÀÌ°í ÀÖ´Ù. ¿ì¼± ´Ù¸¥ °ü¸®½Ã½ºÅÛ(Ç°Áú°æ¿µ: 9000 ½Ã¸®Áî, ȯ°æ°ü¸®: 14000 ½Ã¸®Áî)°ú ¸¶Âù°¡Áö·Î 27000 ¹øȣü°è¸¦ °¡Áö±â·Î ÇÏ¿´´Ù. µû¶ó¼ ISMS ¼ö¸³À» À§ÇÑ ¿ä±¸»çÇ×À» ±¸Ã¼ÈÇÑ IS 27001(BS 7799 part 2: 2002 ¼öÁ¤ÆÇ), ISMS ±¸ÇöÀ» À§ÇÑ ±âº»ÅëÁ¦¸¦ Æ÷ÇÔÇÑ IS 17799:2005°¡ 2007³âµµ°æ¿¡ IS 27002·Î ¹øÈ£¸¦ ´Þ¸®ÇÒ °ÍÀÌ´Ù. ÇöÀç JTC1 SC27¿¡¼ ÀÛ¾÷ ÁßÀÎ À§Çè°ü¸®Áöħ, Á¤º¸º¸È£°ü¸® ôµµ ¹× ÃøÁ¤, ISMS ±¸ÇöÁöħ µîÀÌ Â÷·Ê·Î 27000´ë ¹øÈ£¸¦ °¡Áö°í °³¹ßµÉ °ÍÀÌ´Ù. ¶ÇÇÑ ÀçÇغ¹±¸ ¼ºñ½º¿¡ °üÇÑ Áöħµµ Ãß°¡µÉ ¿¹Á¤ÀÌ´Ù. <±×¸² 2>´Â ÇâÈÄ °³¹ßµÉ ISMS °ü·Ã Ç¥ÁصéÀ» º¸¿©ÁÖ°í ÀÖ´Ù.
ÀÌ·¸µí µÎ ¹®¼°¡ ±¹Á¦Ç¥ÁØÈ µÊ¿¡ µû¶ó ´Ù¸¥ °ü·Ã Ç¥ÁØÈ ÀÛ¾÷µµ ºü¸¥ ¼Óµµ·Î ¿Ï¼ºµÉ ¿¹Á¤À̸ç, ISMS ÀÎÁõ È°µ¿ ¿ª½Ã ź·ÂÀ» ¹ÞÀ» °ÍÀ¸·Î ¿¹»óµÈ´Ù. ¶ÇÇÑ ÀϹÝÀûÀÎ Á¶Á÷ÀÇ °øÅëÀûÀÎ ISMS¸¦ ±â¹ÝÀ¸·Î ƯÁ¤ »ê¾÷¿¡ ÀûÇÕÇÑ ISMS Ç¥ÁØÀ̳ª Áöħ °³¹ßÀÌ ¿¹»óµÈ´Ù. ´ëÇ¥ÀûÀÎ ¿¹·Î¼ Åë½Å»ê¾÷ÀÇ Æ¯¼ºÀ» ¹Ý¿µÇÑ ISMS Áöħ °³¹ß ³ë·Â ¿òÁ÷ÀÓÀÌ ±×°ÍÀÌ´Ù.
<±×¸² 2> Á¤º¸º¸È£°ü¸®½Ã½ºÅÛ ±¹Á¦Ç¥ÁØ Æйи®
ITU-T SG17¿¡¼´Â Åë½Åº¸¾È Ç¥ÁØ °³¹ßÀ» ÇÏ°í ÀÖÀ¸¸ç ÀÌÁß Q7Àº º¸¾È°ü¸®(security management)¿¡ °üÇÑ Ç¥ÁØȸ¦ ÁøÇàÇÏ°í ÀÖ´Ù. Q7ÀÇ ÁÖ¿ä È°µ¿Àº Åë½Å»ê¾÷ÀÇ ISMS¿¡ °üÇÑ Ç¥ÁØȷμ X.1051(ISMS-T)À̶ó´Â ¹®¼¸¦ ÀÛ¾÷ Áß¿¡ ÀÖ´Ù. Áö³ 2005³â 10¿ù Á¦³×¹Ù¿¡¼ ¿¸° ȸÀÇ¿¡¼´Â °ú°ÅÀÇ ISMS ¿ä±¸»çÇ×À» ¸í½ÃÇÑ X.1051(BS 7799-2 ±â¹Ý) ³»¿ëÀ» IS 17799:2005¸¦ ±â¹ÝÀ¸·Î Åë½Å»ê¾÷ÀÇ Æ¯¼ºÀ» ¹Ý¿µÇÑ ÅëÁ¦¸¦ Æ÷ÇÔÇÏ´Â ÁöħÀ¸·Î º¯°æÇÒ °ÍÀ¸·Î °áÁ¤ÇÏ¿´À¸¸ç ÇâÈÄ 2³â ³»¿¡ ¿Ï·áµÉ °ÍÀ¸·Î ¿¹»óµÈ´Ù. ÀÌ È¸ÀÇÀÇ ÁÖ¿ä Âü¿©Àڷδ ÀϺ»°ú Çѱ¹À̱⠶§¹®¿¡ ±¹³» ÁÖ¿ä Åë½Å »ç¾÷ÀÚµéÀÇ ISMS °æÇèÀ» ¹Ý¿µÇÔÀ¸·Î½á, ½ÇÈ¿¼º ÀÖ´Â ISMS-T ±¹Á¦Ç¥ÁØÈ ³ë·Â¿¡ ±¹³»¿¡¼ÀÇ Àû±ØÀû Âü¿©°¡ ¿ä±¸µÇ°í ÀÖ´Ù.