22년 10월에 ISO27001 : 2022 표준문서가 발표됐습니다.
기존 ISO27001 : 2013 표준을 준수하고 있는 회사들은 인증서 만료 전에 ISO27001 : 2022로 전환심사를 받으셔야 합니다.
이번에는 Annex A 통제표에서 큰 변화가 있었고, 이번 포스팅을 통해 2013 대비 어떤 것들이 변했는지 정리해보고자 합니다.
각 기업의 정보보호담당자분들은 전환심사를 준비하는데 많은 참고 부탁드립니다.
ISO27001 : 2022 Annex A 변경 사항 요약
ISO27001 : 2022 Annex A에서는 주요 변경 사항은 3가지입니다.
- 통합
이전 표준에서 분리할 수 없거나 밀접하게 연관된 24개 통제항목 통합 - 개정
현재 트렌드와 기업환경에 맞게 58개 통제항목 개정 - 신설
클라우드 컴퓨팅 등 새롭게 집중되는 위험 11개 통제항목 신설
기존에 14개 통제 분야(A.5 ~ A.18)는 4개의 통제 분야(A.5 ~ A.18)로 통합, 통제항목은 114개에서 93개 항목으로 병합됩니다. 내용은 아래와 같습니다.
- 조직통제(Organizational Controls)
- 인적통제(People Controls)
- 물리통제(Physical Controls)
- 기술통제(Technological Controls)
ISO27001 : 2022 통제 비교표 (2013 대비)
ISO27001 : 2013 대비 어떤 통제항목들이 병합되고, 신설되는지 정리합니다. 목차 및 아래 표를 참고해 주세요.
조직통제(Organizational Contols)
| 분야 | ISO27001 : 2022 | ISO27001 : 2013 | Annex A 이름 (2022) |
| 조직통제 | A 5.1 | A 5.1.1 A 5.1.2 |
정보보호를 위한 정책 |
| 조직통제 | A 5.2 | A 6.1.1 | 정보보호 역할 및 책임 |
| 조직통제 | A 5.3 | A 6.1.2 | 직무분리 |
| 조직통제 | A 5.4 | A 7.2.1 | 경영진 책임 |
| 조직통제 | A 5.5 | A 6.1.3 | 관련 기관과의 연계 |
| 조직통제 | A 5.6 | A 6.1.4 | 전문가 그룹과의 연계 |
| 조직통제 | A 5.7 (신설) |
- | 위협 인텔리전스 |
| 조직통제 | A 5.8 | A 6.1.5 A 14.1.1 |
프로젝트 관리에서의 정보보호 |
| 조직통제 | A 5.9 | A 8.1.1 A 8.1.2 |
정보 및 관련 자산 목록 |
| 조직통제 | A 5.10 | A 8.1.3 A 8.2.3 |
정보 및 관련 자산의 이용 |
| 조직통제 | A 5.11 | A 8.1.4 | 자산의 반환 |
| 조직통제 | A 5.12 | A 8.2.1 | 정보 등급화 |
| 조직통제 | A 5.13 | A 8.2.2 | 정보 표식 |
| 조직통제 | A 5.14 | A 13.2.1 A 13.2.2 A 13.2.3 |
정보 전송 |
| 조직통제 | A 5.15 | A 9.1.1 A 9.1.2 |
접근 통제 |
| 조직통제 | A 5.16 | A 9.2.1 | 사용자 식별 관리 |
| 조직통제 | A 5.17 | A 9.2.4 A 9.3.1 A 9.4.3 |
인증 정보 |
| 조직통제 | A 5.18 | A 9.2.2 A 9.2.5 A 9.2.6 |
접근 권한 |
| 조직통제 | A 5.19 | A 15.1.1 | 공급업체 관계에 대한 정보보호 |
| 조직통제 | A 5.20 | A 15.1.2 | 공급업체 협약내 보안 명시 |
| 조직통제 | A 5.21 | A 15.1.3 | 정보통신기술(ICT) 공급망의 정보보호 관리 |
| 조직통제 | A 5.22 | A 15.2.1 A 15.2.2 |
공급업체 서비스의 모니터링, 검토 및 변경관리 |
| 조직통제 | A 5.23 (신설) |
- | 클라우드 서비스 이용을 위한 정보보호 |
| 조직통제 | A 5.24 | A 16.1.1 | 정보보호 인시던트 관리 계획 및 준비 |
| 조직통제 | A 5.25 | A 16.1.4 | 정보보호 이벤트에 대한 평가 및 결정 |
| 조직통제 | A 5.26 | A 16.1.5 | 정보보호 사고 대응 |
| 조직통제 | A 5.27 | A 16.1.6 | 정보보호 사고로부터의 학습 |
| 조직통제 | A 5.28 | A 16.1.7 | 증거 수집 |
| 조직통제 | A 5.29 | A 17.1.1 A 17.1.2 A 17.1.3 |
시스템 중단 중 정보보호 |
| 조직통제 | A 5.30 (신설) |
- | 비즈니스 연속성을 위한 정보통신기술 성숙도 |
| 조직통제 | A 5.31 | A 18.1.1 A 18.1.5 |
법령, 규제, 계약 요구사항 |
| 조직통제 | A 5.32 | A 18.1.2 | 지적재산권 |
| 조직통제 | A 5.33 | A 18.1.3 | 기록 보호 |
| 조직통제 | A 5.34 | A 18.1.4 | 프라이버시 및 개인식별정보(PII)의 보호 |
| 조직통제 | A 5.35 | A 18.2.1 | 정보보호의 독립적 검토 |
| 조직통제 | A 5.36 | A 18.2.2 A 18.2.3 |
정보보호 정책, 규정 및 표준 준수 |
| 조직통제 | A 5.37 | A 12.1.1 | 운영 절차 문서화 |
인적통제(People Controls)
| 분야 | ISO27001 : 2022 | ISO27001 : 2013 | Annex A 이름 (2022) |
| 인적통제 | A 6.1 | A 7.1.1 | 적격 심사 |
| 인적통제 | A 6.2 | A 7.1.2 | 고용 계약 조건 |
| 인적통제 | A 6.3 | A 7.2.2 | 정보보호인식, 교육 및 훈련 |
| 인적통제 | A 6.4 | A 7.2.3 | 징계처분 |
| 인적통제 | A 6.5 | A 7.3.1 | 고용 종료 또는 변경 후 책임 |
| 인적통제 | A 6.6 | A 13.2.4 | 기밀유지 협약 |
| 인적통제 | A 6.7 | A 6.2.2 | 원격 근무 |
| 인적통제 | A 6.8 | A 16.1.2 A 16.1.3 |
정보보호 이벤트의 보고 |
물리통제(Physical Controls)
| 분야 | ISO27001 : 2022 | ISO27001 : 2013 | Annex A 이름 (2022) |
| 물리통제 | A 7.1 | A 11.1.1 | 물리적 보안 경계 |
| 물리통제 | A 7.2 | A 11.1.2 A 11.1.6 |
물리적 출입 통제 |
| 물리통제 | A 7.3 | A 11.1.3 | 사무공간 및 시설보안 |
| 물리통제 | A 7.4 (신설) |
- | 물리적 보안 모니터링 |
| 물리통제 | A 7.5 | A 11.1.4 | 물리적 및 환경적 위협에 대비한 보호 |
| 물리통제 | A 7.6 | A 11.1.5 | 보안구역 내 작업 |
| 물리통제 | A 7.7 | A 11.2.9 | 책상정리 및 화면보호 |
| 물리통제 | A 7.8 | A 11.2.1 | 장비배치 및 보호 |
| 물리통제 | A 7.9 | A 11.2.6 | 구외자산 보안 |
| 물리통제 | A 7.10 | A 8.3.1 A 8.3.2 A 8.3.3 A 11.2.5 |
저장 매체 |
| 물리통제 | A 7.11 | A 11.2.2 | 지원 설비 |
| 물리통제 | A 7.12 | A 11.2.3 | 배선 보안 |
| 물리통제 | A 7.13 | A 11.2.4 | 장비 유지보수 |
| 물리통제 | A 7.14 | A 11.2.7 | 장비 안전폐기 또는 재사용 |
기술통제(Technological Controls)
| 분야 | ISO27001 : 2022 | ISO27001 : 2013 | Annex A 이름 (2022) |
| 기술통제 | A 8.1 | A 6.2.1 A 11.2.8 |
사용자 종단점 장치 |
| 기술통제 | A 8.2 | A 9.2.3 | 특수 접근권한 |
| 기술통제 | A 8.3 | A 9.4.1 | 정보 접근제한 |
| 기술통제 | A 8.4 | A 9.4.5 | 소스코드 접근통제 |
| 기술통제 | A 8.5 | A 9.4.2 | 보안 인증 |
| 기술통제 | A 8.6 | A 12.1.3 | 용량 관리 |
| 기술통제 | A 8.7 | A 12.2.1 | 악성코드 방지 |
| 기술통제 | A 8.8 | A 12.6.1 A 18.2.3 |
기술적 취약점 관리 |
| 기술통제 | A 8.9 (신설) |
- | 구성 관리 |
| 기술통제 | A 8.10 (신설) |
- | 정보 삭제 |
| 기술통제 | A 8.11 (신설) |
- | 데이터 마스킹 |
| 기술통제 | A 8.12 (신설) |
- | 데이터 유출 방지 |
| 기술통제 | A 8.13 | A 12.3.1 | 정보 백업 |
| 기술통제 | A 8.14 | A 17.2.1 | 정보처리 시설의 이중화 |
| 기술통제 | A 8.15 | A 12.4.1 A 12.4.2 A 12.4.3 |
로그 기록 |
| 기술통제 | A 8.16 (신설) |
- | 모니터링 활동 |
| 기술통제 | A 8.17 | A 12.4.4 | 시각 동기화 |
| 기술통제 | A 8.18 | A 9.4.4 | 특수 유틸리티 프로그램의 사용 |
| 기술통제 | A 8.19 | A 12.5.1 A 12.6.2 |
운영체제 소프트웨어 설치 |
| 기술통제 | A 8.20 | A 13.1.1 | 네트워크 보안 |
| 기술통제 | A 8.21 | A 13.1.2 | 네트워크 서비스 보안 |
| 기술통제 | A 8.22 | A 13.1.3 | 네트워크 분리 |
| 기술통제 | A 8.23 (신설) |
- | 웹 필터링 |
| 기술통제 | A 8.24 | A 10.1.1 A 10.1.2 |
암호화 |
| 기술통제 | A 8.25 | A 14.2.1 | 안전한 개발 수명 주기 |
| 기술통제 | A 8.26 | A 14.1.2 A 14.1.3 |
어플리케이션 보안 요구사항 |
| 기술통제 | A 8.27 | A 14.2.5 | 보안 시스템 아키텍처 및 공학 원칙 |
| 기술통제 | A 8.28 (신설) |
- | 보안 코딩 |
| 기술통제 | A 8.29 | A 14.2.8 A 14.2.9 |
개발 및 승인 시 보안 시험 |
| 기술통제 | A 8.30 | A 14.2.7 | 외주 개발 |
| 기술통제 | A 8.31 | A 12.1.4 A 14.2.6 |
개발, 시험 및 운영 환경 분리 |
| 기술통제 | A 8.32 | A 12.1.2 A 14.2.2 A 14.2.3 A 14.2.4 |
변경 관리 |
| 기술통제 | A 8.33 | A 14.3.1 | 시험 정보 |
| 기술통제 | A 8.34 | A 12.7.1 | 감사 시험 중 정보시스템 보호 |