규격안내 클라우드 보안 인증 지침 (ISO/IEC 27017 & ISO/IEC 27018)

[키와코리아]

[본 자료는 ISO 27001 한철동 선임심사원께서 주신 자료를 편집 및  ISO 국제규격 등을 참고 하였습니다.

ISO 27001 정보보안경영시스템은 다양 한 규격의 지침류가 많습니다.

최근 클라우드 서비스 보안에 관심이 높아지고 있습니다. 이번호에는 정보보안경영시스템의 인증규격을 뒤받침하는 지침을 간략히 소개해 올립니다.

IT업계에서는 정보보호의 가장 큰 리스크로 대해 해킹, 자연재해 등에 의한 데이터의 손실을 뽑고 있습니다.

또한, 클라우드 컴퓨터 서비스를 이용한 패스워드 해독의 문제점점이 확대되고 있습니다.

백 도어활동, C&C서버 , 신종 멜웨어등이 이러한 피해 사례로 꼽힙니다.

클라우드 기반의 보안 서비스는 SecaaS_ Security As A Service, CASB (Cloud Acess Security Broker) 등이 있으며 이는  저장된 데이터의 정보보호 솔루션으로 확대되고 있습니다.

클라우드 서비스 보안 인증제도는

 -ISO 27001

 -CSA STAR(Security, Trust & Assurance Registry)인증

- 미국 연방 정보 클라우드 보안 인증제도 : FedRAMP

 -우리나라의 경우 "클라우드 컴퓨팅 서비스 정보보호에 관한 기준 고시 (2016년 제정)등이 있습니다.

ISO 27001 시리즈에는 다양한 컴퓨팅의 산업 혁명에서 우리는 개인의 정보를 지키기 위한 다양한 시스템을 이해하고 이를 관리해야 할 필요가 있습니다. 이러한  정보통신 네트워크의 산업 발전에 따른 클라우드 보안 ISO 27001 지침 (ISO/IEC 27017 & ISO/IEC 27018)이 있습니다. 

ISO 27018:2019 는 공용 클라우드 컴퓨팅 환경에 대한 ISO/IEC 29100의 개인 정보 보호 원칙과 관련 하여 PII (개인 식별 정보가 포함 된)를 보호 하기 위한 조치를 구현 하기 위한 일반적으로 허용 되는 제어 목표, 제어 및 지침을 수립 합니다.

특히,  ISO 27018:2019   ISO/IEC 27002에 근거한 가이드라인을 명시 하 고 있으며, 이는 개인 정보 보호를 위한 규제 요건을 고려 하고 있으며, 이는 퍼블릭 클라우드 서비스의  보안 위험 환경 내에서 적용 될 수 있습니다. .

이 규격은 정보 처리 서비스를 클라우드 컴퓨팅을 통해 PII 프로세서로 제공 하는 공공 및 민간 기업, 정부 기관 및 비영리 조직을 포함 하여 조직의 모든 유형 및 규모에 적용 가능 합니다.

이 규격은 PII 컨트롤러 역할을 하는 조직과도 관련이 있을 수 있습니다. 그러나 pii 컨트롤러에는 추가 pii 보호 법률, 규정 및 의무를 적용 하여 pii 프로세서에 적용할 수 없습니다. 따라서, 이 규격은 그러한 추가 의무를 충당 하기 위한 것이 아닙니다.

즉, 각 Cloud 제공업체에서의 자율적인 시스템 구축 ( ISO/IEC 27017 & ISO/IEC 27018)을 통해서 외부 고객들에게 신뢰성을 갖출수 있을 것입니다.

더 자세한 내용은  ISO 27001 인증시스템을 참고 하시기 바랍니다.

또한, 국내 클라우드 관련법령은 "클라우드 컴퓨터 발전 및 이용자 보호에 관한 법률"의 검색을 통해 확인하시기 바랍니다.