ISO27001:2013의 변경사항 정리

ISO27001이 업데이트되었습니다. 새로운 버전의 명칭은 ISO/IEC27001:2013입니다. ISO/IEC27001:2013은 국제표준화기구(ISO)에서 제정한 정보보호 관리체계 국제표준으로 정보보안 정책, 공급자관계, 암호통제 등 14개영역 114개 항목에 대하여 국제심사원의 검증을 통해 주어지는 정보보호 분야의 권위 있는 국제 인증입니다. 

변화된 내용을 간략하게 나타낸 그림을 소개해봅니다.

원문참조: http://www.gammassl.co.uk/27001/revision.php

image

■ISO/IEC27001:2005 대비 주요 변경 사항
1. ISO/IEC27001:2013은 모든 ISO 경영시스템의 공통된 구조를 통해 요구사항 및 용어를 호환 할 수 있도록 부속서 SL(Annex SL)의 부록 3(Appendix3)규격에 의거하여 표준 문장으로 기술.

2. 부속서 SL(Annex SL)의 부록3(Appendix3)규격은 다음 3개 파트로 구성.
①high level structure: 모든 ISO 경영시스템 표준의 주요 절 번호와 제목이 1~10까지 동일
②identical core text: 향후 모든 ISO 경영시스템 표준의 최소기준으로서 84개의 요구사항과 함께 45개의 “shall(~해야)“을 명시(ISO/IEC27001:2013은 59개 명시)
③common terms and core definitions: 3.01~3.22까지 용어가 정의되어 있으며 모든 신규 또는 개정된 ISO 경영시스템의 표준이 정의된 용어를 사용

3. ISO/IEC27001:2005에는 정보보안을 위한 통제 개선 시스템 목적으로 Plan Do Check Act 모델을 명시하였으나, ISO/IEC27001:2013에서는 경영 시스템의 지속적인 유지개선 목적으로 PDCA 모델을 명시 및 강조하지 않고 문서 전체적으로 개념을 포함하여 기술

4. ISO/IEC27001:2005에 “3.Terms and definitions”에 기술되었던 용어 정의는 ISO/IEC27000(Overview and vocabulary)로 이전하여 용어의 표준화를 수행하였으며, 일부 용어의 경우 변경을 실시

5. ISO/IEC27001:2005의 “5 Management responsibility”을 수정하여 “5. Leadership”절에 포함

6. “preventive action”용어 대신 “action to address risks and opportunities”를 사용

7. ISO/IEC27001:2013의 위험관리 사항은 ISO31000 Risk management 프로세스 기반에 위험분석•평가 중심에서 위협과 시나리오 기반의 위험분석•평가 중심으로 변경

8. ISO/IEC27001:2013 통제항목은 기존 11개 분야 133개에서 14개 분야 114개 통제항목으로 변경
①특정구현에 의존성이 있는 내용의 삭제 및 최소화를 위해 A.11.4.7(Network routing control), A.12.2.1(Input data validation) 등 20개 통제항목 삭제
②통제분야의 세부화와 통제목적 재 그룹화를 위해 A.9.4.2(Secure log-on procedures), A.12.4.1(Event logging) 등 19개 통제항목을 10개 통제항목으로 통합 및 분할
③통제항목 A.10.2.1(Service delivery)는 관리과정(8.1)에 포함
④프로젝트 관리 및 보안 시스템 도입 시 정보보안 프로세스와 사고대응 사항을 반영하여 A.14.2.1(Secure development polocy), A.14.2.8(System security testing) 등 11개 통제항목 신설

변화된 내역을 세부적으로 확인하시려면 아래문서를 참조하세요
http://www.bsigroup.com/LocalFiles/en-GB/iso-iec-27001/resources/BSI-ISO27001-transition-guide-UK-EN-pdf.pdf

http://wikisecurity.net/certification:iso_iec_27001:2013_revision

인증심사기법및 계획:
http://bit.ly/1w7Dw2K

인증심사개요
http://bit.ly/1n8rBIh