1. ISO/IEC 27005

1. 개요

 위험관리 가이드 작성 과정에서 공부한 내용에 대해 작성

 본 내용은 위험 관리 가이드 작성에 참고한 표준 목록과 표준에 대한 간단한 분석을 표시

 표준은 ISO/IEC 27005를 기준으로 작성했으며, ISMS의 구체적인 구현 지침 작성을 목표로 공부했음을 알림

 

 ISO : 1947년에 설립된 국제 표준 기구. 국제 표준 제정을 위해 만들어진 다국가 단체

 

2. 조직과 위험관리

 조직은 목적(이익, 업무 수행 등)을 달성하는 것이 목표임

 이러한 조직이 목적을 달성하는데 필요한것은 각 구성원이 제 역할을 하는 것임.

 

 이때 위험이라 함은. 이러한 구성원을 포함한 자산이 제 역할을 못하도록 발생하는 모든 사건을 의미함.

 즉, 위험이 발생하면 조직이 목적을 달성하는데 장애가 생기므로, 조직은 이러한 위험을 관리할 필요가있음.

 

 ISO 31000에서는 이러한 위험관리의 전반적인 단계를 3단계(

 원칙

 프레임워크

 프로세스

)

 로 정의하며 위험관리 시스템이 생성, 유지, 보완되는 과정을 제시함

 

3. ISMS

 ISMS는 Information Security Management System으로 정보보호 관리 시스템을 의미함.

 특히 정보보호는 주로 사이버 보안과 관련된 내용이며, ISO 27000시리즈는 이러한 ISMS의 표준을 제시함.

 

 ISO 27000시리즈는 31000의 위험 관리 모델 중 프로세스 부분에 대한 표준임.

 

 ISO 27000시리즈는 프로세스를 부분적으로 나눠 (구조 외 방법론 적으로) 각 표준의 영역의 전문적인 구현 지침을 제공함.

 

 특히 본 카테고리에서는 27005의 process 모델에 대해서 세부적으로 다루고자함.

 

 이를 위해

ISO 27000	ISMS 개요 및  용어
ISO 27001	ISMS 개요
ISO 27002	control 리스트
ISO 31000	PROCESS 정의

 위의 표에 있는 표준을 해당 부분에 대해 참고함.

 

4. 결론

 간단히 ISMS의 목표를 서술하며 ISO 27000시리즈에 대해서 서술했다.

 각 자료는 구글링 혹은 구매를 통해 구했으며. 31000의 경우는 ISO에서 뷰어로 제공한다.

 

 또한 중요한점은 자료의 년도를 맞춰줘야한다는 점인데, 

 

ISO 27000	2018
ISO 27001	2013
ISO 27002	2013
ISO 27005	2018
ISO 31000	2018

위 표를 기준으로 문서를 분석했음.

 

이후에는 간단히 27000시리즈에 대해서 짚고,

마지막글에서는 27005를 분석하면서 어떤 내용을 중심으로 위험 관리 가이드를 작성해야하는가에 대한 글을 작성하면서 본 카테고리를 마무리하겠음.