'BS7799'에 해당되는 글 5건

  1. 2008.10.15 BS 7799 Audit 체크리스트
  2. 2008.02.28 BS7799의 배경 및 구성
  3. 2008.02.28 BS7799 개요
  4. 2008.02.28 BS7799 정보기술 보안관리 지침 표준화동향
  5. 2007.08.13 BS7799 & ISO 17799

BS 7799 감사 체크리스트입니다...각각 체크리스트 성격을 달리 하다보니 오늘에만 체크리스트 포스팅을 3개나 하게 되었네요...'  ^^

필요하신 분들에게 도움이 되었으면 합니다..

Posted by 엔시스
TAG audit, BS7799
BS7799의 배경 및 구성  

BS7799 개요

  배경
  정보보안에 대한 인증이 필요한 조직들의 요청에 의해 지난 98년2월15일에 정보보호 관리체계 인증규격인 BS7799 제정.

  용어의 정의
  BS7799는 현재 정보보호를 위한 유일한 국가표준으로 최상의 실행을 위한 포괄적인 일련의 관리방법에 대해 요건별로 해석해 놓은 산업체를 위한 규격이며, 향후 ISO17799로 발전해 나갈 전망이며, 이미 ISO/IEC JTC 1/SC27 에 작업반이 구성됨.
* 정보보안 대상: 문서화된 것
, 말해진 것 및 컴퓨터 정보에 대한 모든 것

  표준의 발전
 

1993.1.         산업관련 검토그룹 결성
1993.9.         
실행지침 발행
1995.2.         
BS7799 Part One 발간
1998.2.         
BS7799 Part Two 발간
1999.4.         
BS7799 Part One/Two 발간(개정)

국내의 경우도 현재 정보통신부장관이 인증하는 정보보호 관리체계 인증제도를 도입하고자 BS7799를 기반으로 연구, 검토를 진행하고 있으며, 현재는 은행등의 금융권과 증권, 보험사와 같이 고객정보가 자산의 핵심인 사업을 중심으로 BS7799인증이 시작되고 있으나, 조만간 제조분야 및 광범위한 서비스분야로 인증의 폭이 넓혀질 전망이다. 이러한 인증을 받는다는 것은 정보보호를 제대로 하고 있다는 것을 국제적인 기관으로부터 인정받게 되는 것이므로 신뢰도와 경쟁력을 제고할 수 있다.




BS7799의 구성
 
  BS7799 Part1: 정보보안 관리에 대한 실행지침
 
참조문서로 사용할 수 있음
정보보안 관리에 대한 포괄적인 세트제공
현 사용중인 최상의 정보보안 실행지침
10개의 section으로 구성
심사 및 인증으로의 사용은 불가

 
.
BS7799 Part2: 정보보안 관리시스템에 대한규격
......................(ISMS: Information Security Management System)
 
정보보안 관리시스템 문서화 수립실행에 대한 요구사항 규정
정보보안 관리에 대한 포괄적인 세트제공
현 사용중인 최상의 정보보안 실행지침
10개의 section으로 구성
심사 및 인증으로의 사용은 불가

 
.
BS7799 Part2: 1999는 10개의 관리항목으로 구성되어 있으며, 기밀성, 무결성 및 가용성에 대한 자료유지에 초점을 맞추고 있음.
4.1
보안방침 정보보안에 대한 경영방침과 지원사항을 제공하기 위함
4.2
보안조직 조직 내에서 보안을 효과적으로 관리하기 위해서는 보안에 대한 책임을 배정
4.3
자산분류 및 관리 조직의 자산에 대한 적절한 보호책 유지
4.4
직원의 보안 사람에 의한 실수, 절도, 부정수단이나 설비의 잘못사용으로 인한 위험을 감소
4.5
물리적 및 주변환경에 대한 보안 비인가된 접근, 손상과 사업장과 정보에 대한 영향을 방지하기 위함
4.6
의사소통 및 운영관리 정보처리 설비의 정확하고 안전한 운영을 보장하기 위함
4.7
접근통제 정보에 대한 접근통제를 하기 위함
4.8
시스템개발 및 유지 정보시스템내에 보안이 수립되었음을 보장하기 위함
4.9
사업지속성 관리 사업활동에 방해요소를 완화시키며 주요실패 및 재해의 영향으로부터 주요 사업활동을 보호하기 위함
4.10
부합성 범죄 및 민사상의 법률, 법규, 규정 또는 계약 의무사항 및 보안 요구사항의 불일치를 회피하기 위함



참고 지침
- BS7799:Part2 : 1999로 인증을 받는데 있어서 참고할 지침자료

 
.
PD3000  Information Security Management : An introduction 인증제도와 절차 및 지침문서들의 개요를 소개
 

.
PD3001  Preparing for BS7799 Certification 인증심사를 위해 준비해야 하는 사항들을 나타내고 있으며, BS7799의 각 요구사항별로 준비되어야 할 증거를 산업체의 Best Practice를 기반으로 제공.
 

.
PD3002  Guide to BS7799 Risk Assessment and Risk Management  위험을 평가하고 관리하기 위한 전체적인 프로세스와 용어의 정의를 포함하여 BS7799 속에 숨어있는 기본적인 개념을 설명한다.
 
.
PD3003  Are you ready for a BS7799 Audit?  인증심사에 앞서 조직내에서 점검을 수행하기 위한 지침을 소개.
  PD3004  Guide to BS7799 Auditing  심사지침
 
.
PD3005  Guide on thes election of BS7799 controls  BS7799 Part2의 관리항목 중에서 조직이 선택적으로 사용할 수 있는 지침을 제공
 

   
 주요 용어

정보(Information) 

다른 중요자산과 같은 자산으로 조직에 가치를 제공하고 적절하게 보호될 필요성이 지속적으로 요구되는 것

기밀성(Confidentiality)

정보는 인가된 자만이 접근할 수 있다는 것을 보장

무결성(Integrity) 

정보와 처리방법의 정확성과 완전성에 대한보호

가용성(Availability)

요구시 인가된 사용자가 정보와 관련된 자산에 접근할 수 있다는 것을 보장

취약성(Vulnerability) 

약점/구멍, 취약성은 그 자체로는 해롭지 않으나 자산에 영향을 미치는 위협을 허용할 수 있다.

보호위험(SecurityRisk)

하나의 자산 또는 정보자산 그룹에 손상을 유발할 수 있는 취약성을 발생시키는 잠재적 위협요소

위험평가(RiskAssessment)

자산에 대한위협, 취약성과 조직에 영향을 식별하여, 위험의 정도를 결정하는 활동

위험관리(RiskManagement)

적절한 비용으로 정보시스템에 영향을 미칠 수 있는 보호위험을 식별, 관리 및 최소화하는 과정

'Security ISMS' 카테고리의 다른 글

정보관리체계에서 가장 중요한 것은?  (0) 2008.03.17
BS 7799 추진 절차  (0) 2008.02.28
BS7799의 배경 및 구성  (0) 2008.02.28
BS7799 개요  (0) 2008.02.28
BS7799 정보기술 보안관리 지침 표준화동향  (0) 2008.02.28
정보보호 관리과정 요구사항  (0) 2007.12.25
Posted by 엔시스
TAG BS7799

BS7799 개요

Security ISMS 2008.02.28 15:27
BS7799 개요  

0.  개요


사회에서 산업전반의 주요근간이 되는 정보는 적절한 수준의 무결성(Integrity)과 가용성(Availability) 그리고 비밀성(Confidentiality) 등의 속성을 만족하고 있어야 한다.
그러나 예기치 못한 위험에 의해 그 가치가 파괴되거나 손실되는 경우가 발생하여 엄청난 경제적 손실을 초래하고 기업의 이미지를 손상시키는 경우가 적지 않다.

 따라서 국내외의 모든 기업 및 기관들은 조직 내의 가장 중요한 자산인 정보 시스템을 효율적으로 보호하여 자산에 대한 위험을 분석하고 비용 효과적인 측면에서 정보보안에 대한 적절한 보호 대책을 수립하여야 한다

 
1. 국내외 현황(정보보호 관련)
 
1) 미국
캘리포니아 대학의 프랭크 버나드(Frank Bernhard) 교수는 최근 3,000개 기업을 대상으로 한 연구보고서에서 보안상의 결함이 기업의 연간 수익 중 5.7%에 해당하는 손실을 유발시키고 있다는 사실을 확인했다. 그는 이것을 '경제적 누출'(economic leakage)이라고 한다.
 
2) 한국
한국정보보호센터가 발표한 조사 통계자료에 따르면 2001년 4월 국내 해킹피해건수가 전년 동기 대비 4.5배 증가한 537건으로 밝혀졌다.
또 지난 1년 동안 총 피해건수가 1943건인 데 반해 올들어 4월까지 피해건수가 벌써 지난해 80%대 수준을 넘어선 1620건에 달해 해킹 건수가 갈수록 증가하고 있는 것으로 나타났다.
 
정보보호 관리의 위협요소 및 사고원인을 파악하면 다음과 같다.

보안사고의 위협요소

정보보호 사고의 원인

해킹 . 내부 (해킹의 60% 이상) . 외부 (해킹의 40% 미만)서비스 거부 (Denial of Service)기술적 결함시스템 사용자에 의한 정보분산유해 소프트웨어 18% 전원고장17% 사용자 실수 17% LAN 고장 14% 외부 바이러스 9% WAN 고장 6% 직원의 고의성 사고 6% 운영요원의 실수

(BISS '98 : Broadcast information security research)


 
2. BS 7799의 배경
 
1) 배경

정보보안에 대한 인증이 필요한 조직들의 요청에 의해 지난 98년 2월 15일에 정보보호 관리체계 인증 규격인 BS 7799제정.

 
2) 용어의 정의

BS 7799는 현재 정보보호를 위한 유일한 국가표준으로 최상의 실행을 위한 포괄적인 일련의 관리방법에 대해 요건별로 해석해 놓은 산업체를 위한 규격이며,

향후 ISO 17799로 발전해 나갈 전망이며, 이미 ISO/IECJTC1/SC27에 작업반이 구성되어 있다.

* 정보 보안의 대상: 문서화 된 것, 말해진 것 및 컴퓨터 정보에 대한 모든 것

 
3) 표준의 발전

1993. 1.  산업관련 검토 그룹 결성
1993. 9.  실행 지침 발행
1995. 2.  BS 7799 Part One 발간
1998. 2.  BS 7799 Part Two 발간
1999. 4.  BS 7799 Part One/Two 발간 (개정)

국내의 경우도 현재 정보통신부 장관이 인증하는 정보보호관리체계인증제도를 도입하고자 BS 7799를 기반으로 연구, 검토를 진행하고 있으며,

현재는 은행 등의 금융권과 증권, 보험사와 같이 고객정보가 자산의 핵심인 사업을 중심으로 BS 7799 인증이 시작되고 있으나,

조만간 제조분야 및 광범위한 서비스분야로 인증의 폭이 넓혀질 전망이다.

* 인증 취득의 의의:
   정보보호를 제대로 하고 있다는 것을 국제적인 기관으로부터 인정 받게 되는 것이므로 신뢰도와 경쟁력을 제고할 수 있다.



3. BS 7799의 구성

BS 7799는 두 부분으로 구성되어 있다.

 
1) BS 7799 Part 1: 정보보안관리에 대한 실행 지침

  - 참조 문서로 사용할 수 있음
  - 정보보안관리에 대한 포괄적인 세트 제공
  - 현 사용중인 최상의 정보보안 실행 지침
  - 10개의 section으로 구성
  - 심사 및 인증으로의 사용은 불가

 
2) BS 7799 Part 2 : 정보보안 관리시스템에 대한 규격
(ISMS : Information Security Management System)

  - 정보보안관리 시스템 문서화 수립 실행에 대한 요구사항 규정
  - 개별 조직의 필요성에 따라 실행될 수 있는 보안관리 요건을 규정

  - BS 7799:Part 2:1999는 10개의 관리항목으로 구성되어 있으며, 기밀성, 무결성 및 가용성에 대한 자료 유지에 초점을 맞추고 있다.

 
4. BS 7799 Section

  1) 보안방침
정보보안에 대한 경영방침과 지원사항을 제공하기 위함


  2) 보안 조직
조직 내에서 보안을 효과적으로 관리하기 위해서는 보안에 대한 책임을 배정


  3) 자산 분류 및 관리
조직의 자산에 대한 적절한 보호책 유지


  4) 직원의 보안
사람에 의한 실수, 절도, 부정 수단이나 설비의 잘못 사용으로 인한 위험을 감소


  5) 물리적 및 주변환경에 대한 보안
비 인가된 접근, 손상과 사업장과 정보에 대한 영향을 방지하기 위함


  6) 의사소통 및 운영관리
정보처리 설비의 정확하고 안전한 운영을 보장하기 위함


  7) 접근 통제
정보에 대한 접근통제를 하기 위함

  8) 시스템 개발 및 유지
정보 시스템 내에 보안이 수립되었음을 보장하기 위함

  9) 사업 지속성 관리
사업활동에 방해요소를 완화시키며 주요 실패 및 재해의 영향으로부터 주요 사업활동을 보호하기 위함

 10) 부합성
범죄 및 민사상의 법률, 법규, 규정 또는 계약 의무사항 및 보안 요구사항의 불일치를 회피하기 위함


 

5.  BS7799 인증준비


 1)  BS7799 Part1과 Part2를 참조하여 다음과 같은 경영프레임을 구축.

 

   - 1단계:  정보보호 정책을 정의.

   - 2단계:  정보보호 관리시스템의 범위 정의. 경계는 조직특성, 위치, 자산 및 기술 등의 용어로서 정의.

   - 3단계:  적절한 위험평가를 실시. 위험평가는 자산에 대한 위협, 취약점 및 조직에 대한 영향을 식별하고 위험수준을 결정.

 

   - 4단계:  관리하여야 하는 위험영역은 조직의 정보보안 정책과 요구되는 보장수준을 토대로 식별.

   - 5단계:  적절한 통제목표 및 방안을 본 규격의 4항을 토대로 선정하고, 그 선정을 정당화.

   - 6단계:  적용성 보고서를 작성. 설정한 통제목표 및 방안과 그것의 설정사유는 적용성 보고서로 문서화. 이 보고서는 4항에 정의한 통제방안 중 제외된 것을 전부 기록함.


 

 2)  ISMS의 문서화 체계도

 

프레임 워크의 단계를 이행하면 기업은 정보보안 관리시스템(ISMS)의 문서를 생성할 수 있으며, 문서의 체계도는  ISO9001 시스템의 문서체계와 유사함

출처: 인터넷 떠돌다가

'Security ISMS' 카테고리의 다른 글

BS 7799 추진 절차  (0) 2008.02.28
BS7799의 배경 및 구성  (0) 2008.02.28
BS7799 개요  (0) 2008.02.28
BS7799 정보기술 보안관리 지침 표준화동향  (0) 2008.02.28
정보보호 관리과정 요구사항  (0) 2007.12.25
정보보호관리체계의 개요  (0) 2007.12.15
Posted by 엔시스
TAG BS7799

BS7799 정보기술 보안관리 지침 표준화동향

김종기/부산대학교 경영학부 교수

1. BS7799의 개요

디지털 사회에 접어든 오늘날 정보기술(IT)은 어느 산업이든지 불문하고 기업 경영의 근간을 이루고 있다. 정보보안은 이제 더 이상 정부기관이나 높은 수준의 보안을 요하는 한정된 분야의 업체에서만 관심을 가지는 문제가 아니라 모든 기관과 기업체에서 반드시 짚고 가야하는 문제로 인식되고 있다.

정보보안관리는 보안위험을 식별하고 이러한 위험을 효과적으로 관리할 수 있는 대책을 다룬다. BS7799는 기업이 고객 정보의 비밀성, 무결성 및 가용성을 보장한다는 것을 공개적으로 확인하는데 초점을 둔다. BS7799는 BT, HSBC, Marks and Spencer, Shell International, Unilever 등 주요 업체와 더불어 영국의 상무성 주관으로 "정보보안관리 실무 규범 (A Code of Practice for Information Security Management)"이라는 제목 하에 조직의 정보보안을 구현하고 유지하는 책임을 지는 관리자들이 참조할 수 있는 보편적인 문서로 사용하도록 개발되었으며, 조직의 보안 표준의 기반이 되도록 고안되었다.

기업들이 부딪치는 대부분의 상황에 필요한 통제를 식별하기 위한 단일한 참조점을 제공하고 중소기업은 물론 대기업까지 광범위한 범위에 적용될 수 있도록 하여 공통적인 정보보안관리 문서를 참조함으로써 기업들간의 네트워킹에 있어서 상호 신뢰가 가능하도록 한다. 물론 이 표준에서 제시하고 있는 통제들 모두가 모든 상황에 적용될 수 있는 것은 아니며, 개별적인 환경적 또는 기술적 제약조건을 고려하여 선택하여야 할 것이다. 따라서 이 표준은 지침과 권고안의 성격을 가진다.

BS7799는 1995년에 처음 제정되어 1999년에 개정되었으며, 영국 이외에 호주, 브라질, 네덜란드, 뉴질랜드, 노르웨이 등에서 사용되고 있고, 1999년 10월에 ISO 표준으로 제안되어 ISO/IEC DIS 17799-1이 되었다. 영국 정부에서는 전자정부를 향한 노력을 뒷받침하기 위하여 2001년 3월까지 대부분의 정보시스템에 대하여 BS7799 인증을 받도록 하여 국가 핵심 정보 기반구조를 보호하기 위한 수단으로 활용하고 있다. 산업계에서는 정보보안이 국제시장에서 경쟁 우위를 제공하는 경영전략이 될 수 있다고 인식하고 있으며, 유럽, 북미, 환태평양권 등 전세계적으로 BS7799에 대한 높은 관심을 보이고 있다.

BS7799는 두 부분으로 구성된다.

 - 제1부는 표준적인 실무 지침이며 종합적인 보안 통제 목록을 제시하고,

 - 제2부는 정보보안관리시스템(Information Security Management System; ISMS)에 대한 표준적인 명세이다.

또한 ISO9000과 유사하게 운영되는 "c:cure"라는 인증 스킴이 있다. 사실 ISO9000과 BS7799사이에는 많은 유사성이 있는데, 예를 들어  ISO9000에서의 품질 정책과 품질관리시스템 대신에
               BS7799에는 정보보안 정책과 ISMS이 존재한다.

2. BS7799 제1부 - 보안 통제 항목

BS7799 제1부는 10개의 주요 분야로 나누어진 127개의 통제 항목으로 구성되어 있으며, 현재 사용되고 있는 최선의 정보보안 실무들로 구성된 종합적인 보안 통제 목록을 제공한다. 아래의 <표 1>에서 진하게 표시된 10개의 통제 항목들은 핵심 통제들로서 필수적인 요구사항이거나 정보보안을 위한 기초적인 구성 요소이며, 조직이 정보보안 통제를 구현하는데 기반이 된다.

분야 세부 분야 통제 항목
보안 정책 정보보안 정책 정보보안 정책 문서
보안 조직 정보보안 기반구조 정보보안 관리 포럼, 정보보안 조정, 정보보안 책임 배정, IT 시설 승인 절차
제삼자 접근 보안 제삼자 연결의 위험 식별, 제삼자 계약의 보안 조건
자산 분류와 통제 자산의 책임성 자산 목록
정보 분류 분류 지침, 분류 표시
인적 보안 직무 정의와 고용 보안 직무 명세의 보안, 채용 심사, 비밀 준수 서약
사용자 훈련 정보보안 교육 및 훈련
사고 대응 보안 사고 보고, 보안 취약성 보고, 소프트웨어 오류 보고, 징계 절차
물리적 및 환경적 보안 보안 영역 물리적 보안 경계, 물리적 출입 통제, 데이터 센터와 컴퓨터실 보안, 격리된 배달 및 적재 영역, 책상 정리 정책, 물품의 반출
장비 보안 장비 설치와 보호, 전원, 선로 보안, 장비 유지보수, 영외 장비 보안, 장비의 안전한 폐기
전산기 및 네트워크 관리 운영 절차와 책임 문서화된 운영 절차, 사고 관리 절차, 직무 분리, 개발과 운영 시설의 분리, 외부 시설 관리
시스템 계획과 수락 용량 계획, 시스템 수락, 대체 계획, 운영 변경 통제
악성 소프트웨어 보호 바이러스 통제
시스템 운영 데이터 백업, 운영자 기록, 장애 기록, 환경 감시
네트워크 관리 네트워크 보안 통제
매체 처리와 보안 이동 가능한 컴퓨터 매체 관리, 데이터 처리 절차, 시스템 문서 보안, 매체 폐기
데이터와 소프트웨어 교환 데이터와 소프트웨어 교환 협정, 운송중 매체 보안, EDI 보안, 전자우편 보안, 사무자동화 시스템 보안
시스템 접근 통제 시스템 접근에 대한 업무 요구사항 문서화된 접근 통제 정책
사용자 접근 관리 사용자 등록, 권한 관리, 사용자 패스워드 관리, 사용자 접근 권한의 관리
사용자 책임 패스워드 사용, 관리하지 않는 사용자 장비
네트워크 접근 통제 제한된 서비스, 강제된 경로, 사용자 인증, 노드 인증, 원격 점검 포트 보호, 네트워크 분리, 네트워크 접속 통제, 네트워크 라우팅 통제, 네트워크 서비스 보안
컴퓨터 접근 통제 자동화된 터미널 식별, 터미널 로그온 절차, 사용자 식별자, 패스워드 관리 시스템, 사용자 보호를 위한 협박 경보, 터미널 종료, 접속 시간 제한
애플리케이션 접근 통제 정보 접근 제한, 시스템 유틸리티 사용, 프로그램 소스 라이브러리에 대한 접근 통제, 민감한 시스템 격리
시스템 접근과 사용 감시 사건 기록, 시스템 사용 감시, 시계 동기화
시스템 개발 및 유지보수 시스템 보안 요구사항 보안 요구사항 분석과 명세화
응용 시스템 보안 입력 데이터 확인, 내부 처리 확인, 데이터 암호화, 메시지 인증
응용 시스템 파일의 보안 운영 소프트웨어 통제, 시스템 시험 데이터 보호
개발과 지원 환경 보안 변경 관리 절차, 운영 시스템 변경의 기술적 검토, 소프트웨어 패키지에 대한 변경 제한
업무 지속성 계획 업무 지속성 계획의 측면 업무 지속성 계획 절차, 업무 지속성 계획의 틀, 업무 지속성 계획 시험, 업무 지속성 계획 갱신
준수 법적 요구사항 준수 소프트웨어 복제 통제, 조직 기록의 보호, 데이터 보호, IT 시설 오용 방지
IT 시스템의 보안 검토 보안 정책 준수, 기술적 준수 검사
시스템 감사 고려사항 시스템 감사 통제, 시스템 감사 도구 보호

<표 1> BS7799의 보안 통제 항목의 구성

 

3. BS7799 제2부 - 관리 표준

BS7799는 ISMS를 수립하도록 요구하고 있다. 제2부에서는 ISMS를 어떻게 구축하는지를 제시하며, (그림 1)과 같이 여섯 단계로 구성된다. BS7799에서는 위험관리의 중요성을 강조하며, 제1부에 수록된 모든 통제 항목들을 구현할 필요는 없다는 점을 명확히 강조하고 있다.

  ▶  먼저 모든 정보 자산과 조직에 있어서 그들의 가치를 분석하고, 어떤 정보가 왜 중요한지를 식별하는 정책을 고안하도록 한다.

  ▶ 2 단계에서는 낮은 가치를 가진 정보를 제외하여 관리 대상의 범위를 정의한다.

  ▶  다음으로, 가치를 상실하는데 따른 위험을 분석하며, 그 위험을 어떻게 관리할지를 결정한다. 여기에는 물리적, 인적, 절차적인 측면을 고려하여야 하며, 효과적인 업무 지속성 계획의 개발도 포함된다.

  ▶ 그 다음 단계는 위험을 관리하기 위한 보안대책을 선정한다. BS7799에는 이러한 보안대책이 열거되어 있다. 그러나 BS7799의 목록은 완전한 것이 아니며, 원하는 경우에는 추가적인 보안대책이 포함될 수 있다. 적용성 문서(Statement of Applicability)에는 특정한 보안 통제가 선택된 이유를 기술할 뿐만 아니라 BS7799에서 열거한 보안 통제 중에서 제외된 항목이 특정 조직에 관련이 없는 이유를 명시한다.

 

4. c:cure - BS7799 인증 스킴

영국의 상무성을 대리하여 영국표준협회(BSI/DISC)에서 BS7799를 관리하고 있다. 인증서를 발급받기 위해서는 해당 ISMS는 독립된 제삼자인 BS7799 평가자(assessor)에 의한 감사를 받아야 한다. 평가자의 자격에 대해서는 엄격한 규칙이 적용된다. 평가자가 소속된 평가기관은 영국인증서비스(UK Accreditation Service; UKAS)의 인가를 받아야 한다. 평가자는 해당 ISMS가 적절히 운영되고 있는지 주기적으로 확인한다.

5. 결언

본고에서는 영국에서 정보보안관리 표준 지침으로 활용하고 있는 BS7799에 대하여 간략하게 살펴보았다. 정보시스템의 보안성 평가에 관련하여 TCSEC, ITSEC, CC 등의 제품/시스템 중심의 평가 기준에 대하여 활발한 연구개발이 되어 국내외에서 널리 적용되고 있고, SSE-CMM과 같은 시스템 개발 프로세스에 대한 평가 프레임워크에 대한 관심이 서서히 일어나고 있다. 정보보안은 기술적, 운영적 환경의 변화에 따라 매우 동태적인 특성을 지니고 있으므로, BS7799와 같은 조직의 운영적 측면을 고려한 정보보안 평가 프레임워크의 필요성도 간과할 수는 없다.


출처: 인터넷 웹서핑..
Posted by 엔시스
TAG BS7799, ISMS


 

BS7799 & ISO 17799를 다룬 자료입니다.

관심있는 분들 읽어 보시기 바랍니다..

자료는 영문으로 되어 있습니다..^^

Posted by 엔시스