ISO/IEC 27701

- ISO/IEC 27701 (보호 기술 – 프라이버시 정보 관리에 관한 ISO/IEC 27001 및 ISO/IEC 27002의 확장 – 요구사항 및 가이드라인)

 

- ISO 27701은 ISO 27001(정보보호 경영시스템)의 확장판

 

- 전체적으로는 14분야에 걸쳐 117개의 통제사항으로 구성되어 있다.

 

○ ISO27701 핵심 내용

  1. 관리적 보호조치
    정보보안정책수립, 인적보안, 자산관리, 서비스공급망 관리, 침해사고 관리 등

 

  2. 기술적 보호조치
   보안, 접근통제, 네트워크보안, 데이터보안, 암호화 등

 

  3. 물리적 보호조치
   보안구역 지정, 물리적 접근제어, 장비 반/출입 등 정보보호 시설 및 장비보호

 

○ 클라우드 서비스 정보보안 위협

  1. 거버넌스 측면
   거버넌스 손실, 책임성 모호, 준거성 및 법적 위험, 국경문제

 

  2. 접근통제 측면
   제공자 시스템에 대한 비인가 접근, 관리 인터페이스 취약성, 보호 메커니즘의 비일관성 및 상충

 

  3. 데이터 보안 측면
   개인정보 유출 및 손실, 불완전한 데이터 삭제, 격리(isolation) 실패

 

  4. 운영관리 측면
   서비스 비가용성 및 중단, 보안사고 처리, 공급망 취약성