BS7799의 배경 및 구성

Security ISMS 2008. 2. 28. 15:30

BS7799의 배경 및 구성  

BS7799 개요
  배경
  정보보안에 대한 인증이 필요한 조직들의 요청에 의해 지난 98년2월15일에 정보보호 관리체계 인증규격인 BS7799 제정.

  용어의 정의
  BS7799는 현재 정보보호를 위한 유일한 국가표준으로 최상의 실행을 위한 포괄적인 일련의 관리방법에 대해 요건별로 해석해 놓은 산업체를 위한 규격이며, 향후 ISO17799로 발전해 나갈 전망이며, 이미 ISO/IEC JTC 1/SC27 에 작업반이 구성됨.
* 정보보안 대상: 문서화된 것, 말해진 것 및 컴퓨터 정보에 대한 모든 것
  표준의 발전
 

1993.1.         산업관련 검토그룹 결성
1993.9.         실행지침 발행
1995.2.         BS7799 Part One 발간
1998.2.         BS7799 Part Two 발간
1999.4.         BS7799 Part One/Two 발간(개정)

국내의 경우도 현재 정보통신부장관이 인증하는 정보보호 관리체계 인증제도를 도입하고자 BS7799를 기반으로 연구, 검토를 진행하고 있으며, 현재는 은행등의 금융권과 증권, 보험사와 같이 고객정보가 자산의 핵심인 사업을 중심으로 BS7799인증이 시작되고 있으나, 조만간 제조분야 및 광범위한 서비스분야로 인증의 폭이 넓혀질 전망이다. 이러한 인증을 받는다는 것은 정보보호를 제대로 하고 있다는 것을 국제적인 기관으로부터 인정받게 되는 것이므로 신뢰도와 경쟁력을 제고할 수 있다.




BS7799의 구성
 
  BS7799 Part1: 정보보안 관리에 대한 실행지침
 
참조문서로 사용할 수 있음
정보보안 관리에 대한 포괄적인 세트제공
현 사용중인 최상의 정보보안 실행지침
10개의 section으로 구성
심사 및 인증으로의 사용은 불가
 
.		 BS7799 Part2: 정보보안 관리시스템에 대한규격
......................(ISMS: Information Security Management System)
 
정보보안 관리시스템 문서화 수립실행에 대한 요구사항 규정
정보보안 관리에 대한 포괄적인 세트제공
현 사용중인 최상의 정보보안 실행지침
10개의 section으로 구성
심사 및 인증으로의 사용은 불가

 
.		 BS7799 Part2: 1999는 10개의 관리항목으로 구성되어 있으며, 기밀성, 무결성 및 가용성에 대한 자료유지에 초점을 맞추고 있음.
4.1
보안방침 정보보안에 대한 경영방침과 지원사항을 제공하기 위함
4.2
보안조직 조직 내에서 보안을 효과적으로 관리하기 위해서는 보안에 대한 책임을 배정
4.3
자산분류 및 관리 조직의 자산에 대한 적절한 보호책 유지
4.4
직원의 보안 사람에 의한 실수, 절도, 부정수단이나 설비의 잘못사용으로 인한 위험을 감소
4.5
물리적 및 주변환경에 대한 보안 비인가된 접근, 손상과 사업장과 정보에 대한 영향을 방지하기 위함
4.6
의사소통 및 운영관리 정보처리 설비의 정확하고 안전한 운영을 보장하기 위함
4.7
접근통제 정보에 대한 접근통제를 하기 위함
4.8
시스템개발 및 유지 정보시스템내에 보안이 수립되었음을 보장하기 위함
4.9
사업지속성 관리 사업활동에 방해요소를 완화시키며 주요실패 및 재해의 영향으로부터 주요 사업활동을 보호하기 위함
4.10
부합성 범죄 및 민사상의 법률, 법규, 규정 또는 계약 의무사항 및 보안 요구사항의 불일치를 회피하기 위함
참고 지침
- BS7799:Part2 : 1999로 인증을 받는데 있어서 참고할 지침자료
 
.		 PD3000  Information Security Management : An introduction 인증제도와 절차 및 지침문서들의 개요를 소개
 

.		 PD3001  Preparing for BS7799 Certification 인증심사를 위해 준비해야 하는 사항들을 나타내고 있으며, BS7799의 각 요구사항별로 준비되어야 할 증거를 산업체의 Best Practice를 기반으로 제공.
 

.		 PD3002  Guide to BS7799 Risk Assessment and Risk Management  위험을 평가하고 관리하기 위한 전체적인 프로세스와 용어의 정의를 포함하여 BS7799 속에 숨어있는 기본적인 개념을 설명한다.
 
.		 PD3003  Are you ready for a BS7799 Audit?  인증심사에 앞서 조직내에서 점검을 수행하기 위한 지침을 소개.
  PD3004  Guide to BS7799 Auditing  심사지침
 
.		 PD3005  Guide on thes election of BS7799 controls  BS7799 Part2의 관리항목 중에서 조직이 선택적으로 사용할 수 있는 지침을 제공
 

   
 주요 용어

정보(Information) 

다른 중요자산과 같은 자산으로 조직에 가치를 제공하고 적절하게 보호될 필요성이 지속적으로 요구되는 것

기밀성(Confidentiality)

정보는 인가된 자만이 접근할 수 있다는 것을 보장

무결성(Integrity) 

정보와 처리방법의 정확성과 완전성에 대한보호

가용성(Availability)

요구시 인가된 사용자가 정보와 관련된 자산에 접근할 수 있다는 것을 보장

취약성(Vulnerability) 

약점/구멍, 취약성은 그 자체로는 해롭지 않으나 자산에 영향을 미치는 위협을 허용할 수 있다.

보호위험(SecurityRisk)

하나의 자산 또는 정보자산 그룹에 손상을 유발할 수 있는 취약성을 발생시키는 잠재적 위협요소

위험평가(RiskAssessment)

자산에 대한위협, 취약성과 조직에 영향을 식별하여, 위험의 정도를 결정하는 활동

위험관리(RiskManagement)

적절한 비용으로 정보시스템에 영향을 미칠 수 있는 보호위험을 식별, 관리 및 최소화하는 과정

'Security ISMS' 카테고리의 다른 글

정보관리체계에서 가장 중요한 것은?  (0) 2008.03.17
BS 7799 추진 절차  (0) 2008.02.28
BS7799 개요  (0) 2008.02.28
BS7799 정보기술 보안관리 지침 표준화동향  (0) 2008.02.28
정보보호 관리과정 요구사항  (0) 2007.12.25
,

티스토리툴바