ㆍ첨부#1 2023_0530-정보보호북스_ISO27001-도서소개(배포용).pdf (4,748KB) (Down:3) ㆍ출간일 2023년 05월 08일

ㆍ조회: 30

ISO/IEC 27001:2022 정보보안경영시스템 이 책은 국가 표준기관의 연합체로써 국제적으로 통용되는 표준 개발과 보급하는 국제표준화기구(ISO)는 24,734종의 표준이 존재하며 167개국 회원으로 있다. 이 표준들의 일반적인 수명은 5년이며 이 기간이 지나면 표준이 유효한지 개정이 필요한지 아니면 철회해야 하는지를 평가합니다.   국제표준화기구(ISO)와 국제전기표준회의(IEC)에서 발행된 ISO/IEC 27001 정보보안 경영시스템(Information Security Management System; ISMS)은 조직내 정보자산의 위험관리 프로세스를 적용하여 정보의 기밀성, 무결성, 가용성을 보존하고, 이해당사자에게 위험의 적절한 관리에 대한 확신을 부여하며, 다양한 조직(기업)환경 내에서 정보보호를 계획, 구현, 전략수립, 유지 보수 및 관리할 수 있는 검증된 프레임워크를 제공합니다.   이 책은 ISO 국제 ISMS 인증심사원, 국내 ISMS-P 인증심사원, 품질경영 담당자, 내부 보안감사자, 정보보호최고책임자(CISO), 정보보안책임자(CIO, CSO), 정보보호 담당자, 정보보호교육 담당자, 정보보안 관련자격 소지자, 기업 보안담당자, 현업 프로젝트 컨설턴트, 정보보호 관련 대학 및 대학원생들에게 '국제표준 보안 프레임워크 구축 및 운영'에 대한 방향을 제시해 줄 뿐만 아니라 구체적인 예시를 통해 실무 현장에서 현실적인 문제의 해법을 제시하는 내용들을 수록하였으며, ISO/IEC 27001 인증심사원 연수과정 자격시험을 대비할 수 있도록 구성했습니다.  ISO정보보호연수원에서는 ISO 27001, 27017, 27018, 27701 국제표준 인증심사원 연수과정을 통해 양성된 ISO 인증심사원간의 휴먼네트워크 활성화를 통하여 심사원 스스로 경쟁력을 높여 나갈수 있는 전략을 구축 및 운영하고 있습니다.  (사)한국사이버감시단에서는 최근 한층 성능이 향상된 대형언어모델(LLM, Large Language Model) AI가 이끌어나갈 미래 초연결 사회를 대비하는 생애주기형 시큐리티 인력양성 전략에 맞추어 ‘자격검정센터’에서는 정보보호활용능력, 정보보안관제사, 정보보안진단원, OT보안관리사, 정보보호최고책임관리사, 정보보호·정보보안 전문강사 등 6종의 국내민간자격증을 통해 국내 정보보안 전문인력 배출을 위해 노력하고 있습니다. 국제인증심사원 & 담당자를 위한 ISMS 실무가이드! 현업 프로젝트 적용가능한 국제표준 ISMS 실무서!   지난 2022년 10월 26일 국제표준화기구(ISO)는 ISO/IEC 27001:2022 표준에 대하여 3차 개정판을 발행하였습니다. 3차 개정판은 ISMS를 도입한 조직이 중요정보를 보호하기 위한 통제(control)를 더욱 효과적으로 관리할 수 있도록 총 네 가지 테마인 조직(Organisational), 인적(People), 물리적(Physical), 기술적(Technological) 으로 구분하고, 조직 내 정보보안이 무엇을 의미하는지를 경영진의 검토와 내부감사프로그램 계획 수립 등을 통하여 ISMS의 효과적 운영을 조금더 명확히 하였습니다. 또한, 조직의 프로세스와 전체 경영 구조의 일부분으로 통합하고, 주요 정보자산의 위험평가와 필요한 통제를 검토하여 정보보안, 클라우드 보안, 데이터 보안에 대한 모범 사례를 유지하고 새로운 지침과 일치하는지를 확인하도록 하여 조직의 정보보호의 중요성과 책임 소재를 분명히 하는 것이 목적으로 하고 있습니다.   ISO/IEC 27001:2022는 조직이 운영중인 정보자산에 대하여 기밀성, 가용성 및 무결성을 보호하는 것을 목표로 하는 국제적으로 인정된 표준으로 조직이 정보보안경영시스템(ISMS)을 구축, 구현, 유지 관리 및 지속적으로 개선하기 위한 요구 사항을 제공하며, ISMS의 채택은 조직의 전략적 결정에 집중하고 비즈니스 고유의 정보보안 위험 환경을 고려하는 데 도움을 줍니다. 또한, ISMS 수립 및 구현은 조직의 요구와 목표, 보안 요구사항, 사용되는 조직 프로세스, 조직의 규모와 구조에 영향을 받기도 합니다.    ISO/IEC 27001:2022 업데이트에는 기타 용어의 사소한 변경과 4절~10절 중에서 4.2, 6.2, 6.3, 8.1절에서 새로운 내용이 추가되었으며, 9.2.1 일반사항, 9.2.2 내부 감사 프로그램, 9.3.1 일반사항, 9.3.2 경영검토 입력, 9.3.3 경영검토 결과 요구사항이 추가되었지만, 조항의 제목과 순서는 그대로 유지되었습니다.   ISO/IEC 27001:2022 Annex(부속서) A에서 요구하는 통제항목인 ISO/IEC 27002 또한 지난 2022년 3월에 2022년버전으로 개정 발표되었으며 이번 3차 개정에도 일부 영향을 미쳤습니다.   Annex A의 통제항목수는 기존 2013버전의 114개 중에서 중복되는 항목을 일부 병합하여 93개로 감소했으며, 일부 통제는 더 이상 모범 사례를 반영하지 않기 때문에 제거되었습니다.   ISO/IEC 27002:2022은 기존 35개의 통제항목은 그대로 유지되고 23개의 통제항목은 이름이 바뀌었고, 57개의 통제항목은 24개의 통제항목으로 병합되었으며, 하나의 컨트롤은 두 개로 나누어졌습니다.   ISO/IEC 27002:2022버전은 정보보안 제어가 개정되고 A.5 조직 컨트롤 (37개), A.6 사람 컨트롤 (8개), A.7 물리적 컨트롤 (14개), A.8 기술적 컨트롤 (34개) 등 4개의 통제항목 그룹 또는 섹션과 93개의 새로운 제어로 보완 및 재구성되었습니다.   ISO/IEC 27002:2022에서 신규로 추가된 11개 통제항목은 다음과 같습니다. 5.07 Threat intelligence 위협 인텔리전스 5.23 Information security for use of cloud services 클라우드 서비스 이용을 위한 정보보안 5.30 ICT readiness for business continuity 비즈니스 연속성을 위한 ICT 준비 7.4 Physical security monitoring 물리적 보안 모니터링 8.09 Configuration management 구성 관리 8.10 Information deletion 정보 삭제 8.11 Data masking 데이터 마스킹 8.12 Data leakage prevention 데이터 유출 방지 8.16 Monitoring activities 모니터링 활동 8.23 Web filtering 웹 필터링 8.28 Secure coding 보안 코딩 저자 : 공병철 (사)한국사이버감시단 이사장 (사)한국인터넷정보학회 부회장 국제사이버보안인증협회 회장 ㈜에스링크 대표, ISO 검증심사원 저자 : 여동균 ㈜와이시큐리티 대표이사, CISO_cq 국제사이버보안인증협회 이사 KISA ISMS-P, ISO 선임심사원, CISA 저자 : 조홍연 ㈜씨티아이랩 대표이사, CISO_cq 국제사이버보안인증협회 이사 KISA ISMS-P, ISO 인증심사원 저자 : 이준화 ㈜한국정보보안원 연구소장, CISO_cq 국제사이버보안인증협회 이사, CISSP KISA ISMS-P, ISO 인증심사원, PIA, CISA 저자 : 임범석 국제사이버보안인증협회 이사 정보보호연구회 수석연구위원 ISO 인증심사원, CISO_cq 저자 : 변승환 국제사이버보안인증협회 이사 정보보호연구회 수석연구위원 ISO 인증심사원, CISO_cq, CISA 저자 : 정용현 국제사이버보안인증협회 이사 정보보호연구회 수석연구위원 ISO 인증심사원, CISO_cq ---------------------------- 감수 : 최성재 국제사이버보안인증협회 이사 정보보호연구회 수석연구위원 ISO 인증심사원, CISO_cq 감수 : 마기평 국제사이버보안인증협회 이사, CISO_cq 정보보호연구회 수석연구위원 KISA ISMS-P, ISO 선임심사원 감수 : 주경숙 국제사이버보안인증협회 이사 정보보호연구회 수석연구위원 ISO 인증심사원, CISO_cq 감수 : 이승률 국제사이버보안인증협회 이사 정보보호연구회 수석연구위원 ISO 인증심사원, CISO_cq 감수 : 서승우 국제사이버보안인증협회 이사, CISO_cq 정보보호연구회 수석연구위원 KISA ISMS-P 선임, ISO 심사원 감수 : 윤현근 ㈜이멜벤처스 부대표 국제사이버보안인증협회 이사 ISO 인증심사원, CISO_cq 감수 : 윤상호 국제사이버보안인증협회 이사 정보보호연구회 수석연구위원 ISO 인증심사원, CISO_cq 감수 : 박지원 (주)홈앤쇼핑 과장 국제사이버보안인증협회 이사 ISO 인증심사원, CISO_cq 감수 : 육운수 국제사이버보안인증협회 이사 정보보호연구회 수석연구위원 ISO 인증심사원, CISO_cq 감수 : 박지원 국제사이버보안인증협회 이사 정보보호연구회 수석연구위원 ISO 인증심사원, CISO_cq 감수 : 허행희 ㈜와이시큐리티 수석컨설턴트 국제사이버보안인증협회 지부이사 정보보호연구회 수석연구위원 감수 : 공유민 국제사이버보안인증협회 지부이사 정보보호연구회 수석연구위원 ISO 인증심사원, CISO_cq ■ 이 책의 차례 1편. ISO 국제표준의 이해 1. 표준과 국제표준화의 개요 - 표준과 표준화의 개념 - 주요 국제표준 개요 - 국제표준의 개발 개요 2. ISO 국제표준 인증의 개요 - ISO 인증의 개념 - ISO 경영시스템 자격증 - ISO 인증의 절차와 개념 3. ISO 국제표준 인증심사의 개요 - 인증심사원 등록 및 활동 전략 - 심사원 관점에서의 인증의 의미 4. ISO 국제표준 인증 취득 절차 - 국제표준 인증 절차 - 국제표준 인증심사 진행 프로세스 - 인증취득을 위한 준비전략 2편. 27001:2022의 요구사항 1. 적용범위 2. 인용표준 3. 용어와 정의 4. 조직 환경 4.1 조직과 상황에 대한 이해 4.2 이해당사자의 요구와 기대에 대한 이해 4.3 정보보호 경영시스템의 범위 결정 4.4 정보보호 경영시스템 5. 리더십 5.1 지도력과 의지 5.2 정책 5.3 조직의 역할, 책임 및 권한 6. 계획 6.1 위험과 기회에 따른 조치 6.1.1 일반 6.1.2 정보보호 위험 평가 6.1.3 정보보호 위험 처리 6.2 정보보호 목표 및 달성 계획 7. 지원 7.1 자원 7.2 적격성 7.3 인식 7.4 의사소통 7.5 문서 정보 7.5.1 일반 7.5.2 생성 및 업데이트 7.5.3 문서화된 정보의 관리 8. 운영 8.1 운영 계획 및 통제 8.2 정보보호 위험평가 8.3 정보보호 위험처리 9. 성과 평가 9.1 모니터링, 측정, 분석, 평가 9.2 내부 심사 9.2.1 일반사항 9.2.2 내부심사 프로그램 9.3 경영진 검토 9.3.1 일반사항 9.3.2 경영검토 입력사항 9.3.3 경영검토 결과 출력 10. 개선 10.1 지속적인 개선 10.2 부적합 및 시정 조치 3편. 27002:2022의 통제목적 5. 조직 제어 5.1 정보보호를 위한 정책 5.2 정보보호 역할과 책임 5.3 직무 분리 5.4 경영진 책무 5.5 관계 기관 연계 5.6 전문가 그룹과의 연계 5.7 위협 분석 정보 5.8 프로젝트 관리에서의 정보보호 5.9 정보 및 기타 관련 자산 목록 5.10 정보 및 기타 관련 자산의 제한적 사용 5.11 자산의 반환 5.12 정보의 분류 5.13 정보 표식 5.14 정보 전달 5.15 접근 통제 5.16 신원 관리 5.17 인증 정보 5.18 접근 권한 5.19 공급자 관계 내 정보보호 5.20 공급자 협약 내 정보보호 명시 5.21 ICT 공급망에서 정보보안 관리 5.22 공급자 서비스 모니터링, 검토 및 변경관리 5.23 클라우드 서비스 이용을 위한 정보보안 5.24 정보보호 사고관리 계획 및 준비 5.25 정보보호 이벤트에 대한 평가 및 결정 5.26 정보보호 사고 대응 5.27 정보보호 사고로부터 교훈 5.28 증거 수집 5.29 중단 시 정보보호 5.30 비즈니스 연속성을 위한 ICT 준비 5.31 법률, 법적, 규제 및 계약상의 요건 5.32 지적 재산권 5.33 기록 보호 5.34 프라이버시 및 개인식별정보 보호 5.35 정보보호의 독립적 검토 5.36 정보보호를 위한 정책, 규칙 및 표준 준수 5.37 운영 절차 문서화 6. 인적 제어 6.1 적격 심사 6.2 고용 계약조건 6.3 정보보호 인식, 교육 및 훈련 6.4 징계 절차 6.5 퇴직 또는 이직 후의 책임 6.6 기밀유지협약 및 비밀유지서약 6.7 원격 근무 6.8 정보보호 이벤트 보고 7. 물리적 제어 7.1 물리적 보안 경계 7.2 물리적 출입구 7.3 사무실, 회의실, 시설 보호 7.4 물리적 보안 감시 7.5 외부 및 환경적 위협에 대비한 보호 7.6 보안 구역 내 작업 7.7 책상정리 및 화면 보호 7.8 장비 배치 및 보호 7.9 구외비 자산의 보안 7.10 저장 매체 7.11 지원 설비 7.12 배선 보안 7.13 장비 유지보수 7.14 장비 안전 폐기 및 재사용 8. 기술적 제어 8.1 사무환경 장치 8.2 특수 접근 권한 8.3 정보 접근 제한 8.4 소스 코드 통제 8.5 안전한 인증 8.6 용량 관리 8.7 악성코드로부터 보호 8.8 기술적 취약점 관리 8.9 구성 관리 8.10 정보 삭제 8.11 데이터 마스킹 8.12 데이터 유출방지 8.13 정보 백업 8.14 정보처리 시설의 이중화 8.15 로그기록 8.16 모니터링 활동 8.17 시각 동기화 8.18 특수 유틸리티 프로그램 사용 8.19 운영 시스템에 소프트웨어 설치 8.20 네트워크 통제 8.21 네트워크 서비스 보안 8.22 네트워크 분리 8.23 웹 필터링 8.24 암호화 사용 8.25 개발 보안 생명주기 8.26 응용 서비스 보안 요구사항 8.27 보안 시스템 구조와 공학 원칙 8.28 보안 코딩 8.29 개발 보안 시험과 인수 8.30 외주 개발 8.31 개발, 시험 및 생산 환경의 분리 8.32 변경 관리 8.33 시험 정보 8.34 감사 테스트 중 정보시스템 보호 4편. 부록 4.1 클라우드 컴퓨팅 보안 4.2 EU GDPR의 개요와 규정 4.3 국내 개인정보의 안전 조치 기준의 이해 4.4 정보보호시스템 및 네트워크 구성도 4.5 국내외 정보보호 인증제도 현황 흐름도 4.6 해킹과 침해사고 및 정책 History Map ■ 표지 이미지 ■ ■ ■   도서 구입처 - 교보 https://product.kyobobook.co.kr/detail/S000201865791 - 알라딘 https://www.aladin.co.kr/shop/wproduct.aspx?ItemId=316061519 - 예스24 http://www.yes24.com/Product/Goods/118691935 - 영풍 https://www.ypbooks.co.kr/book.yp?bookcd=101235326 - 북채널 https://bookch.co.kr/book/book_view?book_sq=737772

ISO 23806 선박 사이버 안전 인증

OT 보안관리사 필기/실기