ISO/IEC 27017 & ISO 27018 - 클라우드 서비스 정보보호 및 개인정보 보호 국제표준
ISO/IEC 27017은 클라우드 서비스 제공자 및 고객이 이행해야 하는 정보보호 통제와 관련된 가이드라인을 제공하는 국제 표준이고, ISO/IEC 27018은 클라우드 서비스에서 처리되는 이용자 혹은 고객 개인 식별 정보(PII : Personally Identifiable Information)의 안전한 처리를 위해 이행해야 하는 통제와 관련된 가이드라인을 제공하는 국제 표준입니다.
ISO/IEC 27017 & ISO/IEC 27018은 무엇인가요?
ISO/IEC 27017과 ISO/IEC 27018은 클라우드 서비스와 관련된 정보보호 및 개인정보 보호에 대한 국제 표준으로, 두 개의 표준 모두 ISO/IEC 27001에 기반한 정보보호관리체계 수립을 기본적으로 요구하고 있습니다. 즉, ISO/IEC 27001 국제 표준에 기반한 정보보호관리체계를 수립 및 운영하고 있는 조직에서 ISO/IEC 27017과 ISO/IEC 27018 국제 표준에서 요구하는 추가 요구사항의 수립, 구현, 이행 등을 통해 표준을 조직에 도입 및 적용할 수 있도록 구성되어 있습니다.
ISO/IEC 27017 국제 표준에서는 ISO/IEC 27001 국제 표준에 기반한 정보보호관리체계에 클라우드 서비스 제공자와 고객이 추가 반영해야 할 프레임워크 측면의 요구사항을 정의하고 있습니다.
또한 가상 머신 hardening, 클라우드 서비스 모니터링, 가상 네트워크와 물리적 네트워크를 위한 정보보호 관리, 클라우드 환경의 운영 관리 절차, 가상 컴퓨팅 환경에서의 분리, 클라우드 서비스 고객 정보 및 자산의 삭제 등 클라우드 서비스에 특화된 정보보호 통제에 대한 요구사항을 추가 정의하고 있습니다.
ISO/IEC 27018 국제 표준 역시, ISO/IEC 27001 국제 표준에 기반한 정보보호관리체계에 클라우드 환경 내의 개인 식별 정보(PII : Personally Identifiable Information) 보호를 위해 추가 반영해야 할 프레임워크 측면의 요구사항을 정의하고 있습니다.
또한 개인 식별 정보의 상업적 사용 및 수집 제한, 개인식별 정보의 사용·보관·유출 방지, 위탁된 개인정보 처리, 개인정보 관련 컴플라이언스 준수, Temporary 파일들에 대한 안전한 삭제 등 클라우드 환경 내의 개인정보 보호 통제 적용을 위한 요구사항을 추가 정의하고 있습니다.
인증 취득의 이점
ISO/IEC 27017과 ISO/IEC 27018 국제 표준은 ISO/IEC 27001 국제 표준을 기반으로 클라우드 환경에 필요한 정보보호와 개인정보 보호 관련 통제를 추가할 수 있도록 구성되어 있습니다.
따라서 ISO/IEC 27001에 기반한 정보보호관리체계를 운영하고 있는 조직 중 클라우드 관련 이슈가 있는 조직이 ISO/IEC 27017과 ISO/IEC 27018 국제 표준의 요구사항을 이미 수립된 정보보호관리체계에 추가 반영한다면, 전 세계 어느 곳에서도 일관된 인정을 받을 수 있는 정보보호 및 클라우드 통합 정보보호관리체계의 운영이 가능할 것입니다.
DNV와 함께 인증 준비를 시작하세요.
인증을 받으려면 먼저 표준의 요구 사항을 준수하는 효과적인 클라우드 서비스 정보보호 및 개인정보 보호 시스템을 구현해야 합니다. DNV는 공인된 제3자 인증 기관으로, ISO/IEC 27017과 ISO/IEC 27018 관련 교육부터 자체 평가, 갭 분석 및 인증 서비스까지 여정 전반에 걸쳐 도움을 드릴 수 있습니다. 보다 자세한 내용이 궁금하시다면, 이곳을 클릭해 인증 프로세스를 확인해 보시기 바랍니다.