ISO/IEC 27017
IT위키
- 클라우드 서비스 제공자의 보안통제/구현지침
구성[편집 | 원본 편집]
| 구성 | 설명 |
|---|---|
| 정보 보호 정책 | 정보 및 기타 자산에 대한 보안 위험 수준과 일치 |
| 정보 보호 조직 | 내부 조직 역할과 책임, 모바일 장치와 원격 접근 정책 |
| 인적 보안 | 표준과 절차, 보안 위험 관리 방법, 법적 규제사항 교육 |
| 자산 관리 | 자산의 책임, 정보 분리, 미디어 제어 |
| 접근 통제 | 접근 관리, 사용자 통제, 시스템/소프트웨어 접근 통제 |
| 암호화 | 공급자의 암호 기능 사용 정책, 서비스 사용자 키 관리 |
| 물리적 보안 | 사무실, 시설 등 보안 영역, 케이블, 시스템 등 보안 장비 |
| 서비스 운영 보안 | 문서 운영 절차, 변경 관리, 용량 관리, 백업, 로그 모니터링 |
| 통신 보안 | 네트워크 보안 관리, ACL, 정보 전송 정책 |
| 시스템 개발 및 유지 | 보안 요구사항 적용, 개발 지원 절차, 테스트 데이터 |
| 공급 업체 관계 | 공급 업체 정보보호, 공급 서비스 보안 감사, 공급자 신원확인 |
| 보안 사고 관리 | 보안 사고 책임과 절차, 정보보호 이벤트 보고, 포렌식 |
| BCM의 정보보호 | ISO 22301기반 정보보호 지속성 확보, 보안 가용성 확보 |
| 법률 및 규정 | 관할 지역 법률 준수, 라이선스 규정 준수 및 문서화 |
