⑥ IT 자격증/ISO 27001:2022

ISO27001:2022 5. 조직적 통제항목에 대한 질문과 증적 예시

->^_^<- 2025. 9. 19. 16:07
반응형

 

📑 ISO/IEC 27001:2022 Annex A.5 – 조직적 통제 (37개)

각 항목별 통제번호 / 질문(체크리스트) / 주요 증적(Evidence)

🔹 정보보안 정책 및 거버넌스

A.5.1 Policies for information security

  • 질문: 조직은 정보보안 정책을 수립·승인·배포했는가?
  • 증적: 정보보안 정책 문서, 경영진 승인 기록

A.5.2 Information security roles and responsibilities

  • 질문: 정보보안 관련 역할과 책임은 정의·전달되었는가?
  • 증적: RACI 차트, 직무기술서

A.5.3 Segregation of duties

  • 질문: 직무 분리가 적용되어 이해상충이 방지되는가?
  • 증적: 직무분리 정책, 권한 매트릭스

A.5.4 Management responsibilities

  • 질문: 경영진은 정보보안 운영에 책임을 다하는가?
  • 증적: 경영진 검토 회의록, 보안 목표 보고서

A.5.5 Contact with authorities

  • 질문: 조직은 관계 당국과의 연락 체계를 보유하고 있는가?
  • 증적: 당국 연락망, 보고 절차

A.5.6 Contact with special interest groups

  • 질문: 조직은 산업별 보안 커뮤니티와 연락체계를 유지하는가?
  • 증적: 협의체 가입 문서, 회의록

A.5.7 Threat intelligence

  • 질문: 조직은 위협 인텔리전스를 수집·분석·활용하는가?
  • 증적: CTI 보고서, 위협 분석 대시보드

A.5.8 Information security in project management

  • 질문: 프로젝트 수행 시 보안 요구사항이 반영되는가?
  • 증적: 프로젝트 계획서, 보안 검토 기록

🔹 자산 관리 및 신원 관리

A.5.9 Inventory of information and other associated assets

  • 질문: 정보자산 목록은 관리·갱신되는가?
  • 증적: 자산 관리대장, CMDB

A.5.10 Acceptable use of information and associated assets

  • 질문: 자산 사용 지침은 정의·교육되는가?
  • 증적: 자산 사용 정책, 사용자 서약서

A.5.11 Return of assets

  • 질문: 퇴직·직무 변경 시 자산은 반납되는가?
  • 증적: 자산 반납 체크리스트, 반납 확인서

A.5.12 Classification of information

  • 질문: 정보는 분류체계에 따라 관리되는가?
  • 증적: 정보 분류 정책, 데이터 분류표

A.5.13 Labelling of information

  • 질문: 정보는 분류등급에 따라 라벨링되는가?
  • 증적: 라벨링 지침, 분류 문서 샘플

A.5.14 Information transfer

  • 질문: 정보 전송은 안전하게 수행되는가?
  • 증적: 전송 보안 정책, 암호화 메일 로그

A.5.15 Access to information

  • 질문: 정보 접근은 최소 권한 원칙에 따라 관리되는가?
  • 증적: 접근 통제 정책, 권한 승인 기록

A.5.16 Identity management ✅ (2022 개정 반영)

  • 질문: 사용자 신원은 등록·변경·삭제 절차에 따라 관리되는가?
  • 증적: ID 관리 정책, IAM 시스템 로그, 계정 관리 절차

A.5.17 Authentication information

  • 질문: 비밀번호 등 인증 정보는 안전하게 관리되는가?
  • 증적: 비밀번호 정책, 암호화 저장 설정

A.5.18 Access rights

  • 질문: 사용자 접근 권한은 승인 후 부여되고 주기적으로 검토되는가?
  • 증적: 권한 관리 매트릭스, 정기 권한 검토 기록

🔹 공급망 보안

A.5.19 Information security in supplier relationships

  • 질문: 공급자 계약에 보안 요구사항이 포함되는가?
  • 증적: 계약서, SLA 보안 조항

A.5.20 Addressing information security within supplier agreements

  • 질문: 공급자 계약 시 보안 통제가 반영되는가?
  • 증적: 계약 문서, 보안 협약서

A.5.21 Managing information security in the ICT supply chain

  • 질문: ICT 공급망 보안 위험을 관리하는가?
  • 증적: 공급망 리스크 평가, 보안 가이드라인

A.5.22 Monitoring, review and change management of supplier services

  • 질문: 공급자 서비스는 모니터링·검토·변경 관리되는가?
  • 증적: 공급자 감사 보고서, SLA 검토 기록

A.5.23 Information security for use of cloud services

  • 질문: 클라우드 서비스 사용 시 보안 통제가 적용되는가?
  • 증적: CSP 계약서, 클라우드 보안 인증서

 

🔹 사고 대응 및 증거 관리

A.5.24 Information security event reporting

  • 질문: 보안 이벤트 보고 절차가 있는가?
  • 증적: 보고 양식, 보고 기록

A.5.24 Information security event reporting

  • 질문: 보안 이벤트 보고 절차가 있는가?
  • 증적: 보고 양식, 보고 기록

A.5.25 Assessment of and decision on information security events

  • 질문: 보안 이벤트는 평가 후 사고 여부를 판정하는가?
  • 증적: 이벤트 분석 보고서, 판정 기록

A.5.26 Response to information security incidents

  • 질문: 보안사고 발생 시 신속히 대응하는가?
  • 증적: 사고 대응 로그, 보고서

A.5.27 Learning from information security incidents

  • 질문: 사고 후 분석·교훈 반영이 이루어지는가?
  • 증적: 분석 보고서, 개선 조치 기록

A.5.28 Collection of evidence

  • 질문: 사고 증거 수집은 적법한 절차에 따라 수행되는가?
  • 증적: 증거 보존 절차, 로그 백업

A.5.29 Information security during disruption

  • 질문(체크리스트)
    • 조직은 서비스 중단(사고, 재해, 위기 상황) 동안에도 정보보안을 유지할 수 있는가?
    • 비즈니스 연속성 및 재해복구 계획에 “보안 관점”이 포함되어 있는가?
  • 주요 증적(Evidence)
    • BCP(비즈니스 연속성 계획) 및 DR(재해복구 계획) 문서
    • 위기 대응 시나리오 내 보안 조치 기록
    • 비상 대응 훈련 결과 보고서
    • 중단 상황 대응 절차에서의 정보보안 점검 체크리스트

🔹 연속성 및 개선

A.5.30 ICT readiness for business continuity

  • 질문: 조직은 ICT가 비즈니스 연속성을 지원할 수 있도록 준비되어 있는가?
  • 증적: DR(재해복구) 계획 문서, 복구 시나리오, 테스트 로그

A.5.31 Identification of legal, statutory, regulatory and contractual requirements

  • 질문: 조직은 보안 관련 법적·규제·계약상 요구사항을 식별·이행하는가?
  • 증적: 컴플라이언스 매트릭스, 법규 요구사항 목록, 규제 대응 보고서

A.5.32 Intellectual property rights

  • 질문: 지적재산권 보호를 위한 통제가 마련되어 있는가?
  • 증적: 저작권/라이선스 관리 정책, NDA, 소프트웨어 라이선스 기록

A.5.33 Protection of records

  • 질문: 조직의 기록은 무결성·보존·보호가 보장되는가?
  • 증적: 기록 보존 정책, 로그 관리 지침, 보관 절차 문서

A.5.34 Privacy and protection of PII (Personally Identifiable Information)

  • 질문: 개인정보 및 PII 보호 절차가 수립·운영되는가?
  • 증적: 개인정보 처리방침, PII 관리대장, GDPR/K-개인정보보호법 준수 기록

A.5.35 Independent review of information security

  • 질문: 정보보안은 독립적인 검토(내부/외부 감사)를 받고 있는가?
  • 증적: 감사 계획서, 독립 감사 보고서, 시정조치 계획

A.5.36 Compliance with policies, rules and standards for information security

  • 질문: 정보보안 정책·규정·표준의 준수가 점검되는가?
  • 증적: 내부 점검 보고서, 준수 체크리스트, 위반 시정조치 기록

A.5.37 Documented operating procedures

  • 질문: 주요 운영 절차가 문서화되어 있고 최신화되는가?
  • 증적: 운영 매뉴얼, 절차 문서, 개정 이력
반응형