2022년 버전 정보보호 가이드라인 표준의 변경은, 기업이 변화하는 보안 시나리오 및 관련 위험에 대처하는 데 도움이 되는 통제항목들과 주로 관련이 있습니다.
ISO/IEC 27002의 업데이트는 2013년, 이후 2017년에 일부 수정이 이루어진 이후 수년 간 미루어져왔습니다. 그 동안 정보 보호, 사이버 보안 및 개인 정보 보호 리스크는 크게 바뀌었습니다. 모든 기업에 대한 위협이 심해지고 정보 보호 관리는 비즈니스 연속성과 복원력을 위해 더욱 중요해졌습니다. 지금까지 보안에 관련된 공격이나 정보 유출은 대응가능한 수준의 종종 발생되는 문제로 여겨져왔지만, 최근에는 전체 비즈니스에 심각한 영향을 미치거나, 심지어 며칠에서 몇 주 동안 생산에 지장을 초래하거나 완전히 중단시키는 사례가 증가하고 있습니다.
"이 주제는 대부분 기업들의 관심 사항과 이사회에서 핵심 주제입니다. 모두가 공통적으로 위험에 처한 것처럼 보이지만, 많은 조직들이 정보 보안 위험을 식별, 관리 및 완화할 수 있는 적절하고 견고한 시스템을 구현하지 못하고 있습니다. 업데이트된 표준을 통해 기업은 변화하는 정보 보호 시나리오에 대처할 수 있습니다."라고 DNV Business Assurance 의 ICT 비즈니스 매니저인 Nanda Kumar Shamanna는 말합니다.
새로운 버전은 사이버 보안 및 개인 정보 위협(랜섬웨어 및 악성 프로그램 등)을 통합하기 위해 디지털 및 클라우드 기술과 관련된 통제항목들에 연결됩니다. 이 표준은 또한 다양한 속성의 식별을 통해 대안적인 보안 관점을 다루기 위해서 검토 되었습니다.
이 가이드라인 표준의 변경은 인증 가능한 ISO/IEC 27001 규격에도 영향을 미칩니다. ISO/IEC 27001의 개정판은 올해 말, 아마도 10월 경에 발표될 예정입니다. 변경은 통제항목(Annex A) 부분에만 관련될 것으로 예상됩니다. 이 개정안을 ISO 27001 인증에 적용하는 스케줄은 올해 말 ISO/IEC 27001:2022 이 발표될 때 결정될 예정이지만, 이번 ISO/IEC 27002 발표를 통해 미리 준비를 시작할 수 있습니다.
새로운 버전의 주요 장점은 다음과 같습니다:
- 새로운 시나리오와 리스크를 다룹니다;
- 대안적 보안 관점을 이해하는 데 도움이 됩니다;
- 사이버 보안 및 프라이버시 측면을 포함합니다;
- 새로운 시나리오와 리스크를 놓치지 않도록 하기 위한 새로운 통제항목들이 제공됩니다;