ISO 27017은 클라우드 서비스 제공자 및 고객이 이행해야 하는 정보보호 통제와 관련된 가이드라인을 제공하는 국제 표준이고, ISO 27018은 클라우드 서비스에서 처리되는 이용자 혹은 고객 개인 식별 정보(PII : Personally Identifiable Information)의 안전한 처리를 위해 이행해야 하는 통제와 관련된 가이드라인을 제공하는 국제 표준이다.

공유하다:

ISO 27017 & ISO 27018이란?

ISO 27017과 ISO 27018은 클라우드 서비스와 관련된 정보보호 및 개인정보 보호에 대한 국제 표준으로, 두 개의 표준 모두 ISO27001에 기반한 정보보호관리체계 수립을 기본적으로 요구하고 있다. 즉, ISO27001 국제 표준에 기반한 정보보호관리체계를 수립 및 운영하고 있는 조직에서 ISO 27017과 ISO 27018 국제 표준에서 요구하는 추가 요구사항의 수립, 구현, 이행 등을 통해 표준을 조직에 도입 및 적용할 수 있도록 구성되어 있다.

ISO 27017 국제 표준에서는 ISO27001 국제 표준에 기반한 정보보호관리체계에 클라우드 서비스 제공자와 고객이 추가 반영해야 할 프레임워크 측면의 요구사항을 정의하고 있다. 또한 가상 머신 hardening, 클라우드 서비스 모니터링, 가상 네트워크와 물리적 네트워크를 위한 정보보호 관리, 클라우드 환경의 운영 관리 절차, 가상 컴퓨팅 환경에서의 분리, 클라우드 서비스 고객 정보 및 자산의 삭제 등 클라우드 서비스에 특화된 정보보호 통제에 대한 요구사항을 추가 정의하고 있다.

ISO 27018 국제 표준 역시, ISO27001 국제 표준에 기반한 정보보호관리체계에 클라우드 환경 내의 개인 식별 정보(PII : Personally Identifiable Information) 보호를 위해 추가 반영해야 할 프레임워크 측면의 요구사항을 정의하고 있다.또한 개인 식별 정보의 상업적 사용 및 수집 제한, 개인식별 정보의 사용·보관·유출 방지, 위탁된 개인정보 처리, 개인정보 관련 컴플라이언스 준수, Temporary 파일들에 대한 안전한 삭제 등 클라우드 환경 내의 개인정보 보호 통제 적용을 위한 요구사항을 추가 정의하고 있다.

기대효과?

ISO 27017과 ISO 27018 국제 표준은 ISO27001 국제 표준을 기반으로 클라우드 환경에 필요한 정보보호와 개인정보 보호 관련 통제를 추가할 수 있도록 구성되어 있다. 따라서 ISO27001에 기반한 정보보호관리체계를 운영하고 있는 조직 중 클라우드 관련 이슈가 있는 조직이 ISO 27017, ISO 27018 국제 표준의 요구사항을 이미 수립된 정보보호관리체계에 추가 반영한다면, 전 세계 어느 곳에서도 일관된 인정을 받을 수 있는 정보보호 및 클라우드 통합 정보보호관리체계의 운영이 가능할 것이다.