[ 인증 소개 ]

ISO/IEC 27018:2019은 클라우드 서비스 개인 정보 보호 국제 표준으로 공용 클라우드 환경에서 PII 프로세스로서 개인 식별 정보 (이하 PII, Personally Identifiable Information)를 보호하기 위한 실행 지침입니다.

ISO/IEC 27018:2019은 조직이 ISO/IEC 27001:2013을 기반으로 하는 정보 보호 경영 시스템을 수립하고 운영할 때, ISO/IEC 27001:2013과 ISO/IEC 27018:2019에서 요구하는 추가 요구사항을 수립, 구현, 이행하여 조직에 표준을 도입 및 적용할 수 있도록 구성되어 있습니다.

<ISO/IEC 27018 인증 소개>

이 표준은 개인 정보를 보호하는 데 초점을 맞춘 실행 지침을 제공하며, 구조는 아래와 같습니다.

• •  정보 보호 경영 시스템 수립을 위해, ISO/IEC 27001:2013에 기반하고 있습니다.
• •  공용 클라우드 서비스 제공자의 정보 보안 위험성이 있는 환경에서 적용가능한 PII 보호 규제 요건을 고려하여 ISO/IEC 27002:2013에 근거한 지침을 적용합니다.
• •  공용 클라우드 컴퓨팅 환경에 대한 ISO/IEC 29100:2011의 개인 정보 보호 원칙에 따라PII 보호 조치 구현을 위해 통제 목표, 통제 및 지침을 설정합니다.

[ ISO/IEC 27018:2019 요구사항 ]

이 표준은 타 조직과의 계약에 따라 클라우드 서비스를 통해 개인 정보 수탁자 역할을 하며 정보 처리 서비스를 제공하는 공공 기관과 민간 기업, 정부 기관 및 비영리 조직을 포함하는 모든 유형과 규모의 조직에 적용 가능합니다.

• 적용 범위
• 인용 표준
• 용어 및 정의
• 개요
• 정보 보안 정책
• 정보 보안 구조
• 인적 자원 보안
• 자산 관리
• 접근 통제
• 암호화
• 물리적, 환경적 보안
• 운영 보안
• 통신 보안
• 시스템 도입, 개발, 유지보수
• 공급자 관계
• 정보 보안 사고 관리
• 비즈니스 연속성 관리의 정보 보안 측면
• 준거성

• 부속서 A PII 보호를 위한 공용 클라우드 PII 프로세서 확장 통제 집합

[ ISO/IEC 27018:2019의 중요성 ]

• 지난 몇 년간, 보안 사고가 기하급수적으로 증가하면서 PII의 보호가 최우선 과제가 되었습니다.
• 잠재적인 공용 클라우드 서비스 제공자의 개인 정보 보호 통제를 평가하고 비교하고자 할 때 독립적인 척도로 사용될 수 있습니다.
• 규제 당국의 경우, 이 표준을 기반으로 하여 개인 정보 보호를 평가하고 있습니다.
• 클라우드 서비스 제공자에게 경쟁 업체로부터 그들의 서비스를 차별화할 수 있는 방법을 제공합니다.
• 여러 국가에서 공통 지침을 제공하여 전 세계에서 비즈니스를 보다 쉽게 수행할 수 있습니다.

[ ISO/IEC 27018:2019의 필요성 ]

• •  클라우드 서비스 도입의 가장 큰 방해물인 보안 및 신뢰성을 담보할 수 있는 객관적 평가 기준이 필요합니다.
• •  클라우드 컴퓨팅 서비스는 기존의 조직 내 IT 환경과는 상이한 관점의 보안 관리 및 평가 기준이 요구됩니다.
• •  클라우드 컴퓨팅 서비스가 활성화됨에 따라 서비스를 이용하는 개인 및 기업 이용자가 개인 정보 침해 사고에 대한 피해를 입게 될 수 있습니다.
• •  위험을 식별하고, 이를 관리하거나 줄이기 위한 통제 기능을 갖출 수 있도록 보장합니다.
• •  현지 규정을 준수하도록 보장하여 데이터 위반 시 과태료가 부과될 위험이 감소됩니다.

[ ISO/IEC 27018:2019의 기대 효과 ]

• •  클라우드 사업자가 보안 및 신뢰성을 확보하고 있음을 제 3자 인증을 통해 검증할 수 있습니다.
• •  ISO/IEC 체계를 기반으로 클라우드 보안 관련 보안 통제 구축 효과성에 대한 평가가 가능합니다.
• •  클라우드 서비스 사업자는 고객에게 클라우드 정보 보호에 대한 신뢰성을 제공할 수 있습니다.
• •  개인 정보 보호를 위한 모범 사례 적용을 승인함으로써 경쟁 우위를 확보할 수 있습니다.
• •  위험을 식별하고 이를 관리하거나 영향을 줄이기 위한 통제 수단을 수립합니다.