피드로 돌아가기
The ISO 27001 Statement of Applicability, explained for engineers
Dev.toDev.to
Security

ISO 27001:2022 Annex A 기반 93개 Control 최적화 설계 전략

The ISO 27001 Statement of Applicability, explained for engineers

ComplianceDocs2026년 6월 24일4intermediate

Context

보안 인증 획득을 위해 많은 엔지니어링 팀이 Annex A의 Control 목록을 먼저 선택한 후 Risk를 역산하는 역방향 설계 방식 채택 이로 인해 실제 인프라 환경과 인증 문서 간의 불일치가 발생하며 Audit 과정에서 정당성 입증 실패라는 병목 지점 노출

Technical Solution

  • Risk Assessment(6.1.2) 및 Treatment(6.1.3) 선행을 통한 Bottom-up 방식의 Control 도출
  • 93개 Control(Organizational, People, Physical, Technological) 전체를 전수 조사하여 Exclusion 사유를 명시하는 Completeness Check 구조 설계
  • Control ID, Theme, Applicability, Justification, Status, Evidence Reference를 포함한 Schema 기반의 SoA 데이터 모델링
  • 단순 텍스트 기술이 아닌 Risk Register의 구체적 위험 요소와 Control을 1:1로 매핑하여 논리적 연결성 확보
  • Stage 1 Audit 대비를 위해 'Planned' 상태의 dated plan을 허용하는 점진적 구현 전략 적용
  • ISMS 전체 시스템과 SoA 간의 내부 일관성을 유지하는 Living Document 동기화 체계 구축

- [ ] Control 선택 전 Risk Assessment 단계가 완료되었는가 - [ ] Exclusion 항목에 대해 'Secure-development 미수행' 등 구체적이고 지속 가능한 근거를 작성했는가 - [ ] 모든 Applicable Control이 실제 Log, Ticket, Policy 등 Evidence Reference와 연결되어 있는가 - [ ] ISO/IEC 27001:2013 버전이 아닌 2022 버전(93개 Control)의 구조를 적용했는가 - [ ] Justification 필드에 Control 제목을 반복하지 않고 구체적인 Risk 완화 목적을 기술했는가

원문 읽기