피드로 돌아가기
Dev.toSecurity
원문 읽기

ISO 27001:2022 Annex A 기반 93개 Control 최적화 설계 전략
The ISO 27001 Statement of Applicability, explained for engineers
AI 요약
Context
보안 인증 획득을 위해 많은 엔지니어링 팀이 Annex A의 Control 목록을 먼저 선택한 후 Risk를 역산하는 역방향 설계 방식 채택 이로 인해 실제 인프라 환경과 인증 문서 간의 불일치가 발생하며 Audit 과정에서 정당성 입증 실패라는 병목 지점 노출
Technical Solution
- Risk Assessment(6.1.2) 및 Treatment(6.1.3) 선행을 통한 Bottom-up 방식의 Control 도출
- 93개 Control(Organizational, People, Physical, Technological) 전체를 전수 조사하여 Exclusion 사유를 명시하는 Completeness Check 구조 설계
- Control ID, Theme, Applicability, Justification, Status, Evidence Reference를 포함한 Schema 기반의 SoA 데이터 모델링
- 단순 텍스트 기술이 아닌 Risk Register의 구체적 위험 요소와 Control을 1:1로 매핑하여 논리적 연결성 확보
- Stage 1 Audit 대비를 위해 'Planned' 상태의 dated plan을 허용하는 점진적 구현 전략 적용
- ISMS 전체 시스템과 SoA 간의 내부 일관성을 유지하는 Living Document 동기화 체계 구축
실천 포인트
- [ ] Control 선택 전 Risk Assessment 단계가 완료되었는가 - [ ] Exclusion 항목에 대해 'Secure-development 미수행' 등 구체적이고 지속 가능한 근거를 작성했는가 - [ ] 모든 Applicable Control이 실제 Log, Ticket, Policy 등 Evidence Reference와 연결되어 있는가 - [ ] ISO/IEC 27001:2013 버전이 아닌 2022 버전(93개 Control)의 구조를 적용했는가 - [ ] Justification 필드에 Control 제목을 반복하지 않고 구체적인 Risk 완화 목적을 기술했는가