ISO/IEC JTC 1/SC 27

ISO/IEC JTC 1/SC 27

ISO/IEC JTC 1/SC 27 정보보안, 사이버보안프라이버시 보호국제표준화기구(ISO)와 국제전기표준위원회(IEC)의 공동기술위원회 ISO/IEC JTC 1표준화 소위원회다.ISO/IEC JTC 1/SC 27은 정보보안 분야 내에서 국제표준, 기술보고서 및 기술사양을 개발한다.본 소위원회의 표준화 활동에는 일반적인 방법, 관리 시스템 요건, 정보보안, 사이버보안 및 프라이버시 문제를 해결하기 위한 기법 및 지침이 포함된다.ISO/IEC JTC 1 또는 그 소위원회의 국제표준 초안은 투표, 의견 및 기여를 위해 참여 국가표준화 기구에 발송된다.ISO/IEC 국제 표준으로 발행하려면 투표권을 행사하는 국가 기관의 최소 75%의 승인이 필요하다.[1]ISO/IEC JTC 1/SC 27의 국제 사무국은 독일에 위치한 독일 연구소(DIN)이다.[2]

역사

ISO/IEC JTC 1/SC 27은 1990년에 ISO/IEC JTC 1에 의해 설립되었다.The subcommittee was formed when ISO/IEC JTC 1/SC 20, which covered standardization within the field of security techniques, covering "secret-key techniques" (ISO/IEC JTC 1/SC 20/WG 1), "public-key techniques" (ISO/IEC JTC 1/SC 20/WG 2), and "data encryption protocols" (ISO/IEC JTC 1/SC 20/WG 3) was disbanded.이를 통해 ISO/IEC JTC 1/SC 27이 ISO/IEC JTC 1/SC 20(특히 최초 두 작업 그룹의 작업)의 업무를 인계받을 수 있을 뿐만 아니라, IT 보안 기술 분야의 다른 영역으로 범위를 확장할 수 있었다.[3]1990년 이후, 소위원회는 현재의 표준화 요구를 충족시키기 위해 범위와 작업 그룹을 확대 또는 변경했다.3개의 워킹그룹으로 시작한 ISO/IEC JTC 1/SC 27은 결국 5개를 포함하는 구조로 확장되었다.[4]2006년 4월 스페인 마드리드에서 열린 제17차 본회의에서 두 개의 새로운 실무 그룹이 추가되었다.[5]

범위

ISO/IEC JTC 1/SC 27의 범위는 「정보·ICT 보호를 위한 표준의 개발」이다.여기에는 다음과 같은 보안 및 개인 정보 보호 측면을 모두 다루는 일반적인 방법, 기술 및 지침이 포함된다.[6]

  • 보안 요구사항 포착 방법론
  • 정보 및 ICT 보안 관리, 특히 정보보안 관리 시스템, 보안 프로세스, 보안 통제 및 서비스
  • 정보의 책임성, 가용성, 무결성 및 기밀성을 보호하기 위한 메커니즘을 포함하되 이에 국한되지 않는 암호화 및 기타 보안 메커니즘
  • 용어, 지침 및 보안 구성요소 등록 절차를 포함하는 보안 관리 지원 문서
  • 신원 관리, 생체 측정 및 프라이버시의 보안 측면
  • 정보보안 관리시스템 분야의 적합성 평가, 인가 및 감사 요건
  • 보안 평가 기준 및 방법론.

"SC 27은 관련 분야의 SC 27 표준 및 기술 보고서의 적절한 개발과 적용을 보장하기 위해 적절한 기관과 적극적인 연락과 협력에 임한다."

구조

ISO/IEC JTC 1/SC 27은 5개의 작업 그룹(WG)으로 구성되며, 각각 ISO/IEC JTC 1/SC 27의 작업 프로그램 내에서 정보 및 IT 보안 표준의 기술 개발을 담당한다.In addition, ISO/IEC JTC 1/SC 27 has two special working groups (SWG): (i) SWG-M, which operates under the direction of ISO/IEC JTC 1/SC 27 with the primary task of reviewing and evaluating the organizational effectiveness of ISO/IEC JTC 1/SC 27 processes and mode of operations; and (ii) SWG-T, which operates under the direction of ISO/IEC JTC 1/SC 27 기존 WG의 범위를 벗어나거나 직간접적으로 복수의 WG에 영향을 미칠 수 있는 주제를 다룬다.또한 ISO/IEC JTC 1/SC 27에는 보도자료 및 기사, 회의 및 워크숍, 대화형 ISO 채팅 포럼 및 기타 미디어 채널 등 다양한 채널을 통해 ISO/IEC JTC 1/SC 27의 업무를 촉진하는 역할을 하는 커뮤니케이션 책임자가 있다.

각 작업 그룹의 초점은 그룹의 참조 조건에 설명되어 있다.ISO/IEC JTC 1/SC 27의 작업 그룹은 다음과 같다.[7]

워킹 그룹 작업 영역
ISO/IEC JTC 1/SC 27/SWG-M 관리
ISO/IEC JTC 1/SC 27/SWG-T 횡단 아이템
ISO/IEC JTC 1/SC 27/WG 1 정보 보안 관리 시스템
ISO/IEC JTC 1/SC 27/WG 2 암호화 및 보안 메커니즘
ISO/IEC JTC 1/SC 27/WG 3 보안 평가, 테스트 및 사양
ISO/IEC JTC 1/SC 27/WG 4 보안 제어 및 서비스
ISO/IEC JTC 1/SC 27/WG 5 ID 관리 및 개인 정보 보호 기술

공동작업

ISO/IEC JTC 1/SC 27은 충돌하거나 중복되는 작업을 피하기 위해 ISO 또는 IEC의 내부 및 외부의 여러 다른 조직 또는 소위원회와 긴밀히 협력한다.ISO/IEC JTC 1/SC 27과 협력하거나 협력하고 있는 ISO 또는 IEC 내부 조직에는 다음이 포함된다.[6][8]

  • ISO/IEC JTC 1/SWG 6, 관리
  • ISO/IEC JTC 1/WG 7, 센서 네트워크
  • ISO/IEC JTC 1/WG 9, 빅데이터
  • ISO/IEC JTC 1/WG 10, 사물인터넷(IoT)
  • ISO/IEC JTC 1/SC 6, 시스템 간 통신 및 정보 교환
  • ISO/IEC JTC 1/SC 7, 소프트웨어 및 시스템 엔지니어링
  • ISO/IEC JTC 1/SC 17, 카드 및 개인 식별
  • ISO/IEC JTC 1/SC 22, 프로그래밍 언어, 해당 환경 및 시스템 소프트웨어 인터페이스
  • ISO/IEC JTC 1/SC 25, 정보기술 장비 상호연결
  • ISO/IEC JTC 1/SC 31 자동 식별 및 데이터 캡처 기술
  • ISO/IEC JTC 1/SC 36, 학습, 교육 및 훈련을 위한 정보 기술
  • ISO/IEC JTC 1/SC 37, 바이오메트릭스
  • ISO/IEC JTC 1/SC 38, 클라우드 컴퓨팅 및 분산 플랫폼
  • ISO/IEC JTC 1/SC 40, IT 서비스 관리 및 IT 거버넌스
  • ISO/TC 8, 선박 및 해양 기술
  • ISO/TC 46, 정보 및 문서
  • ISO/TC 46/SC 11, 아카이브/레코드 관리
  • ISO/TC 68, 금융 서비스
  • ISO/TC 68/SC 2, 금융 서비스, 보안
  • ISO/TC 68/SC 7, 핵심 뱅킹
  • ISO/TC 171, 문서 관리 애플리케이션
  • ISO/TC 176, 품질 관리 및 품질 보증
  • ISO/TC 176/SC 3, 지원 기술
  • ISO/TC 204, 지능형 교통 시스템
  • ISO/TC 215, 의료 정보학
  • ISO/TC 251, 자산 관리
  • ISO/TC 259, 아웃소싱
  • ISO/TC 262, 위험 관리
  • ISO/TC 272, 법의학
  • ISO/TC 292, 보안 및 복원력
  • ISO/CASCO, 적합성 평가 위원회
  • ISO/TMB/JTCG, MSS 공동 기술 조정 그룹
  • ISO/TMB/SAG EE 1, 에너지 효율 전략 자문 그룹
  • IEC/SC 45A, 원자력 시설의 계측, 제어 및 전기 시스템
  • IEC/TC 57, 전원 시스템 관리 및 관련 정보 교환
  • IEC/TC 65, 산업 프로세스 측정, 제어 및 자동화
  • 정보 보안 및 데이터 개인 정보 보호에 대한 IEC 자문 위원회(ACSEC)

ISO/IEC JTC 1/SC 27과 협력하거나 협력하고 있는 ISO 또는 IEC 외부 조직에는 [6][9]다음이 포함된다.

회원국

각국은 소위원회 위원이 되기 위해 ISO에 수수료를 지불한다.[10]

The 51 "P" (participating) members of ISO/IEC JTC 1/SC 27 are: Algeria, Argentina, Australia, Austria, Belgium, Brazil, Canada, Chile, China, Cyprus, Czech Republic, Côte d'Ivoire, Denmark, Finland, France, Germany, India, Ireland, Israel, Italy, Jamaica, Japan, Kazakhstan, Kenya, Republic of Korea, Luxembourg, Malaysia, Mauritius, Mexico, Netherlands, 뉴질랜드, 노르웨이, 페루, 폴란드, 루마니아, 러시아 연방, 르완다, 싱가포르, 슬로바키아, 남아프리카 공화국, 스페인, 스리랑카, 스웨덴, 스위스, 태국, 마케도니아 공화국, 우크라이나, 아랍에미리트, 영국, 미국, 우루과이.

The 20 "O" (observing) members of ISO/IEC JTC 1/SC 27 are: Belarus, Bosnia and Herzegovina, Costa Rica, El Salvador, Estonia, Ghana, Hong Kong, Hungary, Iceland, Indonesia, Islamic Republic of Iran, Lithuania, Morocco, State of Palestine, Portugal, Saudi Arabia, Serbia, Slovenia, Swaziland, and Turkey.[11]

2014년 8월 현재 1990년 봄 이후 회의 장소의 확산은 다음과 같다.

Meeting Locations

공표된 표준

ISO/IEC JTC 1/SC 27은 현재 IT 보안 기술 분야에서 다음과 같은 147개의 공개 표준을 보유하고 있다.[4][12][13][14]

ISO/IEC 표준 제목 상태 설명 WG
ISO/IEC 27000 무료의 정보 기술 – 보안 기술 – 정보 보안 관리 시스템 – 개요 및 어휘 발행(2018년) ISMS의[15] 개요와 어휘를 기술한다. 1
ISO/IEC 27001, 정보 기술 – 보안 기술 – 정보 보안 관리 시스템 – 요구 사항 발행(2013년) 조직 내에서 문서화된 ISMS의 확립, 구현, 모니터링 및 유지에 관한 요구사항을 명시한다.[16]"변환 매핑" ISO/IEC 27023은 표준 버전 1과 2 사이의 일치성을 보여주는 표 세트를 제공한다. 1
ISO/IEC 27002 정보 기술 – 보안 기술 – 정보 보안 제어를 위한 실무 지침 발행(2013년) ISMS[17] "전개 매핑" ISO/IEC 27023은 표준판 1과 2의 일치성을 보여주는 표 집합을 선택, 구현 또는 유지하는 자에 의한 정보보안 관리실천에 대한 가이드라인을 제공한다. 1
ISO/IEC 27006 정보 기술 - 보안 기술 - 정보 보안 관리 시스템의 감사 및 인증을 제공하는 기관의 요구사항 출판(2015년) ISMS 인증/등록의[18] 운용에 있어 유능하고 신뢰할 수 있는 것으로 인정받으려면 ISMS를 운용하는 제3자 기관(ISMS/IEC 27001:2005에 따름) 인증/등록에 대한 일반 요건을 명시한다. 1
ITU-T X.1051 / ISO/IEC 27011 정보 기술 - 보안 기술 - ISO/IEC 27002 기반 통신 조직을 위한 정보 보안 관리 지침 출판(2008) 본 권고안/국제표준 : a) ISO/IEC 27002에 근거한 전기통신 조직의 정보보안 관리를 개시, 구현, 유지, 개선하기 위한 가이드라인과 일반원칙을 제정하고, b) 전기통신 조직 내에서 정보보안 관리의 구현 기준선을 제공한다.통신 시설 및 서비스의[19] 기밀성, 무결성 및 가용성을 보장하는 방법 1
ISO/IEC 18033-1 정보 기술 – 보안 기술 – 암호화 알고리즘 – Part 1: 일반 출판(2015년) 데이터 기밀[20] 유지를 위한 암호화 시스템 지정 2
ISO/IEC 19772 정보 기술 – 보안 기술 – 인증된 암호화 출판(2009) 다음 보안 목표를 사용하여 인증된 암호화 방법 6개를 지정하십시오.[21] 2
ISO/IEC 15408-1 무료 정보 기술 – 보안 기술 – IT 보안 평가 기준 – Part 1: 소개 및 일반 모델 출판(2009년, 2014년 수정 및 재인쇄) IT보안평가의 일반개념과 원칙을 확립하고, ISO/IEC 15408의 다른 여러 부분에서 제시하는 평가의 일반모델을 명시한다.[22] 3
ISO/IEC 19792 정보 기술 – 보안 기술 – 생체 인식의 보안 평가 출판(2009) 생체 인식 시스템의[23] 보안 평가 중에 다룰 대상을 지정함 3
ISO/IEC 27031 정보 기술 – 보안 기술 – 비즈니스 연속성을 위한 정보통신 기술 준비 지침 발행(2011년) 사업연속성을 위한 ICT 준비성의 개념과 원칙, 이를 개선하기 위한 측면을 파악하는 데 필요한 방법과 프레임워크를 기술한다.[24] 4
ISO/IEC 27034-1 정보 기술 – 보안 기술 – 애플리케이션 보안 – Part 1: 개요 및 개념 발행(2011년) 정의, 개념, 원칙 및 프로세스의[25] 도입을 통해 애플리케이션의[5] 보안을 보장하기 위한 관리 요구를 해결하고 애플리케이션 보안에 대한 개요를 제시 4
ISO/IEC 27035 정보 기술 - 보안 기술 - 정보 보안 사고 관리 발행(2011년) 다음을 위한 체계적이고 계획적인 접근 방식 제공:[26]
  • 정보 보안 사고 감지, 보고 및 평가
  • 정보보안 인시던트 대응 및 관리
  • 정보 보안 취약점 탐지, 평가 및 관리
 4
ISO/IEC 27037 정보 기술 – 보안 기술 – 디지털 증거의 식별, 수집, 획득 및 보존에 대한 지침 발행(2012년) 증거 가치가[27] 있는 디지털 증거 처리에 대한 지침 제공 4
ISO/IEC 24760-1 무료 정보 기술 – 보안 기술 – ID 관리를 위한 프레임워크 – Part 1: 용어 및 개념 발행(2011년) 다음을 통해 ID를 안전하고 안정적으로 관리할 수 있는 프레임워크 제공:[28]
  • ID 관리를 위한 용어 정의
  • ID 및 ID 관리의[29] 핵심 개념 지정
 5
ISO/IEC 24761 정보 기술 – 보안 기술 – 생체 인식 인증 컨텍스트 출판(2009) 생체 검증 프로세스 결과의[30] 유효성을 확인하는 ACBio(Authentication Context for Biometrics)의 구조 및 데이터 요소를 지정함 5
ISO/IEC 29100 무료 정보 기술 – 보안 기술 – 개인 정보 보호 프레임워크 발행(2011년) 다음과 같은 개인 정보 보호 프레임워크 제공:[31]
  • 일반적인 개인 정보 보호 용어를 지정함
  • 프라이버시 보호 고려사항 설명
  • IT에 대해 알려진 개인 정보 보호 원칙에 대한 참조 제공
 5
ISO/IEC 29101 정보 기술 – 보안 기술 – 개인 정보 아키텍처 프레임워크 발행(2013년) 다음과 같은 개인 정보 보호 아키텍처 프레임워크 정의:[32]
  • PII를 처리하는 ICT 시스템에 대한 우려를 명시한다.
  • 이러한 시스템 구현을 위한 구성 요소 나열
  • 이러한 구성요소를 컨텍스트화하는 아키텍처 뷰 제공

PII를 처리하는 ICT 시스템의 지정, 조달, 설계, 시험, 유지보수, 관리 및 운용에 관련된 기업에게 적용된다.주로 PII 주체와의 상호작용을 위해 설계된 ICT 시스템에 초점을 맞춘다.

5
ISO/IEC 24760-2 정보 기술 - 보안 기술 - ID 관리를 위한 프레임워크 - Part 2: 참조 아키텍처 및 요구사항 출판(2015년) 신원정보 관리를 위한 시스템 구축 가이드라인을 제시하고, 신원관리 프레임워크의 구축 및 운용 요건을 명시한다.[33]

참고 항목

참조

  1. ^ DIN (2015-08-12). "ISO/IEC JTC 1/SC 27 – IT Security techniques Home". Retrieved 2013-09-26.
  2. ^ ISO. "ISO/IEC JTC 1/SC 27 – Secretariat". Retrieved 2013-08-22.
  3. ^ ISO (2012), "ISO/IEC JTC 1/SC 27 Security techniques", ISO/IEC JTC1 Standing Document N 2
  4. ^ a b Humphreys, Edward, ed. (2010). SC 27 Platinum Book (PDF). Suffolk, UK: Gripping Press Ltd. Retrieved 2013-08-22.
  5. ^ a b Meng-Chow, Kang (2008). "Getting Ready to the Changing Risk Situation" (PDF). Synthesis Journal. Retrieved 2013-08-22.
  6. ^ a b c Fumy, Walter (2012-10-10). SC 27 Business Plan October 2014 – September 2015 (PDF) (Business Plan). Retrieved 2013-08-22.
  7. ^ ISO. "ISO/IEC JTC 1/SC 27 IT Security techniques". p. Structure. Retrieved 2013-08-22.
  8. ^ "ISO/IEC JTC 1/SC 27 Liaisons". ISO. Retrieved 2015-07-14.
  9. ^ DIN (2015-08-12). "ISO/IEC JTC 1/SC 27 Membership". Retrieved 2013-08-22.
  10. ^ ISO (June 2012). "III. What Help Can I Get from the ISO Central Secretariat?". ISO Membership Manual (PDF). ISO. pp. 17–18. Retrieved 2013-07-12.
  11. ^ ISO. "ISO/IEC JTC 1/SC 27 - IT Security techniques". Retrieved 2013-08-23.
  12. ^ ISO. "Standards Catalogue: ISO/IEC JTC 1/SC 27 – IT Security techniques". Retrieved 2015-08-20.
  13. ^ "Freely Available Standards". ISO. Retrieved 2015-08-20.
  14. ^ "ISO/IEC JTC 1/SC 27". ISO. Retrieved 2015-07-14.
  15. ^ ISO (2014-01-15). "ISO/IEC 27000:2014". Retrieved 2015-08-20.
  16. ^ ISO (2013-09-25). "ISO/IEC 27001:2013". Retrieved 2013-09-26.
  17. ^ ISO (2013-09-25). "ISO/IEC 27002:2013". Retrieved 2013-09-26.
  18. ^ "ISO/IEC 27006:2011". ISO. Retrieved 2015-09-02.
  19. ^ "ISO/IEC 27011:2008". ISO. Retrieved 2015-09-02.
  20. ^ ISO/IEC (2015-07-24). "ISO/IEC 18033-1:2015". Retrieved 2015-08-20.
  21. ^ ISO/IEC (2009-02-12). "ISO/IEC 19772:2009". Retrieved 2013-08-23.
  22. ^ ISO (2015-03-18). "ISO/IEC 15408-1:2009". Retrieved 2015-08-20.
  23. ^ ISO/IEC (2009-07-30). "ISO/IEC 19792:2009". Retrieved 2013-08-23.
  24. ^ ISO/IEC (2011-03-01). "ISO/IEC 27031:2011". Retrieved 2013-08-22.
  25. ^ ISO/IEC (2011-11-21). "ISO/IEC 27034-1:2011". Retrieved 2013-08-22.
  26. ^ ISO/IEC (2011-08-17). "ISO/IEC 27035:2011". Retrieved 2013-08-22.
  27. ^ ISO (2012-10-15). "ISO/IEC 27037:2012". Retrieved 2013-09-26.
  28. ^ Brackney, Dick (2006-12-05). Report on ISO/IEC/JTC1/SC27 Activities in Digital Identities (PDF) (Presentation). Retrieved 2013-08-22.
  29. ^ ISO/IEC (2011-12-07). "ISO/IEC 24760-1:2011". Retrieved 2013-08-22.
  30. ^ ISO/IEC (2009-05-11). "ISO/IEC 24761:2009". Retrieved 2013-08-23.
  31. ^ ISO (2011-12-05). "ISO/IEC 29100:2011". Retrieved 2013-09-26.
  32. ^ ISO (2013-10-16). "ISO/IEC 29101:2013" (1 ed.). Retrieved 2013-12-12.
  33. ^ "ISO/IEC 24760-2". ISO. Retrieved 2015-08-20.

외부 링크