1) ISMS “핵심 뼈대” 표준 (시험에 자주 나오는 라인업)
| 표준 | 한 줄 요약 | 언제 쓰나(감 잡기) | 키워드/암기포인트 | 출처 |
|---|---|---|---|---|
| 27000 | 용어사전+전체 개요 | “ISMS가 뭐고, 용어를 통일”할 때 | overview, vocabulary(정의) | (위키백과) |
| 27001 | ISMS 요구사항(인증 기준) | “인증 받는 그 표준” | Requirements, ISMS, Annex A(통제) | (ISO) |
| 27002 | 통제(controls) 모음집+가이드 | 27001의 통제를 “구체적으로 어떻게?” | Controls, best practice, 구현 가이드 | (ISO) |
| 27003 | ISMS 구축/구현 안내서 | “27001로 ISMS를 실제로 만들 때” | implementation guidance | (ISO) |
| 27004 | 보안 성과/효과 측정(지표) | “ISMS가 잘 돌아가나?” 수치로 관리 | monitoring, measurement, metrics | (ISO) |
| 27005 | 정보보호 ‘위험관리’ 가이드 | 위험 식별→평가→처리(대응) 흐름 | risk management cycle | (ISO) |
| 27006-1 | ISMS 인증/심사기관 요구사항 | “심사해주는 기관(인증기관) 기준” | certification body, competence, impartiality | (ISO) |
| 27007 | ISMS 감사(심사) 수행 가이드 | 내부감사/외부심사 “어떻게 감사?” | audit programme, auditor competence | (ISO) |
| 27008(TS) | 통제(controls) 평가/점검 가이드 | 통제 준수·기술점검(컴플라이언스 체크) | control assessment, technical checks | (ISO) |
🧠 암기 흐름(한 줄)
27000(용어) → 27001(인증 요구사항) ↔ 27002(통제 가이드) + 27005(위험관리) + 27004(지표) + 27007/27008(감사·점검)
2) “상황별 확장” 표준 (클라우드/개인정보/사고대응/개발/공급망/포렌식 등)
| 표준 | 한 줄 요약 | 어디에 특화? | 키워드 | 출처 |
|---|---|---|---|---|
| 27017 | 클라우드 보안 통제 가이드 | CSP/고객의 클라우드 운영 | cloud controls, 추가 통제/가이드 | (ISO) |
| 27701 | 개인정보(PIMS) 요구사항/가이드 | 개인정보보호(ISMS에 프라이버시 확장) | PIMS, PII controller/processor | (ISO) |
| 27035-1 | 보안사고(침해사고) 대응 프로세스 | 사고 준비→탐지→보고→평가→대응→교훈 | incident management | (ISO) |
| 27034-1 | 애플리케이션 보안 개요/개념 | SDLC에 보안 내재화 | application security, process | (ISO) |
| 27036-1 | 공급망/협력사 보안(서플라이어) | 외주/구매/벤더 관리 | supplier relationships | (ISO) |
| 27037 | 디지털 증거 수집/보존 | 포렌식/증거 절차 표준화 | identification/collection/preservation | (ISO) |
| 27032(2023) | 인터넷/사이버보안 가이드(관계 정리 포함) | 인터넷 보안 이슈 전반 | internet/web/network/cyber 관계 | (ISO) |
“시험 포인트” 요약
-
인증 기준은 27001(요구사항). (ISO)
-
통제의 ‘내용/구현 팁’은 27002(통제 모음집). (ISO)
-
위험관리는 27005, 성과측정(지표)은 27004. (ISO)
-
감사(심사) 수행은 27007, 통제 점검은 27008, 심사기관(인증기관) 기준은 27006-1. (ISO)
-
클라우드/개인정보/사고대응/개발/공급망/포렌식은 각각 27017/27701/27035/27034/27036/27037로 “전문화 확장” 느낌. (ISO)
