ISO/IEC 27017:2015 정보 보안 통제를 위한 규약ISO/IEC 27017:2015 Code of Practice for Information Security Controls

ISO-IEC 27017 개요ISO-IEC 27017 Overview

ISO/IEC 27017:2015 규약은 조직에서 ISO/IEC 27002:2013에 기초한 클라우드 컴퓨팅 정보 보안 관리 시스템을 구축할 때 클라우드 서비스 정보 보안 통제를 선택하기 위해 참조로 사용하도록 고안된 것입니다.The ISO/IEC 27017:2015 code of practice is designed for organizations to use as a reference for selecting cloud services information security controls when implementing a cloud computing information security management system based on ISO/IEC 27002:2013. 또한 클라우드 서비스 공급자의 경우, 일반적으로 승인되는 보호 통제 장치를 구축하기 위한 지침 문서로 사용할 수도 있습니다.It can also be used by cloud service providers as a guidance document for implementing commonly accepted protection controls.

이 국제 표준은 ISO/IEC 27002에 기초한 클라우드 구현 지침을 추가로 제공하고, 규제, 구현 지침 및 기타 정보에 대한 ISO/IEC 27002: 2013 의 5항부터 18항과 관련하여 클라우드 정보 보안 위협과 위험을 해결하기 위한 추가 규제를 제공합니다.This international standard provides additional cloud-specific implementation guidance based on ISO/IEC 27002, and provides additional controls to address cloud-specific information security threats and risks referring to clauses 5–18 in ISO/IEC 27002: 2013 for controls, implementation guidance, and other information. 특히 이 표준은 ISO/IEC 27002의 37개 규제에 대한 지침을 제공하며, ISO/IEC 27002에 중복되지 않은 7가지의 새로운 규제를 특별히 포함합니다.Specifically, this standard provides guidance on 37 controls in ISO/IEC 27002, and it also features seven new controls that are not duplicated in ISO/IEC 27002. 이러한 새 규제는 다음과 같은 중요 영역에 대한 것입니다.These new controls address the following important areas:

  • 클라우드 컴퓨팅 환경에서의 공유 역할과 책임Shared roles and responsibilities within a cloud computing environment
  • 계약 종료 시 클라우드 서비스 고객 자산의 제거와 반환Removal and return of cloud service customer assets upon contract termination
  • 한 고객의 가상 환경과 다른 고객의 가상 환경의 분리 및 보호Protection and separation of a customer’s virtual environment from environments of other customers
  • 비즈니스 요구를 충족하기 위한 가상 컴퓨터 강화 요구 사항Virtual machine hardening requirements to meet business needs
  • 클라우드 컴퓨팅 환경의 관리 작업 절차Procedures for administrative operations of a cloud computing environment
  • 고객이 클라우드 컴퓨팅 환경 내의 관련 활동을 모니터링할 수 있도록 지원Enabling customers to monitor relevant activities within a cloud computing environment
  • 가상 네트워크와 물리적 네트워크의 보안 관리 일관성 유지Alignment of security management for virtual and physical networks

Microsoft와 ISO/IEC 27017Microsoft and ISO/IEC 27017

ISO/IEC 27017은 클라우드 서비스 공급자 및 클라우드 서비스 고객을 위한 지침을 제공하는 고유한 표준입니다.ISO/IEC 27017 is unique in providing guidance for both cloud service providers and cloud service customers. 또한 클라우드 서비스 고객이 클라우드 서비스 공급자에게 어떤 것을 바랄 수 있는지에 대한 실용적인 정보를 제공합니다.It also provides cloud service customers with practical information on what they should expect from cloud service providers. 고객은 클라우드를 이용한 공유의 책임을 이해함으로써 ISO/IEC 27017로부터 직접적인 혜택을 얻을 수 있습니다.Customers can benefit directly from ISO/IEC 27017 by ensuring they understand the shared responsibilities in the cloud.

Microsoft 범위 내 클라우드 서비스Microsoft in-scope cloud services

  • Azure, Azure Government, Azure GermanyAzure, Azure Government, and Azure Germany
  • Microsoft Cloud App SecurityMicrosoft Cloud App Security
  • Dynamics 365, Dynamics 365 및 Dynamics 365 GermanyDynamics 365, Dynamics 365, and Dynamics 365 Germany
  • Microsoft Defender Advanced Threat ProtectionMicrosoft Defender Advanced Threat Protection
  • Microsoft GraphMicrosoft Graph
  • Microsoft Healthcare BotMicrosoft Healthcare Bot
  • IntuneIntune
  • Microsoft Managed DesktopMicrosoft Managed Desktop
  • 독립 실행형 서비스 혹은 Office 365 혹은 Dynamics 365에 브랜딩된 플랜 또는 제품군에 포함된 형태로서의 Power Automate(이전 Microsoft Flow) 클라우드 서비스Power Automate (formerly Microsoft Flow) cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • Office 365, Office 365 U.S. Government, Office 365 U.S. Government Defense, 및 Office 365 GermanyOffice 365, Office 365 U.S. Government, Office 365 U.S. Government Defense, and Office 365 Germany
  • 독립 실행형 서비스 혹은 Office 365 혹은 Dynamics 365에 브랜딩된 플랜 또는 제품군에 포함된 형태로서의 PowerApps 클라우드 서비스PowerApps cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • 독립 실행형 서비스 혹은 Office 365에 브랜딩된 플랜 또는 제품군에 포함된 형태로서의 Power BI 클라우드 서비스Power BI cloud service either as a standalone service or as included in an Office 365 branded plan or suite
  • Power BI EmbeddedPower BI Embedded
  • Microsoft StreamMicrosoft Stream
  • Office 365에서 적용되는 서비스에 대한 자세한 목록보기See a detailed list of covered services in Office 365

감사, 보고서 및 인증서Audits, reports, and certificates

Microsoft 클라우드 서비스는 ISO/IEC 27001:2013에 대한 인증 프로세스의 일부로서 ISO/IEC 27017:2015 규약에 대해 1년에 한 번씩 감사를 받습니다.Microsoft cloud services are audited once a year for the ISO/IEC 27017:2015 code of practice as part of the certification process for ISO/IEC 27001:2013.

질문과 대답Frequently asked questions

이 표준은 누구에게 적용됩니까?To whom does the standard apply?

이 규약은 클라우드 서비스 공급자 및 클라우드 서비스 고객 모두에게 규제 및 구현 지침을 제공합니다.This code of practice provides controls and implementation guidance for both cloud service providers and cloud service customers. ISO/IEC 27002:2013과 유사한 형식으로 작성되어 있습니다.It is structured in a format similar to ISO/IEC 27002:2013.

ISO/IEC 27017:2015에 대한 Microsoft의 규정 준수 정보는 어디에서 확인할 수 있습니까?Where can I view Microsoft’s compliance information for ISO/IEC 27017:2015?

Azure, Intune, Power BI에 대한 ISO/IEC 27017:2015 인증서를 다운로드할 수 있습니다.You can download the ISO/IEC 27017:2015 certificate for Azure, Intune, and Power BI.

우리 회사의 인증 프로세스에 Microsoft의 ISO/IEC 27017 규정 준수를 사용할 수 있나요?Can I use the ISO/IEC 27017 compliance of Microsoft services in my organization’s certification process?

예.Yes. Microsoft 범위 내 엔터프라이즈 클라우드 서비스에 배포되는 구현에 대해 인증을 받아야 하는 고객은 규정 준수 평가 시 Microsoft의 관련 인증을 사용할 수 있습니다.If your business is seeking certification for implementations deployed on any Microsoft in-scope enterprise cloud services, you can use Microsoft’s relevant certifications in your compliance assessment. 하지만 구현에 대한 규정 준수를 평가하기 위한 평가자와의 계약과 고유 조직 내 통제 수단 및 프로세스에 대해서는 파트너가 책임을 져야 합니다.However, you are responsible for engaging an assessor to evaluate your implementation for compliance, and for the controls and processes within your own organization.

적용되는 감사 보고서 사본을 구하려면 어떻게 해야 합니까?How can I get copies of the applicable audit reports?

Service Trust Portal에서는 제3의 독립 기관 감사 보고서와 기타 관련 문서를 제공합니다.The Service Trust Portal provides independent, third-party audit reports and other related documentation. 이 포털을 이용하여 자체 규제 요건에 도움이 되는 문서를 다운로드하고 검토할 수 있습니다.You can use the portal to download and review this documentation for assistance with your own regulatory requirements.

리소스Resources