토픽 223 / 234·비교표
정보보안 관리체계
정보보안 vs 사이버보안 vs 개인정보보호
| 항목 | 정보보안 | 사이버보안 | 개인정보보호 |
|---|
| 정의 | 정보자산의 기밀성·무결성·가용성 보호 | 사이버 공간의 위협으로부터 보호 | 개인을 식별할 수 있는 정보 보호 |
| 범위 | 물리적·기술적·관리적 보안 전체 | 네트워크·시스템 중심 | 개인정보 생명주기 전반 |
| 대상 | 모든 정보자산 | 디지털 자산·인프라 | 개인정보(식별 가능 정보) |
| 근거 | ISMS, ISO 27001 | NIST CSF, MITRE ATT&CK | 개인정보보호법, GDPR |
| 적용 | 기업 보안 관리체계 | SOC, 침해대응 | 동의 관리, 비식별화 |
정성적 위험분석 vs 정량적 위험분석
| 항목 | 정성적 위험분석 | 정량적 위험분석 |
|---|
| 정의 | 주관적 판단으로 위험 수준 평가 | 수치·금액 기반 위험 평가 |
| 방법 | 델파이, 시나리오, 매트릭스 | ALE=SLE×ARO, 확률 분석 |
| 장점 | 빠른 수행, 비용 낮음, 직관적 | 객관적, 비용 대비 분석 가능 |
| 단점 | 주관적, 일관성 부족 | 데이터 수집 어려움, 시간·비용 높음 |
| 적용 | 소규모 조직, 초기 평가 | 대규모 조직, 투자 의사결정 |
ISMS-P vs ISO 27001 vs ISO 27701
| 항목 | ISMS-P | ISO 27001 | ISO 27701 |
|---|
| 정의 | 국내 정보보호+개인정보 인증 | 국제 ISMS 인증 표준 | 개인정보 관리체계 국제 표준 |
| 기준 | 102개 인증기준 | 93개 통제(Annex A) | ISO 27001 확장+개인정보 통제 |
| 범위 | 정보보호+개인정보보호 | 정보보안 관리체계 | 개인정보 관리(PIMS) |
| 인증 | 국내 법정 인증 | 국제 인증(CCRA) | 국제 인증 |
| 적용 | 국내 기업(의무/자율) | 글로벌 기업 | GDPR 준수 기업 |
ISMS vs ISMS-P
| 항목 | ISMS | ISMS-P |
|---|
| 정의 | 정보보호관리체계 인증(80개 기준) | 정보보호+개인정보보호 인증(102개 기준) |
| 범위 | 정보보호(관리체계 16+보호대책 64) | ISMS+개인정보(+22개 기준) |
| 근거 | 정보통신망법 제47조 | 정보통신망법+개인정보보호법 |
| 대상 | 정보통신서비스 제공자 | 개인정보 대량 처리 사업자 |
| 적용 | ISP, IDC, 매출100억 이상 | 개인정보 처리 포함 서비스 |
ISO 27001 vs ISO 27002 vs SOC 2
| 항목 | ISO 27001 | ISO 27002 | SOC 2 |
|---|
| 정의 | ISMS 인증 표준 | 보안 통제 구현 가이드 | 제3자 감사 보고서 |
| 성격 | 인증(Certificate) | 가이드라인(비인증) | 감사 보고서(Attestation) |
| 기준 | 93개 통제(Annex A) | 통제 구현 상세 지침 | 5가지 신뢰 원칙(TSC) |
| 적용 | 글로벌 ISMS 인증 | 통제 구현 참조 | SaaS/클라우드 신뢰 확보 |
NIST CSF vs ISO 27001 vs CIS Controls vs COBIT
| 항목 | NIST CSF | ISO 27001 | CIS Controls | COBIT |
|---|
| 정의 | 사이버보안 프레임워크 | ISMS 인증 표준 | 기술 통제 우선순위 | IT 거버넌스 프레임워크 |
| 성격 | 자발적 프레임워크 | 인증 표준(글로벌) | 기술 통제(18개) | 비즈니스-IT 연계 |
| 구조 | 5기능/23카테고리 | 93개 통제(Annex A) | 18개 통제/우선순위 | 비즈니스 프로세스 연계 |
| 적용 | 사이버보안 체계 수립 | 글로벌 인증 | 기술 보안 구현 | IT 거버넌스 |