토픽 127 / 128·비교표
## Part 8: 보안 프레임워크 및 표준
NIST CSF vs NIST 800-53 vs CIS Controls
| 항목 | NIST CSF | NIST 800-53 | CIS Controls |
|---|
| 성격 | 프레임워크 | 통제 카탈로그 | 기술 통제 우선순위 |
| 수준 | 상위/전략적 | 상세/운영적 | 기술/실무 |
| 구성 | 6가지 기능 | 20개 통제 패밀리 | 18개 통제 그룹 |
| 적용 | 보안 체계 수립 | 연방 정보시스템 | 우선순위 보안 구현 |
ISO 27005 vs NIST SP 800-30 vs OCTAVE
| 항목 | ISO 27005 | NIST SP 800-30 | OCTAVE |
|---|
| 초점 | 위험관리(ISO 정렬) | 위험평가(미국) | 자산 중심(CMU) |
| 적용 | ISO 27001 연계 | NIST RMF 연계 | 조직 자산 중심 |
경계 보안 vs 제로 트러스트
| 항목 | 경계 보안(기존) | 제로 트러스트 |
|---|
| 원칙 | 내부 신뢰/VPN | 절대 비신뢰/항상 검증 |
| 접근 | 네트워크 위치 기반 | 요청별 인증/인가 |
| 구조 | 성곽 모델 | 마이크로세그멘테이션 |
| 기술 | 방화벽/VPN | SDP, ZTNA, SASE |
ISO 27001 vs ISO 27002 vs NIST 800-53
| 항목 | ISO 27001 | ISO 27002 | NIST 800-53 |
|---|
| 성격 | 인증 표준/요구사항 | 구현 가이드/간결 | 미국/통제 카탈로그/상세 |
| 통제 | 93개(Annex A) | 93개(상세 지침) | 20개 패밀리(수백 통제) |
| 적용 | 글로벌 인증 | 구현 참조 | 미국 연방 시스템 |