[ISO 27001:2013] ISO 보안통제 구분 (ANNEX A)

ISO 27001은 14개의 영역과, 114개의 항목으로 평가합니다.

 

A.5 정보보호 정책
A.5.1 정보보호를 위한 경영
목적: 업무 요구사항과 관련 법률 및 규제에 따라 정보보호를 수행하도록 경영 방침과 지원을 제공
A.5.1.1	정보보호를 위한 정책	정보보호를 위한 정책의 집합을 정의하고 경영진의 승인을 거쳐 직원 및 관련 외부자에게 공표하며 소통하여야 한다.
A.5.1.2	정보보호 정책의 검토	정보보호 정책은 계획된 주기에 따라 또는 중대한 변경이 발생한 경우에 지속적인 적합성, 적절성, 효과성을 보장하기 위하여 검토하여야 한다.

A.6 정보보호
A.6.1 내부 조직
목적: 조직 내에서 정보보호의 구현과 운영을 개시하고 통제하도록 관리 프레임워크를 수립
A.6.1.1	정보보호 역할 및 책임	모든 정보보호 책임을 정의하고 할당하여야 한다.
A.6.1.2	직무 분리	조직의 자산에 인가되지 않거나 의도하지 않은 수정 또는 오용이 발생할 가능성을 줄이기 위하여 상충하는 직무와 책임 영역을 분리하여야 한다.
A.6.1.3	관련 기관과의 연계	관련 기관에 대한 적절한 연계를 유지하여야 한다.
A.6.1.4	전문가 그룹과의 연계	특별 관심 그룹 또는 전문가 보안 포럼 및 직능 단체와 적절한 연계를 유지하여야 한다.
A.6.1.5	프로젝트 관리에서의 정보보호	프로젝트의 유형에 상관없이 프로젝트 관리 내에서 정보보호를 다루어야 한다.
A.6.2 모바일 기기 및 원격근무
목적: 원격근무와 모바일 기기의 사용에 따른 보안을 보장
A.6.2.1	모바일 기기 정책	모바일 기기의 사용으로 인해 유발되는 위험을 관리하기 위하여 정책 및 이를  지원하는 보안 대책을 채택하여야 한다.
A.6.2.2	원격근무	원격 근무지에서 접근, 처리, 저장하는 정보를 보호하기 위하여 정책을 수립하고 이를 지원하는 보안 대책을 구현하여야 한다.

A.7 인적자원 보안
A.7.1 고용
목적: 직원 및 계약직이 책임을 이해하고 주어진 역할에 적합한 자임을 보장
A.7.1.1	적격심사	고용할 모든 후보자에 대한 배경 검증은 관련 법률, 규정, 윤리를 준수해야 하며, 업무 요구사항과 접근할 정보의 등급 및 예상되는 위험에 따라 적절하게 수행하여야 한다.
A.7.1.2	고용 계약조건	직원 및 계약직의 계약서에는 정보보호에 대한 개인과 조직의 책임을 명시하여야 한다.
A.7.2 고용
목적: 직원과 계약직이 자신의 정보보호 책임을 인식하고 충실하게 이행하도록 보장
A.7.2.1	경영진 책임	경영진은 모든 직원 및 계약직이 조직이 수립한 정책과 절차에 따라 정보보호를 수행하도록 요구하여야 한다.
A.7.2.2	정보보호인식, 교육, 훈련	조직의 모든 직원과 관련 계약직은 자신의 직무 기능에 연관된 조직의 정책과 절차에 대해 적절한 인식 교육 및 훈련과 정기적인 갱신 교육을 받아야 한다.
A.7.2.3	징계 처분	정보보호를 위반한 직원에 대한 조치를 취하도록 공식적인 징계 프로세스를  수립하여 배포하여야 한다.
A.7.3 고용 종료 및 직무 변경
목적: 직무 변경 또는 고용 종료 프로세스를 통해 조직의 이익을 보호
A.7.3.1	고용 책임의 종료 또는 변경	고용이 종료되거나 직무가 변경된 이후에도 효력이 유지되어야 하는 정보보호의 책임과 의무를 정의하고 직원 또는 계약직에게 통지하여 시행하도록 하여야 한다.

A.8 자산 관리
A.8.1 자산에 대한 책임
목적: 조직의 자산을 식별하고 적절한 보호 책임을 정의
A.8.1.1	자산 목록	정보 및 정보처리 시설과 연관된 자산을 식별하고 자산에 대한 목록을 작성하여  유지하여야 한다.
A.8.1.2	자산 소유권	목록으로 유지되는 자산은 소유자가 존재하여야 한다.
A.8.1.3	자산 이용	정보 및 정보처리 시설에 연관된 자산의 적절한 사용을 위한 규칙을 식별하고 문서화 및 구현하여야 한다.
A.8.1.4	자산 반환	모든 직원과 외부 사용자는 고용이나 계약 또는 협약의 종료에 따라 자신이 소유한 조직의 자산을 모두 반환하여야 한다.
A.8.2 정보 등급화
목적: 조직에서의 중요성에 따라 정보에 적절한 보호 수준을 부여하도록 보장
A.8.2.1	정보 등급화	정보는 비인가 유출 또는 수정에 대한 법적 요구사항, 가치, 중요도, 민감도의 측면에서 등급화해야 한다.
A.8.2.2	정보 표식	조직에서 채택한 정보 등급화 체계에 따라 정보 표식을 위한 적절한 절차를 개발하고 구현하여야 한다.
A.8.2.3	자산 취급	조직에서 채택한 정보 등급화 체계에 따라 자산 취급 절차를 개발하고 구현하여야 한다.
A.8.3 매체 취급
매체에 저장된 정보의 비인가 유출, 수정, 삭제, 파손을 방지
A.8.3.1	이동식 매체 관리	조직에서 채택한 정보 등급화 체계에 따라 이동식 매체의 관리를 위한 절차를  구현하여야 한다.
A.8.3.2	매체 폐기	더 이상 필요하지 않은 매체는 공식적인 절차를 통해 안전하게 폐기하여야 한다.
A.8.3.3	물리적 매체 이송	정보를 포함한 매체는 운반 도중에 비인가 접근, 오용, 훼손으로부터 보호되어야 한다.

A.9 접근통제
A.9.1 접근통제 업무 요구사항
목적: 정보 및 정보처리 시설에 대한 접근을 제한
A.9.1.1	접근통제 정책	업무 및 정보보호 요구사항을 기반으로 접근통제 정책을 수립하고 문서화 및 검토하여야 한다.
A.9.1.2	네트워크 및 네트워크 서비스 접근통제	사용자는 특별히 인가된 네트워크 및 네트워크 서비스에만 접근이 허용되어야 한다.
A.9.2 사용자 접근관리
목적: 시스템과 서비스에 인가된 사용자 접근을 보장하고 비인가된 접근을 금지
A.9.2.1	사용자 등록 및 해지	접근 권한의 할당이 가능하도록 공식적인 사용자 등록과 해지 프로세스를 구현하여야 한다.
A.9.2.2	사용자 접근 권한설정	모든 사용자 유형에 대한 접근 권한을 모든 시스템과 서비스에 할당하거나 폐지하기 위하여 공식적인 사용자 접근 권한설정 프로세스를 구현하여야 한다.
A.9.2.3	특수 접근권한 관리	특수 접근권한에 대한 할당과 사용을 제한하고 통제하여야 한다.
A.9.2.4	사용자 비밀 인증정보 관리	비밀 인증정보의 할당은 공식적인 관리 프로세스를 거쳐 통제하여야 한다.
A.9.2.5	사용자 접근권한 검토	자산 소유자는 정기적으로 사용자 접근권한을 검토하여야 한다.
A.9.2.6	접근권한 제거 또는 조정	정보 및 정보처리 시설에 대한 모든 직원과 외부 사용자의 접근권한은 고용, 계약, 협약의 종료에 따라 제거하거나 변경된 상황에 따라 조정하여야 한다.
A.9.3 사용자 책임
목적: 사용자가 자신의 인증정보를 보호할 책임을 부과
A.9.3.1	기밀 인증정보 사용	사용자에게 비밀 인증정보의 사용 시 조직의 실무를 따르도록 요구하여야 한다.
A.9.4 시스템 및 어플리케이션
목적: 시스템과 어플리케이션에 대한 비인가 접근을 방지
A.9.4.1	정보 접근제한	접근통제 정책에 따라 정보와 응용 시스템 기능에 대한 접근을 제한하여야 한다.
A.9.4.2	안전한 로그인 절차	접근통제 정책에서 요구하는 경우에 시스템과 어플리케이션에 대한 접근은 안전한 로그인 절차에 따라 통제하여야 한다.
A.9.4.3	패스워드 관리 시스템	패스워드 관리 시스템은 대화식으로 양질의 패스워드를 보장하여야 한다.
A.9.4.4	특수 유틸리티 프로그램 사용	시스템과 어플리케이션의 통제를 초월할 수 있는 유틸리티 프로그램은 제한적으로 사용하고 철저히 통제하여야 한다.
A.9.4.5	프로그램 소스코드 접근통제	프로그램 소스 코드에 대한 접근은 제한하여야 한다.

A.10 암호화
A.10.1 암호 통제
목적: 정보에 대한 기밀성, 인증, 무결성을 보호하도록 암호화의 적절하고 효과적인 사용을 보장
A.10.1.1	암호 통제 사용 정책	정보의 보호를 위한 암호 통제의 사용 정책을 개발하고 구현하여야 한다.
A.10.1.2	키 관리	전체 생명주기에 걸쳐 암호키의 사용, 보호, 수명에 대한 정책을 개발하고 구현하여야 한다.

A.11 물리적 및 환경적 보안
A.11.1 보안 구역
목적: 조직의 정보 및 정보처리 시설에 대한 비인가된 물리적 접근, 파손, 간섭을 방지
A.11.1.1	물리적 보안 경계	기밀 또는 중요 정보와 정보처리 시설을 포함한 구역을 보호하기 위하여 보안 경계를 정의하고 이용하여야 한다.
A.11.1.2	물리적 출입 통제	보안 구역은 인가된 인력만 접근이 허용됨을 보장하기 위하여 적절한 출입 통제로 보호하여야 한다.
A.11.1.3	사무 공간 및 시설 보안	사무 공간 및 시설에 대한 물리적 보안을 설계하고 적용하여야 한다.
A.11.1.4	외부 및 환경 위협에 대비한 보호	자연 재해, 악의적인 공격 또는 사고에 대비한 물리적 보호를 설계하고 적용하여야 한다.
A.11.1.5	보안 구역 내 작업	보안 구역 내에서의 작업을 위한 절차를 설계하고 적용하여야 한다.
A.11.1.6	배송 및 하역 구역	배송 및 하역 구역과 같이 비인가자가 구내로 들어올 수 있는 접근 장소는 통제하여야 하며, 비인가 접근을 피하기 위하여 정보처리 시설에서 가능한 고립시켜야 한다.
A.11.2 장비
목적: 자산의 분실, 손상, 도난, 훼손 및 조직의 운영 중단을 방지
A.11.2.1	장비 배치 및 보호	장비는 환경적 위협과 유해요소, 비인가 접근의 가능성을 감소시킬 수 있도록 배치하고 보호하여야 한다.
A.11.2.2	지원 설비	지원 설비의 장애로 인한 전력 중단이나 기타 저해 요인으로부터 장비를 보호하여야 한다.
A.11.2.3	배선 보안	데이터를 전송하거나 정보 서비스를 지원하는 전력 및 통신 배선을 도청, 간섭, 파손으로부터 보호하여야 한다.
A.11.2.4	장비 유지보수	장비는 지속적인 가용성과 무결성을 보장하도록 정확하게 유지하여야 한다.
A.11.2.5	자산 반출	장비, 정보, 소프트웨어는 사전 승인 없이 외부로 반출되지 않도록 해야 한다.
A.11.2.6	구외 장비 및 자산 보안	조직 외부에서의 작업으로 인한 다양한 위험을 고려하여 구외(off-site) 자산 보안을 적용하여야 한다.
A.11.2.7	장비 안전 폐기 및 재사용	저장 매체를 포함하고 있는 모든 장비는 폐기 또는 재사용하기 전에 기밀 데이터와 라이선스 소프트웨어를 삭제하거나 안전한 덮어쓰기 처리를 보장하기 위하여 검증하여야 한다.
A.11.2.8	방치된 사용자 장비	사용자는 방치된 장비에 대한 적절한 보호를 보장하여야 한다.
A.11.2.9	책상 정리 및 화면보호 정책	서류와 이동식 저장 매체를 대상으로 한 책상 정리 정책 및 정보처리 시설에 대한 화면보호 정책을 적용하여야 한다.

A.12 운영 보안
A.12.1 운영 절차 및 책임
목적: 정보처리 시설의 정확하고 안전한 운영을 보장
A.12.1.1	운영 절차 문서화	운영 절차를 문서화하고 필요한 모든 사용자가 이용할 수 있도록 하여야 한다.
A.12.1.2	변경 관리	정보보호에 영향을 주는 조직, 업무 프로세스, 정보처리 시설, 시스템의 변경을 통제하여야 한다.
A.12.1.3	용량 관리	필요한 시스템 성능을 보장하기 위하여 자원의 사용을 모니터링 및 조절하고 향후 용량 요구사항을 예측하여야 한다.
A.12.1.4	개발, 시험, 운영 환경 분리	운영 환경에 대한 비인가 접근 또는 변경의 위험을 감소시키기 위하여 개발 및 시험과 운영 환경은 분리하여야 한다.
A.12.2 악성코드 방지
목적: 정보 및 정보처리 시설이 악성코드로부터 보호됨을 보장
A.12.2.1	악성코드 통제	악성코드로부터 보호하기 위하여 탐지, 예방, 복구 통제를 구현하고 적절한 사용자 인식 교육을 연계하여야 한다.
A.12.3 백업
목적: 데이터의 손실을 방지
A.12.3.1	정보 백업	합의된 백업 정책에 따라 주기적으로 정보, 소프트웨어, 시스템 이미지에 대 백업 복사본을 생성하고 시험하여야 한다.
A.12.4 로그기록 및 모니터링
목적: 이벤트를 기록하고 증거를 생성
A.12.4.1	이벤트 로그기록	사용자 활동, 예외, 고장, 정보보호 이벤트를 기록하는 이벤트 로그를 생성하고 보존하며 주기적으로 검토하여야 한다.
A.12.4.2	로그 정보 보호	로그기록 설비와 로그 정보를 변조 및 비인가 접근으로부터 보호하여야 한다.
A.12.4.3	관리자 및 운영자 로그	시스템 관리자와 시스템 운영자의 활동을 기록하고 로그를 보호하여 주기적으로 검토하여야 한다.
A.12.4.4	시각 동기화	조직 또는 보안 영역 내에서 모든 관련 정보처리 시스템의 시각은 동일한 출처의 참조 시간으로 동기화하여야 한다.
A.12.5 운영 소프트웨어 통제
목적: 운영 시스템의 무결성을 보장
A.12.5.1	운영 시스템 소프트웨어 설치	운영 시스템 상의 소프트웨어 설치를 통제하기 위한 절차를 구현하여야 한다.
A.12.6 기술적 취약점
목적: 기술적 취약점의 악용을 방지
A.12.6.1	기술적 취약점 관리	사용 중인 정보시스템의 기술 취약점 정보를 적시에 수집하고, 해당 취약점에 대한 조직의 노출 정도를 평가하여 관련 위험을 해결할 수 있는 적절한 조치를 취해야 한다.
A.12.6.2	소프트웨어 설치 제한	사용자의 소프트웨어 설치를 제한하는 규정을 수립하고 구현하여야 한다.
A.12.7 정보시스템 감사고려사항
목적: 운영 시스템에 대한 감사 활동의 영향을 최소화
A.12.7.1	정보시스템 감사 통제	운영 시스템의 검증에 필요한 감사 요구사항과 활동은 업무 프로세스의 중단을 최소화하도록 신중하게 계획하고 합의를 거쳐야 한다.

A.13 통신 보안
A.13.1 네트워크 보안 관리
목적: 네트워크 상의 정보와 이를 지원하는 정보처리시스템의 보호를 보장
A.13.1.1	네트워크 통제	시스템과 어플리케이션에서 처리되는 정보를 보호하기 위하여 네트워크를 관리하고 통제하여야 한다.
A.13.1.2	네트워크 서비스 보안	내부 또는 외부에서 제공하는 모든 네트워크 서비스의 보안 메커니즘, 서비 수준, 관리 요구사항을 식별하고 네트워크 서비스 협약에 포함시켜야 한다.
A.13.1.3	네트워크 분리	정보 서비스, 사용자, 정보시스템을 그룹화하여 네트워크 상에서 분리하여야 한다.
A.13.2 정보 전송
목적: 조직 내부에서 또는 외부자에게 전송되는 정보의 보안을 유지
A.13.2.1	정보 전송 정책 및 절차	모든 유형의 통신 시설을 거치는 정보의 전송을 보호하기 위하여 공식적인 전송 정책, 절차, 통제를 마련하여야 한다.
A.13.2.2	정보 전송 협약	조직과 외부자 간의 업무 정보를 안전하게 전송하기 위한 협약을 체결하여야 한다.
A.13.2.3	전자 메시지 교환	전자적인 메시지 교환에 포함된 정보는 적절하게 보호하여야 한다.
A.13.2.4	기밀유지 협약	정보보호에 대한 조직의 요구를 반영한 기밀유지협약 및 비밀유지서약 요구사항을 식별하고 주기적으로 검토 및 문서화하여야 한다.

A.14 시스템 도입, 개발, 유지보수
A.14.1 정보시스템 보안
목적: 공중망을 통해 서비스를 제공하는 정보시스템에 대한 요구사항도 포함하여 정보시스템의 전체 생명주기에 걸쳐 정보보호가 필수적인 부분임을 보장
A.14.1.1	정보보호 요구사항 분석 및 명세	정보보호 관련 요구사항을 신규 정보시스템의 요구사항이나 기존 정보시스템의 개선사항에 포함시켜야 한다.
A.14.1.2	공중망 응용 서비스 보안	공중망을 통해 전달되는 응용 서비스의 정보는 부정 행위, 계약 분쟁, 비인가 유출 및 수정으로부터 보호하여야 한다.
A.14.1.3	응용 서비스 거래 보호	응용 서비스 거래의 정보는 불완전 전송, 경로 이탈, 비인가 메시지 변경, 비인가 노출, 비인가 메시지 중복, 재사용을 방지하도록 보호하여야 한다.
A.14.2 개발 및 지원 프로세스 보안
목적: 정보시스템 개발 생명주기 내에 정보보안을 설계하고 구현함을 보장
A.14.2.1	개발 보안 정책	조직 내에서 소프트웨어와 시스템의 개발을 위한 규칙을 수립하고 적용하여야 한다.
A.14.2.2	시스템 변경 통제 절차	공식적인 변경 통제 절차를 사용하여 개발 생명주기 내에서 시스템의 변경을 통제하여야 한다.
A.14.2.3	운영 플랫폼 변경 후 어플리케이션 기술적 검토	운영 플랫폼이 변경되면 조직의 운영이나 보안에 부정적인 영향을 미치지 않음을 보장하기 위하여 업무에 중요한 어플리케이션을 검토하고 시험하여야 한다.
A.14.2.4	소프트웨어 패키지 변경 제한	소프트웨어 패키지에 대한 변경은 반드시 필요한 경우에만 제한적으로 허용하고 모든 변경을 엄격하게 통제하여야 한다.
A.14.2.5	시스템 보안 공학 원칙	시스템 보안 공학을 위한 원칙을 수립하여 문서화하고 유지하며 모든 정보시스템의 구현에 적용하여야 한다.
14.2.6	개발 환경 보안	조직은 시스템의 전체 개발 생명주기를 포괄하는 시스템 개발 및 통합을 위해 안전한 개발 환경을 수립하고 적절히 보호하여야 한다.
A.14.2.7	외주 개발	조직은 외주 시스템 개발 활동을 감독하고 모니터링 하여야 한다.
A.14.2.8	시스템 보안 시험	개발 기간 동안에 보안 기능의 시험을 수행하여야 한다.
A.14.2.9	시스템 인수 시험	신규 정보시스템, 업그레이드, 신규 버전에 대한 인수 시험 프로그램과 관련 기준을 수립하여야 한다.
A.14.3 시험 데이터
목적: 시험에 사용되는 데이터의 보호를 보장
A.14.3.1	시험 데이터 보호	시험 데이터를 신중하게 선택하여 보호하고 통제하여야 한다.

A.15 공급자 관계
A.15.1 공급자 관계 정보보호
목적: 공급자가 접근할 수 있는 조직 자산에 대한 보호를 보장
A.15.1.1	공급자 관계 정보보호 정책	조직 자산에 대한 공급자 접근과 연관된 위험을 감소시키기 위한 정보보호 요구사항은 공급자와 합의를 거쳐 문서화하여야 한다.
A.15.1.2	공급자 협약 내 보안 명시	모든 관련 정보보호 요구사항을 수립하여 조직 정보에 대한 접근, 처리, 저장, 통신을 수행하거나 IT 기반 구성요소를 제공하는 공급자와 합의하여야 한다.
A.15.1.3	정보통신기술 공급망	공급자와 관련된 협약에는 정보통신기술 서비스와 제품 공급망에 연관된 정보보호 위험을 다루는 요구사항을 포함하여야 한다.
A.15.2 공급자 서비스 전달
목적: 공급자 협약에 따라 합의된 수준의 정보보호와 서비스 전달을 유지
A.15.2.1	공급자 서비스 모니터링 및 검토	조직은 공급자의 서비스 전달을 주기적으로 모니터링하고 검토 및 감사를 수행하여야 한다.
A.15.2.2	공급자 서비스 변경 관리	기존 정보보호 정책, 절차, 통제의 유지관리와 개선을 포함 공급자의 서비스 제공에 대한 변경은 업무 정보, 시스템, 프로세스의 중요성과 위험의 재평가를 감안하여 관리하여야 한다.

A.16 정보보호 사고 관리
A.16.1 정보보호 사고 관리 및 개선
목적: 보안 이벤트와 약점에 대한 의사소통을 포함하여 정보보호 사고의 일관되고 효과적인 접근을 보장
A.16.1.1	책임 및 절차	정보보호 사고에 대한 신속하고 효과적이며 순차적인 대응을 보장하기 위하여 관리 책임과 절차를 수립하여야 한다.
A.16.1.2	정보보호 이벤트 보고	적절한 관리 채널을 통해 가능한 신속하게 정보보호 이벤트를 보고하여야 한다.
A.16.1.3	정보보호 약점 보고	조직의 정보시스템과 서비스를 사용하는 직원 및 계약자는 시스템 또는 서비스에서 정보보호 약점을 발견하거나 의심되는 경우에 주의 깊게 살펴서 보고하여야 한다.
A.16.1.4	정보보호 이벤트 평가 및 의사결정	정보보호 이벤트를 평가하고 정보보호 사고로 분류할지 여부를 결정하여야 한다.
A.16.1.5	정보보호 사고 대응	정보보호 사고는 문서화된 절차에 따라 대응하여야 한다.
A.16.1.6	정보보호 사고로부터 학습	정보보호 사고를 분석하고 해결하는 과정에서 습득한 지식은 추후 사고의 가능성 또는 영향을 줄이는데 사용하여야 한다.
A.16.1.7	증거 수집	조직은 증거로 활용할 수 있는 정보 식별, 수집, 획득, 보존하기 위한 절차를 정의하고 적용하여야 한다.

A.17 업무연속성 관리의 정보보호 측면
A.17.1 정보보호 연속성
목적: 조직의 업무연속성 관리체계 내에 정보보호 연속성을 포함
A.17.1.1	정보보호 연속성 계획	조직은 위기 또는 재난과 같이 어려운 상황에서 정보보호와 정보보호 관리의 연속성에 대한 요구사항을 결정하여야 한다.
A.17.1.2	정보보호 연속성 구현	조직은 어려운 상황에서 정보보호에 필요한 수준의 연속성을 보장하기 위하여 프로세스, 절차, 통제를 수립하고 문서화하여 구현 및 유지하여야 한다.
A.17.1.3	정보보호 연속성 검증, 검토, 평가	조직이 수립하고 구현한 정보보호 연속성 통제가 어려운 상황에 적절하고 효과적임을 보장하기 위하여 주기적으로 검증하여야 한다.
A.17.2 이중화
목적: 정보처리 시설의 가용성을 보장
A.17.2.1	정보처리 시설 가용성	정보처리 시설은 가용성 요구사항을 만족하는데 충분하도록 이중화하여 구현하여야 한다.

A.18 준거성
A.18.1 법적 및 계약 요구사항 준수
목적: 정보보호에 관련된 법률, 법령, 규정, 계약 의무와 보안 요구사항의 위반을 방지
A.18.1.1	적용 법규 및 계약 요구사항 식별	정보시스템과 조직에 관련한 모든 법령, 규제, 계약 요구사항과 조직의 요구사항 만족을 위한 접근방법을 명시적으로 식별하고 문서화하며 최신으로 유지하여야 한다.
A.18.1.2	지적재산권	지적재산권 및 소프트웨어 제품 소유권의 행사에 관련된 법령, 규정, 계약 요구사항의 준수를 보장하기 위하여 적절한 절차를 구현하여야 한다.
A.18.1.3	기록 보호	기록은 법령, 규정, 계약, 업무 요구사항에 따라 분실, 파손, 위조, 비인가 접, 비인가 공개로부터 보호하여야 한다.
A.18.1.4	프라이버시 및 개인정보 보호	프라이버시와 개인정보의 보호는 관련 법규와 규제에서 요구하는 바에 따르고 있음을 보장하여야 한다.
A.18.1.5	암호 통제 규제	암호 통제는 모든 관련 협약, 법규, 규제를 준수하며 사용하여야 한다.
A.18.2 정보보호 검토
목적: 조직의 정책과 절차에 따라 정보보호를 구현하고 운영하고 있음을 보장
A.18.2.1	정보보호 독립적 검토	정보보호와 그 구현(예: 정보보호에 대한 통제 목적, 통제, 정책, 프로세스, 절차)에 대한 조직의 접근방법은 계획된 주기 또는 중대한 변경이 발생한 시점에 독립적으로 검토하여야 한다.
A.18.2.2	보안 정책 및 표준 준수	관리자는 자신의 책임 영역 내에서 적절한 보안 정책, 표준, 기타 보안 요구사항에 대한 정보 처리 및 절차의 준거성을 주기적으로 검토하여야 한다.
A.18.2.3	기술 준거성 검토	조직의 정보보호 정책 및 표준에 대한 정보시스템의 준거성을 주기적으로 검토하여야 한다.