'ISMS' vs 'CSMS'

CS = "Cyber Security" or "Car Security"?

'ISMS'는 잘 아시듯

"Information Security Management System"으로서,

'정보'를 그 대상으로 하며,

ISO2700* Series의 중심입니다. 

'CSMS'는 무엇일까요?

"Cyber Security Management System"으로 많이 알려졌는데,

오직 자동차만을 그 대상으로 하며,

ISO/SAE21434 등에서 사용되고 있습니다. 

---

이 CyberSecurity라는 표현은

ISO/IEC27100:2020 Cybersecurity — Overview and concepts

용어정의 3.2에서 “safeguarding of people, society, organizations and nations from cyber risks”로 정의했습니다. 

Introduction에는

"정보보호가 주로 특정 조직이 통제하는 영역 내부를 주목한다면, Cyber보안은 특정 조직 관할 범위를 넘어 상호 연결된 디지털 환경인 사이버 공간의 위험에 초점을 맞춥니다"로 서술되어 있습니다. 

아래는 ISO/IEC27032:2012 Guidelines for cybersecurity

6.3 The nature of CyberSeurity (Cyber보안의 성질)에서 제시된 Diagram입니다.

이 그림으로 보면, Cyber보안은 정보보호의 부분집합처럼 묘사되어 있습니다만,

저는 그 반대로,

(위 introduction의 해설처럼)

Cyber보안 ≒ 운영보안 & ICS(산업제어시스템)보안  ( & 정보보호)

정도의 용어로 인식합니다.

---

ISO/SAE21434:2021 Road vehicles — Cybersecurity engineering

3.1.9 에서 CyberSecurity를 분명히 차량에 관한 것으로 한정했는데,

(the term cybersecurity is used instead of road vehicle cybersecurity)

이 단지 자동차만을 대상으로 하는 보안에 'CSMS'라는 표현의 선점을 당한 셈이지요. 

혹시 "CarSMS" 일까 했는데, "CyberSMS"였던 것입니다.

아예 본문 Introduction에 이렇게 서술되어 있습니다.

"This document can be used to implement a cybersecurity management system"

'VSMS' (Vehichle Security Managemenent System)으로 칭했으면, 무난했을 텐데요.

현재의 'CSMS'는 OT보안 분야 어딘가에서 잘 사용할만한 용어 아닐까 싶습니다.

---

ISO WebSite SC27은 자신들의 영역을 이렇게 제시합니다.

"Information security, cybersecurity and privacy protection"

그렇지만,

지금의 ISMS 영역에 'CarSMS'를 구겨 넣기에는 아무래도 어색합니다.

ISO27001~ISO27002가 어쩌면,

너무 높이/넓게 남용되어 왔는가 하는 생각도 듭니다.

어쩌면 애초의 ISO/IEC2700*의 ISMS가 "IT기반의 보안관리체계" 또는 "IT영역에서의 보안관리체계" 등을 뜻했었을지도 모르겠습니다.

ISO/IEC JTC1 WebSite에는 SC27의 Title이 "“IT Security Techniques” 정보기술 보안 기법)으로 표기되어 있거든요.

---

IEC-62443-2-1에서도 "CSMS for IACS"라고 표현하고,

ISO/IEC 27018:2014에서도 "Cloud Security Management Systems"의 뜻으로 CSMS를 썼었으므로,

CSMS는 어느 한 표준/분야의 소속이 아님은 분명합니다.

늦은듯하지만,

'CSMS' 용어가 이 상태로 더 퍼지기 전에

어디에선가라도 질서를 잡아줘야 하는 거 아닐까 싶습니다.

'VSMS'라는 약어는 아직 아무 곳에서도 쓰이지 않고 있습니다. (2023년 02월 시점)