'보안' 관련 관리체계들의 영역/관계
정보보호관리체계 하나로 충분한가?
일전에 보안 관리를 위한 표준에 관한 글과
표준 '관리체계'에 관한 글도 몇 줄 게시했었는데요,
이번에는
그 표준들 간의 Hierarchy 및 Priority에 관한 글입니다.
보안에 인접한 영역을 선별하여,
그에 대응하는 ISO 관리체계표준들이 있는 것들만 추렸고,
위상(우선순위)을 매겨봤습니다.
01. 비즈니스 연속성
02. 규정 준수
03. 인적 자원
04. 품질
05. 보안
06. 자산
07. IT 자산
08. IT 서비스
09. 지식
10. 기록
11.정보 보호
12.사설 보안 운영
13. 협업 비즈니스 관계
제품생산보안이나 산업제어보안은 빠졌는데,
적당한 HLS구조의 Type A 표준이 없어서입니다.
제 소견에 27001은 11번째이고,
28000도 5번째입니다.
어째서 22031을 가장 위에 두었는가는
저의 예전 글(댓글포함)을 읽어보시면 수긍이 되실 듯싶고요.
2020년 04월 < ISO 27001:2013 17장 01절 01조 [정보보호 연속성 계획]에 관한 말씀 >
2022년 10월 < Kakao 사태와 KISA ISMS 에 관한 말씀 >
아래는 이 것들을
UML-Class Style로 그려본 Diagram입니다.
화살표가 출발하는 표준보다
화살표가 향하는 표준이
높은 위상이라고 판단했습니다.
위 목록과 그림은
아래에 제시하는 주장들의 타당한 근거가 됩니다.
1.
'보안'을 충분하게 달성하려면
ISMS(정보보호관리체계) 하나로는 충분하지 않습니다.
2.
어느 한 표준을 준수하려면,
그 업무에 인접한 다른 관리체계도 함께 고려해야 합니다.
이 주장은 ISO27001 Clause 4.1 (understanding the organization and it's context)의 취지에 맞닿습니다.
위 소견들이 틀리지 않다면,
표준의 제개정에 관하여 아래의 제안이 가능합니다.
1.
특정 관리체계의 규격(Requirement)을 개정하려면,
그것과 근접한 다른 관리체계표준을 적극적으로 참조할 필요성이 있습니다.
마찬가지로,
특정 관리체계표준에 부속된 지침(Practice,Guidelines)등을 개정하려는 경우에도
다른 주변의 관리체계에 부속된 지침들을 참조/준거해야 합니다.
2.
특정 표준의 제/개정 작업은
해당 분야 주변의 다른 표준들을 관할하는 TC~SC~WG들과
협력/소통하면서 진행해야
표준 간 모순,중첩,누락 등의 예방이 가능해집니다.
당연히 ISO 및 전 세계 자원봉사자 분들은 그렇게 작업을 하고 계실 테고요.
여기에 더 욕심 참견을 부려보자면,...
TC/SC 간 Cross로
Joint Working Group을 정규적으로 운용하거나,
표준 완성 전부터
제작 과정 중의 중간 산출물을 서로 참조하면서 진행하면
참 좋겠다는 생각이 듭니다.
제가 접해 본
IT 보안 전문직 종사자분들 중에는
'정보보호'가 '보안'의 모든 영역을 포괄한다거나,
ISMS 하나로 충분하다거나,
ISMS 기준 한줄 한줄을
마치 성경구절처럼 숭상하는 분도 있었습니다만,...
아닙니다.
분명히 '정보보호'는 보안의 일부이고,
ISMS는 당연히 그 일부 영역에 한정된 관리체계이며,
공인된 표준이라고 해서
그 자체가 궁극의 완성본은 결코 아닙니다.
이 소견이 맞다면,
기업 경영의 총괄적인 관점에서
관리체계표준 각각을 검토하고
여러 관리체계들 간 영역구분/연계/참조 가치 등을
찬찬히 짚어 봄직하다는 생각입니다.
위 표준 목록의 선별, 계층구조, 해석 등
이 글의 모든 내용이 저 개인 단독 소견으로서
아직 전혀 검증/검토받지 못한 상태입니다.
당연히
오랜 경륜의 표준 전문가분들에게 가르침 고견을 요청드렸고
회답 말씀에 따라서
적절하게 반영할 생각입니다.
특정분야의 전문가로 자처하면서
자기가 우물 안의 개구리임을
그 자신만 모르는 경우.
필자가 항상 조심하는 위험입니다.
이견/지적 말씀은 아래 경로를 이용해 주셔요
