brunch

You can make anything
by writing

C.S.Lewis

by AService Mar 08. 2023

ISO '보안' 표준 및 위원회 분류

우물 안에서 개구리가 올려다보는 하늘의 넓이

보안/정보보호 관련 직종에 종사하시는 분들은

거의 입문 시절부터 ISO27001이라는 제목의 표준을 들어보셨고, 실제로 실무에 준용도 하셨을 텐데요.

국제적 표준들이 얼마나 방대한지,

그중에서도 보안에 관련 됨직한 표준들이 얼마나 많은지 살펴보겠습니다.

(표준의 정의, 표준화의 의미, 표준 준수의 이익이나 당위성 등은 이 글에서는  굳이 서술하지 않습니다.)



ISO 표준에는

우리가 익히 잘 아는 ISO9001, ISO14001, ISO27001 등을 포함하여

24610종(2022년 12월말 현재)의 표준/기준 문서들이 있고, 계속 갱신 중입니다.


그 표준들은 ICS국제표준분류(International Classification for Standards)라는

2~3개 계층으로 구성된 분류기준 중 어느 하나 이상에 속합니다.

첫 계층단계에 40개의 ICS가 있고,

저는 그 중 아래의 것들이 보안에 관련이 크겠다고 보았습니다.


03   Services. Company organization, management and quality. Administration.  Transport. Sociology

13   Environment. Health protection. Safety

33   Telecommunications. Audio and video engineering

35   Information technology



위 첫 계층 중 35에서 2단계 분류는 아래와 같고,

그 중에 IT보안에 직결된 것으로, 35.030이  “IT Security including encryption”입니다


35.020   Information technology (IT) in general

35.030   IT Security (Including encryption)

35.040   Information coding

35.060   Languages used in information technology

35.080   Software

35.100   Open systems interconnection (OSI)

35.110   Networking

35.180   IT terminal and other peripheral equipment

35.200   Interface and interconnection equipment

35.210   Cloud computing

35.220   Data storage devices

35.240   Applications of information technology

35.260   Office machines


우리의 ISO27001은 두 개의 ICS에 속해있는데,
35.030       IT Security

03.100.70  Management systems

입니다.



ISO 기수 산하에 258개에 달하는 기술위원회 TC(Technical Committee)가 각자 관할의 표준들을 담당합니다. (2023년 03월 시점)

ICS 분류대로 나뉜 조직이 있는 것이 아니고요.


TC와 같은 계층에서 PC(Project Committee)가 자리하기도 하고,

특별히 ISO와 IEC가 협력하는 JTC1이 있으며, 

TC(또는 PC)의 하위에 SubCommittee, 그 하위에 WorkingGroup이 있습니다. 


TC 중 보안에 관련이 큰 것들을 아래에 나열합니다.


ISO/IEC JTC 1    Information technology

ISO/TC   46        Information and documentation

ISO/TC 154        Processes, data elements and documents in commerce, industry and administration

ISO/TC 171        Document management applications

ISO/TC 176        Quality management and quality assurance

ISO/TC 184        Automation systems and integration

ISO/TC 207        Environmental management

ISO/TC 260        Human resource management

ISO/TC 262        Risk management

ISO/TC 283        Occupational health and safety management

ISO/TC 286        Collaborative business relationship management

ISO/TC 292        Security and resilience

ISO/TC 309        Governance of organizations

ISO/PC 317        Consumer protection: privacy by design for consumer goods and services

ISO/TC 321        Transaction assurance in E-commerce

ISO/TC 332        Security equipment for financial institutions and commercial organizations



위에서 언급된 JTC1 은 ISO와 IEC 두 기구의 협력으로 1987년 시작된 공동기술협의회(Joint Task Committee)로서, 

“정보의 획득‧표현‧처리‧보안‧전달‧교환‧제공‧관리‧저장‧검색을 위한 시스템과 도구 및 인터페이스에 관한 규격, 적합성 평가 및 기준 등에 관한 표준화”가 목표이고, 미국립표준기관(ANSI )이 간사역할을 합니다.


JTC에는 22개의 SubCommittee가 있고, 그 중에 보안 관련을 추려보면 아래의 것들입니다.


SC   6    Telecommunications and information exchange between systems

SC   7    Software and systems engineering

SC 17    Cards and security devices for personal identification

SC 27    Information security, cybersecurity and privacy protection

SC 37    Biometrics

SC 38    Cloud Computing and Distributed Platforms

SC 39    Sustainability, IT & Data Centres

SC 40    IT Service Management and IT Governance



SC27은 다시 5개의 Working Group으로 나뉘어 노력 중이십니다.


WG 1 – Information security management systems

WG 2 – Cryptography and Security Mechanisms

WG 3 – Security Evaluation, Testing and Specification

WG 4 – Security Controls and Services

WG 5 – Identity Management and Privacy Technologies



이렇듯, 우리의 ISO27001(및 그 부속)은 위 계통조직 중에서,

"ISO아래의 JTC1아래의 SC27아래의 WG1"에서 관할하는 수많은 표준 중의 극히 일부입니다.


따라서,

이 수많은 보안 관련 국제표준 중에 ISO27001군만 쳐다봄은

마치 우물 안 개구리의 시야각입니다.

(위에 표기된 조직 이외에 자문(dvisory groups), TMB(Technical Management Board) 등이 있지만,  편의상 생략했습니다)


JTC1 이외에 다른 TC에서도 보안에 관한 여러 표준들을 생산하고 있기 때문에

기업의 보안분야 종사자라면 아래 TC 및 그 관할 표준들 그 존재만이라도 반드시 알아 두셔야 합니다.


ISO/TC 262        Risk management

ISO/TC 292        Security and resilience

ISO/TC 309        Governance of organizations


보안 직종을 업으로 계속 삼으실 예정이시라면,

한 번쯤은 이 표준들을 제목 또는 목차라도 훑어보는 시간을 내실 것을 권해드립니다.

(저도 Re-View 중입니다)



KISA는 ISMS라는 훌륭한 국산 제도로 외산을 대체/방어해 온 공이 큽니다.

(KISA ISMS를 취득했음에도 외국 수출 시 Buyer에게 ISO27001 인증서를 요구받는 기업들의 이중부담은 일부 사례로 미뤄 두고요)


이제는 현행 여러 제도들(ISMS+p, 정보보호등급제, Cloud보안인증제) 이외에

더 넓고 깊고 방대한 ISO/IEC 표준들을 참조하여 OT(제어)보안과 PT(제품)보안을 위한 기준을 제공해주면 참 좋겠습니다.


어쩌면, 그런 작업은 KISA의 범위를 벗어나는지도 모르겠네요.

그렇다면,

ISO28000을 KISA ISMS와 결합시켜서 독창적인 KS인증규격으로 만들어보는 시도는 어떨까 싶습니다.

작가의 이전글 '정보'를 보호하는 '정보보호'를 위하여
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari