"보안 관리"를 위한 표준
"정보보호관리" ⊂ "보안관리"
ISO/IEC27001(이하 ISO27001로 약칭)나
그 유사기준인 KISA ISMS 1.*.*는
Information Security Management System
(주로 '정보보호관리체계' 또는 '정보보안경영시스템'으로 번역)의 Requirement 기준으로서,
그 이름처럼 당연히
'정보'를 핵심 보호대상(Primary Asset)으로 합니다.
필자가 처음 이 업종에 종사하던 시절부터
'보안'보다는 '정보보호'가 더 흔하게 쓰였습니다.
('Security'를 어째서 '보안'이 아닌 '보호'로 번역했을까에 관해서는 이후 별도 글로 게시)
아무튼,
이 ISMS라는 표현은
"단지 정보만을 보호의 대상으로 함"을 내포하면서도
아주 오랫동안
마치 "정보보호 = 보안" 인 것처럼 인식되어 왔습니다.
그런데,
그 개념범위를 넘어서는
총괄적 범위의 "보안 관리 표준"이 어느새 만들어져 있더군요.
Security and resilience — Security management systems — Requirements
모든 '조직'이
'정보'를 취급하기는 합니다만,
File이나 DB 형태로 저장/활용되는 Information보다는
장비간 송수신되는 신호(Signal)을 주로 취급하는
Smart공장이나 ICS(산업제어시스템)의 경우에까지
"정보보호"라는 이름의 관리체계를 씌우는 것은
아무래도 어색하게 보여왔지요...
"정보보호 ⊂ 보안"
('정보보호'는 '보안'의 부분집합이다)
이 자연스럽고 당연한 관점에서
"보안 관리 체계"의 표준이 있을까 해서 찾아보니,
있었습니다.
그렇다면,
기존 ISMS(정보보호관리체계)는
더 큰 범위인 SMS(보안관리체계)의 일부분이어야 맞겠지요.
ISO27001도
KISA ISMS도
"IT기반/영역에서의 SMS"로
그 신분 및 역할범위가 재확인되어야 순리적이라고 봅니다.
