(통합)기업보안 ≒ IT보안 + OT보안 + PT보안
보안관리 표준 ISO28000의 활용에 관한 소견
저는
기업에서의 보안활동은
IT보안 + OT보안 + PT보안
세 가지로 나눌 수 있다고 봅니다.
IT: Information Technology
OT: Operational Technology
PT: Production(Manufacturing) Technology
IT보안은 실질적으로 정보보호와 동일한 용어로 여깁니다
ISO/IEC SC27의 WebSite에 담당 영역이 "IT Security Techniques"로 표기되어 있습니다.
국제표준을 제개정하는 기관에서 '정보보호'를 'IT보안기법'으로도 인식한다는 뜻입니다.
OT보안은
스마트공장, ICS(산업제어시스템), SCADA설비 보안 등을 지칭하며
PT보안은
기업이 생산하는 제품에 보안성을 고려하는 노력입니다.
(이에 관해서는, 새 글로 설명을 게시하겠습니다)
따라서,
제조업의 경우 : IT보안 + OT보안 + PT보안
설비운영업의 경우 : IT보안 + OT보안
제조업이 아닌 경우 : IT보안 Only
가 해당되겠습니다.
IT보안의 실행지침 표준은 ISO27002 (KISA ISMS 2.*.*)
OT보안의 실행지침 표준은 IEC62443가 대표적이며
PT보안을 위한 표준에는 ISO22384를 들 수 있겠습니다.
IT보안의 관리체계 요구사항 표준은 ISO27001 (KISA ISMS 1.*.*)입니다.
그러면,
OT보안이나 PT보안을 위한 관리체계 요구사항 표준은 무엇일까요?
마땅한 것이 없어서인지
ISO와 협력해서 보안 관련 표준을 제작하는 IEC WebSite에서도
OT보안의 관리를 ISO27001에 귀속시킵니다.
그러나,
ISMS는 분명히 IT영역 위주의 보안관리체계이므로,
ISO27001은 OT나 PT를 충분하게 포괄하지 못합니다.
ISO28000은 OT영역을 자연스럽게 포용 가능하며,
ISO28000의 태생이 공급망보안 영역이어서 제품생산에 관한 보안이 자연스럽게 포함될 수 있습니다.
따라서,
통합적인 보안관리체계 표준 규격으로 채택함에 큰 문제가 없어 보입니다.
어쩌면,
기존의 ISO27001 자리를 대체하는 방안도 검토할 만 하겠어서
국제표준 전문가분들에게 고견을 구하는 중입니다.
가르침을 얻는 즉시 이 글에 반영하겠습니다.
