표준 '관리체계'에 담긴 의미

기업 내 관리체계의 통합을 위한 기반

품질-관리체계

환경-관리체계

보안-관리체계 (기존 정보보호-관리체계를 교체)

...

이들 모든 *MS의 뒤 두 단어

"Management System"에 관한 소견입니다.

ISO/IEC27000:2018 3.41에서 이렇게 정의합니다.

"set of interrelated or interacting elements of an organization to establish policies and objectives and processes to achieve those objectives"

KS X ISO/IEC 27000:2018 2.42에는

"어떤 조직이 자신의 목적을 달성하기 위한 가이드라인, 정책, 절차, 프로세스 및 이와 관련된 자원의 기본 틀"이라고 정의했습니다.

ISO는 2012년에

HLS라는 이름의 Management System의 공통 규격(framework)을 개발하여,

모든 ISO의 관리체계 표준들에 적용해 왔습니다.

• 공통의 상위의 조문구조 (unified High Level Structure: HLS)

• 표준화된 핵심적인 문장 (identical core text)

• 공통의 핵심적인 정의 (common core terms and definitions)

조직 내 여러 (품질, 환경, 자산, IT Service, 사업연속성, 보안/정보보호 등) 기업의 많은 관리활동에 공통의 Framework 적용을 위한 기반이 아주 잘 만들어져 있다는 뜻입니다.

물론 이 HLS구조는 2014년부터 KS국가표준들에도 적용되어 왔습니다.

(일부의 편집도 없는 단순한 전체 번역이거든요)

현재는 이 HLS가 Harmonized Structure라는 이름의 구조로 개량되었고

ISO27001은 물론

우리의 새 희망 ISO28000에도 이미 적용되어 있습니다.

---

필자의 백수십여 기업 방문 경험을 기억해 보면

ISO9001 품질인증은 대부분 있었고,

ISO27001 ISMS인증을 취득한 곳도 자주 있었습니다.

KISA ISMS인증 신청 또는 갱신을 위한 방문도 잦았습니다.

그런데,

그 (품질과 보안) 두 관리체계를

최소한으로라도 연동/통합한 곳은 거의 없었습니다.

관련 정책서, 서식, 관리담당, 인증범위(부서)등이 완전히 별개였습니다.

제가 참여했던 ISMS 심사 중,

관리체계 검토를 위해서

기업의 담당자분에게 사규집을 요청하면

대체 그런 것을 왜 보려 드냐는

심사팀장 역할자의 불만 섞인 핀잔을 여러 번 들어왔습니다.

ISMS의 시야각에서는

오로지

"정보보호규정"이 최상위의 유일한 정책으로 보여집니다.

취업규칙/인사지침/문서관리지침 등

기업의 기본적인 정책서의 검토는

(정보보호)관리체계 심사에 필수적이라는 것이

당시와 현재 저의 생각입니다.

게다가 품질관리같이 보안과 매우 밀접한 관리체계와의 연동/통합은, 해당 관리체계 본연의 취지만큼이나 중요합니다.

최소한,

(힘있는) 인사부서 관할의 기존 인적보안지침과

(힘없는) IT부서에서 새로 만든 ISMS정책서 중 유사 지침이 병존하는 상황은

없어야겠습니다.

보안/정보보호 분야에서

컨설팅, 심사, 감리 등을 업으로 하시는 모든 분들은

최소한,

정보보호/기술보호/영업비밀보호/개인정보보호/산업기술보호/스마트공장보안 등 만이라도

(통합)보안관리체계로 일원화해야 한다는 생각에 동의하시리라 믿습니다.

중소기업들에서

보안 인증서 챙기려다가 본연의 업무에 방해를 받는다는 불평이

무엇에서 비롯되는지 자성이 필요합니다.

---

현행 ISMS 인증제도들이

그 이름 자체의 취지처럼

진정으로 "Management System"을 심사하는 것인지,

"대외 서비스를 가동하는 정보시스템의 기술적 보안 설정 상태 점검" 위주인지

PDCA Cycle을 스스로에게 적용해봐야 한다고 생각합니다.

위 글 역시 약 2년 전에 게시했던 것을 Update 했습니다