우물 안에서 개구리가 올려다보는 하늘의 넓이
보안/정보보호 관련 직종에 종사하시는 분들은
거의 입문 시절부터 ISO27001이라는 제목의 표준을 들어보셨고, 실제로 실무에 준용도 하셨을 텐데요.
국제적 표준들이 얼마나 방대한지,
그중에서도 보안에 관련 됨직한 표준들이 얼마나 많은지 살펴보겠습니다.
(표준의 정의, 표준화의 의미, 표준 준수의 이익이나 당위성 등은 이 글에서는 굳이 서술하지 않습니다.)
ISO 표준에는
우리가 익히 잘 아는 ISO9001, ISO14001, ISO27001 등을 포함하여
24610종(2022년 12월말 현재)의 표준/기준 문서들이 있고, 계속 갱신 중입니다.
그 표준들은 ICS국제표준분류(International Classification for Standards)라는
2~3개 계층으로 구성된 분류기준 중 어느 하나 이상에 속합니다.
첫 계층단계에 40개의 ICS가 있고,
저는 그 중 아래의 것들이 보안에 관련이 크겠다고 보았습니다.
03 Services. Company organization, management and quality. Administration. Transport. Sociology
13 Environment. Health protection. Safety
33 Telecommunications. Audio and video engineering
35 Information technology
위 첫 계층 중 35에서 2단계 분류는 아래와 같고,
그 중에 IT보안에 직결된 것으로, 35.030이 “IT Security including encryption”입니다
35.020 Information technology (IT) in general
35.030 IT Security (Including encryption)
35.040 Information coding
35.060 Languages used in information technology
35.080 Software
35.100 Open systems interconnection (OSI)
35.110 Networking
35.180 IT terminal and other peripheral equipment
35.200 Interface and interconnection equipment
35.210 Cloud computing
35.220 Data storage devices
35.240 Applications of information technology
35.260 Office machines
우리의 ISO27001은 두 개의 ICS에 속해있는데,
35.030 IT Security
03.100.70 Management systems
입니다.
ISO 기수 산하에 258개에 달하는 기술위원회 TC(Technical Committee)가 각자 관할의 표준들을 담당합니다. (2023년 03월 시점)
ICS 분류대로 나뉜 조직이 있는 것이 아니고요.
TC와 같은 계층에서 PC(Project Committee)가 자리하기도 하고,
특별히 ISO와 IEC가 협력하는 JTC1이 있으며,
TC(또는 PC)의 하위에 SubCommittee, 그 하위에 WorkingGroup이 있습니다.
TC 중 보안에 관련이 큰 것들을 아래에 나열합니다.
ISO/IEC JTC 1 Information technology
ISO/TC 46 Information and documentation
ISO/TC 154 Processes, data elements and documents in commerce, industry and administration
ISO/TC 171 Document management applications
ISO/TC 176 Quality management and quality assurance
ISO/TC 184 Automation systems and integration
ISO/TC 207 Environmental management
ISO/TC 260 Human resource management
ISO/TC 262 Risk management
ISO/TC 283 Occupational health and safety management
ISO/TC 286 Collaborative business relationship management
ISO/TC 292 Security and resilience
ISO/TC 309 Governance of organizations
ISO/PC 317 Consumer protection: privacy by design for consumer goods and services
ISO/TC 321 Transaction assurance in E-commerce
ISO/TC 332 Security equipment for financial institutions and commercial organizations
위에서 언급된 JTC1 은 ISO와 IEC 두 기구의 협력으로 1987년 시작된 공동기술협의회(Joint Task Committee)로서,
“정보의 획득‧표현‧처리‧보안‧전달‧교환‧제공‧관리‧저장‧검색을 위한 시스템과 도구 및 인터페이스에 관한 규격, 적합성 평가 및 기준 등에 관한 표준화”가 목표이고, 미국립표준기관(ANSI )이 간사역할을 합니다.
이 JTC에는 22개의 SubCommittee가 있고, 그 중에 보안 관련을 추려보면 아래의 것들입니다.
SC 6 Telecommunications and information exchange between systems
SC 7 Software and systems engineering
SC 17 Cards and security devices for personal identification
SC 27 Information security, cybersecurity and privacy protection
SC 37 Biometrics
SC 38 Cloud Computing and Distributed Platforms
SC 39 Sustainability, IT & Data Centres
SC 40 IT Service Management and IT Governance
SC27은 다시 5개의 Working Group으로 나뉘어 노력 중이십니다.
WG 1 – Information security management systems
WG 2 – Cryptography and Security Mechanisms
WG 3 – Security Evaluation, Testing and Specification
WG 4 – Security Controls and Services
WG 5 – Identity Management and Privacy Technologies
이렇듯, 우리의 ISO27001(및 그 부속)은 위 계통조직 중에서,
"ISO아래의 JTC1아래의 SC27아래의 WG1"에서 관할하는 수많은 표준 중의 극히 일부입니다.
따라서,
이 수많은 보안 관련 국제표준 중에 ISO27001군만 쳐다봄은
마치 우물 안 개구리의 시야각입니다.
(위에 표기된 조직 이외에 자문(dvisory groups), TMB(Technical Management Board) 등이 있지만, 편의상 생략했습니다)
JTC1 이외에 다른 TC에서도 보안에 관한 여러 표준들을 생산하고 있기 때문에
기업의 보안분야 종사자라면 아래 TC 및 그 관할 표준들 그 존재만이라도 반드시 알아 두셔야 합니다.
ISO/TC 262 Risk management
ISO/TC 292 Security and resilience
ISO/TC 309 Governance of organizations
보안 직종을 업으로 계속 삼으실 예정이시라면,
한 번쯤은 이 표준들을 제목 또는 목차라도 훑어보는 시간을 내실 것을 권해드립니다.
(저도 Re-View 중입니다)
KISA는 ISMS라는 훌륭한 국산 제도로 외산을 대체/방어해 온 공이 큽니다.
(KISA ISMS를 취득했음에도 외국 수출 시 Buyer에게 ISO27001 인증서를 요구받는 기업들의 이중부담은 일부 사례로 미뤄 두고요)
이제는 현행 여러 제도들(ISMS+p, 정보보호등급제, Cloud보안인증제) 이외에
더 넓고 깊고 방대한 ISO/IEC 표준들을 참조하여 OT(제어)보안과 PT(제품)보안을 위한 기준을 제공해주면 참 좋겠습니다.
어쩌면, 그런 작업은 KISA의 범위를 벗어나는지도 모르겠네요.
그렇다면,
ISO28000을 KISA ISMS와 결합시켜서 독창적인 KS인증규격으로 만들어보는 시도는 어떨까 싶습니다.