brunch

ISO '보안' 표준 및 위원회 분류

우물 안에서 개구리가 올려다보는 하늘의 넓이

by AService
Mar 8. 2023

보안/정보보호 관련 직종에 종사하시는 분들은

거의 입문 시절부터 ISO27001이라는 제목의 표준을 들어보셨고, 실제로 실무에 준용도 하셨을 텐데요.

국제적 표준들이 얼마나 방대한지,

그중에서도 보안에 관련 됨직한 표준들이 얼마나 많은지 살펴보겠습니다.

(표준의 정의, 표준화의 의미, 표준 준수의 이익이나 당위성 등은 이 글에서는 굳이 서술하지 않습니다.)


ISO 표준에는

우리가 익히 잘 아는 ISO9001, ISO14001, ISO27001 등을 포함하여

24610종(2022년 12월말 현재)의 표준/기준 문서들이 있고, 계속 갱신 중입니다.


그 표준들은 ICS국제표준분류(International Classification for Standards)라는

2~3개 계층으로 구성된 분류기준 중 어느 하나 이상에 속합니다.

첫 계층단계에 40개의 ICS가 있고,

저는 그 중 아래의 것들이 보안에 관련이 크겠다고 보았습니다.


03 Services. Company organization, management and quality. Administration. Transport. Sociology

13 Environment. Health protection. Safety

33 Telecommunications. Audio and video engineering

35 Information technology


위 첫 계층 중 35에서 2단계 분류는 아래와 같고,

그 중에 IT보안에 직결된 것으로, 35.030이 “IT Security including encryption”입니다


35.020 Information technology (IT) in general

35.030 IT Security (Including encryption)

35.040 Information coding

35.060 Languages used in information technology

35.080 Software

35.100 Open systems interconnection (OSI)

35.110 Networking

35.180 IT terminal and other peripheral equipment

35.200 Interface and interconnection equipment

35.210 Cloud computing

35.220 Data storage devices

35.240 Applications of information technology

35.260 Office machines


우리의 ISO27001은 두 개의 ICS에 속해있는데,
35.030 IT Security

03.100.70 Management systems

입니다.


ISO 기수 산하에 258개에 달하는 기술위원회 TC(Technical Committee)가 각자 관할의 표준들을 담당합니다. (2023년 03월 시점)

ICS 분류대로 나뉜 조직이 있는 것이 아니고요.


TC와 같은 계층에서 PC(Project Committee)가 자리하기도 하고,

특별히 ISO와 IEC가 협력하는 JTC1이 있으며,

TC(또는 PC)의 하위에 SubCommittee, 그 하위에 WorkingGroup이 있습니다.


TC 중 보안에 관련이 큰 것들을 아래에 나열합니다.


ISO/IEC JTC 1 Information technology

ISO/TC 46 Information and documentation

ISO/TC 154 Processes, data elements and documents in commerce, industry and administration

ISO/TC 171 Document management applications

ISO/TC 176 Quality management and quality assurance

ISO/TC 184 Automation systems and integration

ISO/TC 207 Environmental management

ISO/TC 260 Human resource management

ISO/TC 262 Risk management

ISO/TC 283 Occupational health and safety management

ISO/TC 286 Collaborative business relationship management

ISO/TC 292 Security and resilience

ISO/TC 309 Governance of organizations

ISO/PC 317 Consumer protection: privacy by design for consumer goods and services

ISO/TC 321 Transaction assurance in E-commerce

ISO/TC 332 Security equipment for financial institutions and commercial organizations


위에서 언급된 JTC1 은 ISO와 IEC 두 기구의 협력으로 1987년 시작된 공동기술협의회(Joint Task Committee)로서,

“정보의 획득‧표현‧처리‧보안‧전달‧교환‧제공‧관리‧저장‧검색을 위한 시스템과 도구 및 인터페이스에 관한 규격, 적합성 평가 및 기준 등에 관한 표준화”가 목표이고, 미국립표준기관(ANSI )이 간사역할을 합니다.


JTC에는 22개의 SubCommittee가 있고, 그 중에 보안 관련을 추려보면 아래의 것들입니다.


SC 6 Telecommunications and information exchange between systems

SC 7 Software and systems engineering

SC 17 Cards and security devices for personal identification

SC 27 Information security, cybersecurity and privacy protection

SC 37 Biometrics

SC 38 Cloud Computing and Distributed Platforms

SC 39 Sustainability, IT & Data Centres

SC 40 IT Service Management and IT Governance



SC27은 다시 5개의 Working Group으로 나뉘어 노력 중이십니다.


WG 1 – Information security management systems

WG 2 – Cryptography and Security Mechanisms

WG 3 – Security Evaluation, Testing and Specification

WG 4 – Security Controls and Services

WG 5 – Identity Management and Privacy Technologies


이렇듯, 우리의 ISO27001(및 그 부속)은 위 계통조직 중에서,

"ISO아래의 JTC1아래의 SC27아래의 WG1"에서 관할하는 수많은 표준 중의 극히 일부입니다.


따라서,

이 수많은 보안 관련 국제표준 중에 ISO27001군만 쳐다봄은

마치 우물 안 개구리의 시야각입니다.

ISO-TC-SC-WG_202303_3.png

(위에 표기된 조직 이외에 자문(dvisory groups), TMB(Technical Management Board) 등이 있지만, 편의상 생략했습니다)


JTC1 이외에 다른 TC에서도 보안에 관한 여러 표준들을 생산하고 있기 때문에

기업의 보안분야 종사자라면 아래 TC 및 그 관할 표준들 그 존재만이라도 반드시 알아 두셔야 합니다.


ISO/TC 262 Risk management

ISO/TC 292 Security and resilience

ISO/TC 309 Governance of organizations


보안 직종을 업으로 계속 삼으실 예정이시라면,

한 번쯤은 이 표준들을 제목 또는 목차라도 훑어보는 시간을 내실 것을 권해드립니다.

(저도 Re-View 중입니다)


KISA는 ISMS라는 훌륭한 국산 제도로 외산을 대체/방어해 온 공이 큽니다.

(KISA ISMS를 취득했음에도 외국 수출 시 Buyer에게 ISO27001 인증서를 요구받는 기업들의 이중부담은 일부 사례로 미뤄 두고요)


이제는 현행 여러 제도들(ISMS+p, 정보보호등급제, Cloud보안인증제) 이외에

더 넓고 깊고 방대한 ISO/IEC 표준들을 참조하여 OT(제어)보안과 PT(제품)보안을 위한 기준을 제공해주면 참 좋겠습니다.


어쩌면, 그런 작업은 KISA의 범위를 벗어나는지도 모르겠네요.

그렇다면,

ISO28000을 KISA ISMS와 결합시켜서 독창적인 KS인증규격으로 만들어보는 시도는 어떨까 싶습니다.

keyword
AService 직업 컨설턴트 프로필

정보보호/보안 분야에서 20 여년 간 쌓은 경험을 토대로, 같은 분야 종사하시는 분들에게 시행착오 예방을 돕고자 하는 마음으로 저의 소견을 담은 글을 게시하겠습니다. -함지수

구독자 19
작가의 이전글'정보'를 보호하는 '정보보호'를 위하여