brunch

You can make anything
by writing

C.S.Lewis

by AService Feb 10. 2023

표준 '관리체계'에 담긴 의미

기업 내 관리체계의 통합을 위한 기반

품질-관리체계

환경-관리체계

보안-관리체계 (기존 정보보호-관리체계를 교체)

...

이들 모든 *MS의 뒤 두 단어

"Management System"에 관한 소견입니다.


ISO/IEC27000:2018 3.41에서 이렇게 정의합니다.

"set of interrelated or interacting elements of an organization to establish policies and objectives and processes to achieve those objectives"


KS X ISO/IEC 27000:2018 2.42에는

"어떤 조직이 자신의 목적을 달성하기 위한 가이드라인, 정책, 절차, 프로세스 및 이와 관련된 자원의 기본 틀"이라고 정의했습니다.


ISO는 2012년에

HLS라는 이름의 Management System의 공통 규격(framework)을 개발하여,

모든 ISO의 관리체계 표준들에 적용해 왔습니다.

• 공통의 상위의 조문구조 (unified High Level Structure: HLS)

• 표준화된 핵심적인 문장 (identical core text)

• 공통의 핵심적인 정의 (common core terms and definitions)

조직 내 여러 (품질, 환경, 자산, IT Service, 사업연속성, 보안/정보보호 등) 기업의 많은 관리활동에 공통의 Framework 적용을 위한 기반이 아주 잘 만들어져 있다는 뜻입니다.

물론 이 HLS구조는 2014년부터 KS국가표준들에도 적용되어 왔습니다.

(일부의 편집도 없는 단순한 전체 번역이거든요)


현재는 이 HLS가 Harmonized Structure라는 이름의 구조로 개량되었고

ISO27001은 물론

우리의 새 희망 ISO28000에도 이미 적용되어 있습니다.


필자의 백수십여 기업 방문 경험을 기억해 보면

ISO9001 품질인증은 대부분 있었고,

ISO27001 ISMS인증을 취득한 곳도 자주 있었습니다.

KISA ISMS인증 신청 또는 갱신을 위한 방문도 잦았습니다.


그런데,

(품질과 보안) 두 관리체계를

최소한으로라도 연동/통합한 곳은 거의 없었습니다.

관련 정책서, 서식, 관리담당, 인증범위(부서)등이 완전히 별개였습니다.


제가 참여했던 ISMS 심사 중,

관리체계 검토를 위해서

기업의 담당자분에게 사규집을 요청하면

대체 그런 것을 왜 보려 드냐는

심사팀장 역할자의 불만 섞인 핀잔을 여러 번 들어왔습니다.


ISMS의 시야각에서는

오로지

"정보보호규정"이 최상위의 유일한 정책으로 보여집니다.


취업규칙/인사지침/문서관리지침 등

기업의 기본적인 정책서의 검토는

(정보보호)관리체계 심사에 필수적이라는 것이

당시와 현재 저의 생각입니다.

게다가 품질관리같이 보안과 매우 밀접한 관리체계와의 연동/통합은, 해당 관리체계 본연의 취지만큼이나 중요합니다.


최소한,

(힘있는) 인사부서 관할의 기존 인적보안지침과

(힘없는) IT부서에서 새로 만든 ISMS정책서 중 유사 지침이 병존하는 상황은

없어야겠습니다.


보안/정보보호 분야에서

컨설팅, 심사, 감리 등을 업으로 하시는 모든 분들은

최소한,

정보보호/기술보호/영업비밀보호/개인정보보호/산업기술보호/스마트공장보안 등 만이라도

(통합)보안관리체계로 일원화해야 한다는 생각에 동의하시리라 믿습니다.


중소기업들에서

보안 인증서 챙기려다가 본연의 업무에 방해를 받는다는 불평이

무엇에서 비롯되는지 자성이 필요합니다.


현행 ISMS 인증제도들이

그 이름 자체의 취지처럼

진정으로 "Management System"을 심사하는 것인지,

"대외 서비스를 가동하는 정보시스템의 기술적 보안 설정 상태 점검" 위주인지

PDCA Cycle을 스스로에게 적용해봐야 한다고 생각합니다.


위 글 역시 약 2년 전에 게시했던 것을 Update 했습니다

작가의 이전글 Production(생산물품)을 위한 보안관리 필요성
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari