AService

글 게시 Site를 이전했습니다. - http://Blog.iSMS.Support

2023-05-20T04:23:16Z

아래의 이유로 인해, Site를 이전했습니다. 다국 언어 번역 기능 부착 필요 이 Brunch Service에서 제공하는 기능의 제약 현 한국 정부 Management System 관련 글 게시 관련 안정성 확보 이전한 Site 주소입니다. http://Blog.iSMS.Support 글 각각의 URL이1:1 Mapping되지는 않지만, 기존의 모든 글

Cyber Security ≠ 정보 보호 - CyberSecurity를 위한 관리체계/통제지침 정비 필요성

2023-07-02T18:02:31Z

일전에 ISMS와 CSMS의 간략한 비교 글과 ISO/IEC JTC1 SC27이 Information Security 중심임을 분석한 글에 이어서 이번에는 ISO표준체계 속에서의 ISMS와 CSMS를 살짝 더 들여다보면서 현재시점의 ISO27001&ISO27002가 CyberSecurity영역을 포괄할만한 상태인지 판별해 보겠습니다. CyberSecuri

ISO표준 '보안관리'의 중심, SC27 WG1 - ISMS = '보안관리' for information area only!

2023-08-25T23:10:51Z

ISO/IEC JTC1 산하의 SCs 중 그 이름에 'Security' word가 유일하게 들어간 SC27 및 WG1을 관리체계(Management System)의 관점에서 살짝 더 살펴보겠습니다. 모든 면에서 완벽할 듯한 ISO도 시점에 따라서는 약간이라도 교정 소지가 보입니다. 이 글을 이해하시려면, 앞서 게시한 글들을 먼저 읽어주셔요 '보안'의 대

ISO '보안' 표준 및 위원회 분류 - 우물 안에서 개구리가 올려다보는 하늘의 넓이

2023-07-02T18:02:31Z

보안/정보보호 관련 직종에 종사하시는 분들은 거의 입문 시절부터 ISO27001이라는 제목의 표준을 들어보셨고, 실제로 실무에 준용도 하셨을 텐데요. 국제적 표준들이 얼마나 방대한지, 그중에서도 보안에 관련 됨직한 표준들이 얼마나 많은지 살펴보겠습니다. (표준의 정의, 표준화의 의미, 표준 준수의 이익이나 당위성 등은 이 글에서는 굳이 서술하지 않습니다.

'정보'를 보호하는 '정보보호'를 위하여 - '정보'에 관심이 없는 ISMS 인증이라니?

2023-03-08T14:06:44Z

ISMS. 단어 배열 그대로 "정보를 보호하는 관리체계"입니다. ISMS가 '정보'를 보호하는 활동이므로, 이를 위해서는 '정보'를 향하는 관리활동이 최우선임을 전 세계 많은 전문가분들이 오래전부터 여러 방편으로 주장해 오셨습니다. 필자도 미미하게나마 그런 노력을 해 왔고요. 확실한 증적이 남아있는 것들로는 :: ISMS 담당 기관에 방문 설명 및 자료

'보안' 관련 관리체계들의 영역/관계 - 정보보호관리체계 하나로 충분한가?

2023-03-17T02:55:37Z

일전에 보안 관리를 위한 표준에 관한 글과 표준 '관리체계'에 관한 글도 몇 줄 게시했었는데요, 이번에는 그 표준들 간의 Hierarchy 및 Priority에 관한 글입니다. 보안에 인접한 영역을 선별하여, 그에 대응하는 ISO 관리체계표준들이 있는 것들만 추렸고, 위상(우선순위)을 매겨봤습니다. 01. 비즈니스 연속성 02. 규정 준수 03. 인적 자

국제표준(IS) to 국가표준(KS) - 번역(부합화)에 관하여

2023-03-28T01:36:06Z

ISO 표준의 작성 작업은 우리나라도 활발하게 참여 중이고, 전 세계 대략 10위 규모의 분담금도 매년 납부해 왔습니다. 또한 우리나라 주도의 초안들이 국제표준으로 등재되는 경우도 있는데, ITU-T X.1058과 ISO/IEC 29151을 거쳐서 ISO/IEC 27701로 자리 잡은 privacy information management 표준이 그 예

'ISMS' vs 'CSMS' - CS = "Cyber Security" or "Car Security"?

2023-06-05T23:18:19Z

'ISMS'는 잘 아시듯 "Information Security Management System"으로서, '정보'를 그 대상으로 하며, ISO2700* Series의 중심입니다. 'CSMS'는 무엇일까요? "Cyber Security Management System"으로 많이 알려졌는데, 오직 자동차만을 그 대상으로 하며, ISO/SAE21434 등에서

정보 ≒ 문서File+DB+Traffic +Signal - 정보보호의 대상은? 정보. (실무적으로는 정보가 담긴 Media)

2023-03-15T22:55:06Z

앞에 게시한 글 내용 대로 보안에서 관리해야 하는 대상은 '자산'이고, 정보보호(Information Security)는 '정보(information)'를 '보호(Protection≒Security)'하는 관리활동입니다. 정보자산(Information Asset)이라는 용어는 주로 Primary Asset과, Supporting Asset 중 IT장비들을

'보안'의 대상 = '자산' - 정보보호의 대상은? '정보'!

2023-02-21T00:26:29Z

'보안'의 대상은 무엇들일까요? 하나의 단어로 표현하자면, '자산'입니다. 영어로는 'Asset'이겠지요. '자산' 정의와 식별 범위에 관한 ISO표준 중 ISMS 분야에서는 ISO/IEC27005:2022 AnnexA.2.2에 2가지로 서술되어 있습니다. — primary/business assets - information or processes of

표준 '관리체계'에 담긴 의미 - 기업 내 관리체계의 통합을 위한 기반

2023-02-20T06:16:23Z

품질-관리체계 환경-관리체계 보안-관리체계 (기존 정보보호-관리체계를 교체) ... 이들 모든 *MS의 뒤 두 단어 "Management System"에 관한 소견입니다. ISO/IEC27000:2018 3.41에서 이렇게 정의합니다. "set of interrelated or interacting elements of an organization to

Production(생산물품)을 위한 보안관리 필요성 - (통합)보안관리 표준 ISO28000의 범위에 관한 소견

2023-02-27T22:46:09Z

(앞의 통합적 보안관리에 관한 글 중 PT보안에 관련해서, 제가 2년 전에 공개했던 것을 Update합니다) 이제까지 기업에서의 보안 관리 업무는 주로 해당 조직의 내부만을 향하고 있어 왔지요. 자기 소유의 자산들만을 보호의 대상으로 여겼다는 뜻입니다. ISO27001, KISA ISMS 1.*.* 모두 다 그렇습니다. IT보안 부문의 실행지침을 자세하

(통합)기업보안 ≒ IT보안 + OT보안 + PT보안 - 보안관리 표준 ISO28000의 활용에 관한 소견

2023-02-16T02:33:33Z

저는 기업에서의 보안활동은 IT보안 + OT보안 + PT보안 세 가지로 나눌 수 있다고 봅니다. IT: Information Technology OT: Operational Technology PT: Production(Manufacturing) Technology IT보안은 실질적으로 정보보호와 동일한 용어로 여깁니다 ISO/IEC SC27의 Web

'보안' vs '보호' 단어 선택의 관행적 기준 - 정보보호? 정보보안? 기술보호?...

2023-02-20T06:13:08Z

어떤 경우에 '보안'이라 하고, 어떤 경우에 '보호'라는 단어를 더 많이 택하는지 대략의 규칙성을 2021년 초에 찾아서 정리해 봤었는데, 현재까지 별다른 이견은 듣지 못했습니다. 1. 총괄적인 범위 또는 특정 Container를 지칭할 때 : '보안' 2. 특정 범위의 Contents로 한정해서는 : '보호' 3. 운영 활동에는 : '보안' 단어 자체

'**보안' 유사 용어 선택과 그 영역 범위 - 보안,기업보안,산업보안,정보보호,영업비밀보호,기술보호,개인정보보호,...

2023-02-20T05:11:05Z

보안,기업보안,산업보안,정보보호,영업비밀보호,기술보호,개인정보보호, 스마트공장보안, 설비보안, 운영보안, 제품보안,ICS/SCADA보안,... 앞에 게시한 글에서 정보보호와 보안을 구분 지어봤읍니다만, 그것들과 유사한 용어들이 꽤 많지요. 아래는 제가 2021년 초에 이 용어들 간의 종속성을 특정 기업의 시점에서 표시해 본 Diagram입니다. 최근 주목

"보안 관리"를 위한 표준 - "정보보호관리" ⊂ "보안관리"

2023-03-12T06:01:56Z

ISO/IEC27001(이하 ISO27001로 약칭)나 그 유사기준인 KISA ISMS 1.*.*는 Information Security Management System (주로 '정보보호관리체계' 또는 '정보보안경영시스템'으로 번역)의 Requirement 기준으로서, 그 이름처럼 당연히 '정보'를 핵심 보호대상(Primary Asset)으로 합니다. 필

글 게시를 시작하며... - 의도, 내용, 계획, 방향...

2023-02-16T02:29:37Z

'보안'이라는 영역은 어느 나라 어느 시대든지 거북하고, 편치 않고, 마찰을 유발하는 운명적 특성을 지닙니다. 그런 업종에서 저는 1995년 모 그룹이 처음 보안 관련 부서를 창설하던 때를 시점으로 현재까지 대기업 및 여러 벤처기업 소속 임직원 또는 산업현장교수, 기술보호전문가, 감리원, 심사원 등 개인 신분으로 많은 업무와 식견을 쌓아 왔고, 현재도 지