ISO '보안' 표준 및 위원회 분류
우물 안에서 개구리가 올려다보는 하늘의 넓이
보안/정보보호 관련 직종에 종사하시는 분들은
거의 입문 시절부터 ISO27001이라는
제목의 표준을 들어보셨고, 실제로 실무에 준용도 하셨을 텐데요.
그중에서도 보안에 관련 됨직한 표준들이 얼마나 많은지 살펴보겠습니다.
ISO 표준에는
우리가 익히 잘 아는 ISO9001, ISO14001, ISO27001 등을 포함하여
24610종(2022년 12월말 현재)의 표준/기준 문서들이 있고, 계속 갱신 중입니다.
그 표준들은 ICS국제표준분류(International Classification for Standards)라는
저는 그 중 아래의 것들이 보안에 관련이 크겠다고 보았습니다.
03 Services. Company organization,
management and quality. Administration. Transport. Sociology
13 Environment. Health protection. Safety
33 Telecommunications. Audio and video engineering
35 Information technology
위 첫 계층 중 35에서 2단계 분류는 아래와 같고,
35.020 Information
technology (IT) in general
35.030 IT Security (Including encryption)
35.040 Information coding
35.060 Languages used in information technology
35.080 Software
35.100 Open systems interconnection (OSI)
35.110 Networking
35.180 IT terminal and other peripheral equipment
35.200 Interface and interconnection equipment
35.210 Cloud computing
35.220 Data storage devices
35.240 Applications of information technology
35.260 Office machines
우리의 ISO27001은
두 개의 ICS에 속해있는데,
35.030 IT Security
03.100.70 Management systems
입니다.
ISO 기수 산하에 258개에
달하는 기술위원회 TC(Technical
Committee)가 각자 관할의 표준들을 담당합니다. (2023년 03월 시점)
TC와 같은 계층에서
PC(Project Committee)가 자리하기도 하고,
TC 중 보안에 관련이 큰 것들을 아래에 나열합니다.
ISO/IEC JTC
1 Information technology
ISO/TC 46 Information and documentation
ISO/TC 154 Processes, data elements and documents in commerce, industry and administration
ISO/TC 171 Document management applications
ISO/TC 176 Quality management and quality assurance
ISO/TC 184 Automation systems and integration
ISO/TC 207 Environmental management
ISO/TC 260 Human resource management
ISO/TC 262 Risk management
ISO/TC 283 Occupational health and safety management
ISO/TC 286 Collaborative business relationship management
ISO/TC 292 Security and resilience
ISO/TC 309 Governance of organizations
ISO/PC 317 Consumer protection: privacy by design for consumer goods and services
ISO/TC 321 Transaction assurance in E-commerce
ISO/TC 332 Security equipment for financial institutions and commercial organizations
위에서 언급된 JTC1 은 ISO와 IEC 두 기구의 협력으로 1987년 시작된 공동기술협의회(Joint Task Committee)로서,
이 JTC에는 22개의 SubCommittee가 있고, 그 중에 보안 관련을 추려보면 아래의 것들입니다.
SC
6 Telecommunications and information
exchange between systems
SC 7 Software and systems engineering
SC 17 Cards and security devices for personal identification
SC 27 Information security, cybersecurity and privacy protection
SC 37 Biometrics
SC 38 Cloud Computing and Distributed Platforms
SC 39 Sustainability, IT & Data Centres
SC 40 IT Service Management and IT Governance
SC27은 다시
5개의 Working Group으로
나뉘어 노력 중이십니다.
WG 1 – Information security management
systems
WG 2 – Cryptography and Security Mechanisms
WG 3 – Security Evaluation, Testing and Specification
WG 4 – Security Controls and Services
WG 5 – Identity Management and Privacy Technologies
그중에서도 보안에 관련 됨직한 표준들이 얼마나 많은지 살펴보겠습니다.
우리가 익히 잘 아는 ISO9001, ISO14001, ISO27001 등을 포함하여
24610종(2022년 12월말 현재)의 표준/기준 문서들이 있고, 계속 갱신 중입니다.
저는 그 중 아래의 것들이 보안에 관련이 크겠다고 보았습니다.
13 Environment. Health protection. Safety
33 Telecommunications. Audio and video engineering
35 Information technology
35.030 IT Security (Including encryption)
35.040 Information coding
35.060 Languages used in information technology
35.080 Software
35.100 Open systems interconnection (OSI)
35.110 Networking
35.180 IT terminal and other peripheral equipment
35.200 Interface and interconnection equipment
35.210 Cloud computing
35.220 Data storage devices
35.240 Applications of information technology
35.260 Office machines
35.030 IT Security
03.100.70 Management systems
입니다.
ISO/TC 46 Information and documentation
ISO/TC 154 Processes, data elements and documents in commerce, industry and administration
ISO/TC 171 Document management applications
ISO/TC 176 Quality management and quality assurance
ISO/TC 184 Automation systems and integration
ISO/TC 207 Environmental management
ISO/TC 260 Human resource management
ISO/TC 262 Risk management
ISO/TC 283 Occupational health and safety management
ISO/TC 286 Collaborative business relationship management
ISO/TC 292 Security and resilience
ISO/TC 309 Governance of organizations
ISO/PC 317 Consumer protection: privacy by design for consumer goods and services
ISO/TC 321 Transaction assurance in E-commerce
ISO/TC 332 Security equipment for financial institutions and commercial organizations
SC 7 Software and systems engineering
SC 17 Cards and security devices for personal identification
SC 27 Information security, cybersecurity and privacy protection
SC 37 Biometrics
SC 38 Cloud Computing and Distributed Platforms
SC 39 Sustainability, IT & Data Centres
SC 40 IT Service Management and IT Governance
WG 2 – Cryptography and Security Mechanisms
WG 3 – Security Evaluation, Testing and Specification
WG 4 – Security Controls and Services
WG 5 – Identity Management and Privacy Technologies
이렇듯, 우리의 ISO27001(및 그 부속)은
위 계통조직 중에서,
"ISO아래의 JTC1아래의 SC27아래의 WG1"에서 관할하는 수많은 표준 중의 극히 일부입니다.
따라서,
마치 우물 안 개구리의 시야각입니다.
JTC1 이외에 다른 TC에서도
보안에 관한 여러 표준들을 생산하고 있기 때문에
기업의 보안분야 종사자라면 아래 TC 및 그 관할 표준들 그 존재만이라도 반드시 알아 두셔야 합니다.
ISO/TC 262 Risk
management
ISO/TC 292 Security and resilience
ISO/TC 309 Governance of organizations
보안 직종을 업으로 계속 삼으실 예정이시라면,
KISA는 ISMS라는
훌륭한 국산 제도로 외산을 대체/방어해 온 공이 큽니다.
이제는 현행 여러 제도들(ISMS+p, 정보보호등급제, Cloud보안인증제) 이외에
더 넓고 깊고 방대한 ISO/IEC 표준들을 참조하여 OT(제어)보안과 PT(제품)보안을 위한 기준을 제공해주면 참 좋겠습니다.
어쩌면, 그런 작업은 KISA의
범위를 벗어나는지도 모르겠네요.
"ISO아래의 JTC1아래의 SC27아래의 WG1"에서 관할하는 수많은 표준 중의 극히 일부입니다.
마치 우물 안 개구리의 시야각입니다.
기업의 보안분야 종사자라면 아래 TC 및 그 관할 표준들 그 존재만이라도 반드시 알아 두셔야 합니다.
ISO/TC 292 Security and resilience
ISO/TC 309 Governance of organizations
더 넓고 깊고 방대한 ISO/IEC 표준들을 참조하여 OT(제어)보안과 PT(제품)보안을 위한 기준을 제공해주면 참 좋겠습니다.