ISO PDCA와 분류체계에 관한 소견
ISO27001과
ISO27002는
잘 아시다시피
2022년에 개정 게시된
"정보" 보호에 관한 국제적 표준입니다.
이 중에 ISO27002가 먼저 개정되었고,
이어서 ISO27001 본문과 목차가 약간 변경되면서
ISO27002 통제목록이 Annex로 포함되었습니다.
27002의 개졍내역을 보면,
본문 구조가 아주 크게 바뀌었습니다.
2013년판의
5~18 : 14 Domains, 114 Controls의 3계층에서
2022년판에서는
5~08 : 04 Domains, 093 Controls의 2계층으로 재 배열되었습니다.
단순해진 이 분류가 처음에는 반가웠는데,
막상 실무에 이용하려다보니
특정 영역의 업무에 해당하는 통제를 찾기가 어려워서
예전에 Consulting 수행시에 만들어서 적용하던
저만의 계층분류 기준을 적용해 봤습니다.
or
분류 기준은 아래와 같이
Level 1에서 7개 영역, 3개 계층으로 세분했습니다.
1S : System체계 : P06계획+P07지원+P08운영+P09평가+P10개선
2P : Policy정책 : P04상황+P05경영+p05정책+p18준거
3O : Organization조직 : p06조직+p07인적+p15공급
4A : Asset자산 : p08자산_문서+비밀+재산+연구
5E : Equipment장비 : p09접근+p11물리+p12운영+p13통신
6C : Construction구현 : p10암호+p14개발
7R : Reaction대응 : p16사고+p17연속
우측에서
대문자'P'는 Policy(상위규정. 27001에 대응)
소문자'p'는 practice(실무지침. 27002에 대응)이고,
각 숫자는 해당 표준의 Chapter를 뜻합니다.
물론, 이런 Frame이 맞다는 주장까지는 아니고,
Consulting 경험상,
이런 방식으로 ISO 표준을 응용해도 괜찮았다는 뜻입니다.
실은 이 계층분류는
27002 2013년도판을 위해서 처음 저 혼자 구상했던 것이고
27002 개정작업이 진행중이던 2021년 초무렵에
어느 고마운 지인분의 귀띔을
소개해 드리면서 공개했던 기준입니다.
이 기준을 KISA ISMS에 대입해 보면,
흥미있는 결과가 나옵니다.
ISO27001은 당연스럽게
PDCA (계획/실행/평가/개선)이
동일 영역 내에서 매끄럽게 식별되지만,
KISA ISMS에 이 분류 기준을 적용해 보면,
'1.관리체계' (27001:규격) 영역에 있음직한 항목 몇 개가
'2.보호대책' (27002:지침) 영역에 있는것으로 여겨지고,
그 반대 배치가 더 적합해보이는 항목들도 있습니다.
KISA ISMS의
'1.관리체계'를
(27001:규격) 영역,
'2.보호대책'과 '3.개인정보'를
(27002:지침) 영역으로 이해하고
대응시켜 본 결과입니다
물론,
저의 분류방식이 더 낫다는 주장은 아니고,
이후에
'보안'에 관한 통합적인 표준을 구상하려면,
먼저 계층단계와 분류부터
더 면밀하게 챙겨야 할것 같다는 소견입니다.
계층분류를 잘 만든 후에야
그 이하 요건목록에서
무엇이 빠졌는지/중복되었는지
균등하게 분포/배열되었는지 등을
잘 알수 있지 않겠습니까?
그리고,..
iSMS에서 취급하는 'Asset'의 Scope를
기존의
"Ownership이 나에게 있는,
나의 "정보 및 연관자산" 뿐 아니라,
수집한 고객의 개인정보를 포함하는 관점으로
KISA의 '3.개인정보보호' 항목들을 모두 재배열해봤습니다.
'개인정보'도 '정보'의 일부임에 분명하니까요.
https://ReArranged.KISA.iSMS.Support
저는 '보안'의 대상을
외부에서 B2B로 제공/수탁/공유받은 정보자산,
생산하는 제품과 서비스,
기계/시스템 간의 시그널,
수집한 고객의 개인정보 등
모든 영역을 포괄하도록 그 범위를 확장해야 한다고 봅니다.
참고로,
(이 ISO27002 표준의 한글 번역본을 기다리는 수요는 제 주위에서는 보이지 않고,
이미 정식구매 또는 "어둠의 경로"로 구해서
실무와 컨설팅에 이용하고 계시던데,
KS 공식 번역본이 최근에 완성되어,
KS 표준 채택 검토 과정을 거치고 있다는 소식이 있습니다.