TTA 간행물 - ICT Standard Weekly

> 표준화 참여 > TTA간행물 > ICT Standard Weekly

기술표준이슈

다운로드 (2005-44호)
트위터 페이스북 미투데이

[정보보호] 정보보호관리시스템 국제표준체계(ISO 27000 시리즈) 모습 나타나

정보보호관리시스템(Information Security Management System: ISMS)이란 조직의 전반적인 관리시스템의 일부로서 비즈니스 위험에 기반하여 정보보호를 계획, 구현, 운영, 검토 및 개선시키기 위해 조직체계 및 정책, 정보보호 프로세스 및 절차, 정보보호통제 등으로 구성된 관리체계이다. 최근 전세계적으로 ISMS에 대한 인증 노력이 빠르게 확산되고 있으며 국내에서도 BS7799에 근거한 ISMS 인증 획득이 30건을 넘어섰을 정도이다. 이러한 현실에서 2005년은 ISMS국제표준화에 관해서 전기를 마련한 해라고 할 수 있다. ISMS 수립을 위한 두 가지 중요한 문서가 국제표준화에 성공하였기 때문이다. 첫 번째 문서는 ISMS수립을 위한 요구사항을 포함한 문서이며 2005년 11월 말에IS 27001 (ISMS Requirements)으로 출판될 예정이다. 두 번째 문서는 ISMS 구현을 위한 기초적인 통제수단을 수록한 IS 17799: 2000 문서이며, 2002년부터 해당 문서에 대한 개정 작업이 오랜 산고 끝에 드디어 완료되어 2005년 11월 말에 IS 17799:2005으로 발표될 예정이다.

 

두 표준의 기본 문서는 지금까지 ISMS의 사실표준(de facto standard) 역할을 해온 영국표준 BS 7799이다. BS 7799는 영국 BSI(British Standard Institute)에서 정보보호 관리를 위한 표준화된 실무 규약(code of practice for information security management)으로서 1995년 처음 개발되었다. 1998년에는 이 기준에 따른 인증 요건(requirements specification)을 개발하여 본래의 표준인 실무 규약은 Part 1으로, 인증 요건은 Part 2로 만들어졌다. Part 1은 정보보호관리를 위한 통제수단들을 수록한 문서이며 Part 2는 ISMS수립을 위한 요구사항을 명시하고 있으며, 위험관리 기반의 지속적 개선을 위한 정보보호 프로세스(Plan Do Check Act Cycle)를 기술하고 있다.

 

2000년에는 Part 1이 ISO/IEC JTC 1/SC27 WG1을 통하여 IS 17799로 제정되었으며, 그 이후 17799의 개정 작업에 들어가 2000여건이 넘는 코멘트의 검토를 거쳐 최종 개정안이 마련되었으며 2005년 11월에 새로운 국제표준으로 등록되었다. IS 17799: 2000에서는 10개의 관리 통제 영역과 126개의 통제 항목을 제공하는데 반해 2005년 개정된 IS 17799는 11개의 관리 통제 영역과 132개의 통제 항목을 제공하고 있다. <그림 1>은 변화된 통제 영역과 통제 항목을 요약하였다.

 

<그림 1> ISO 17799의 통제 영역과 항목 변경 요약

   

한편, BS 7799 Part 2는 1999년 처음 제정되어 ISMS인증을 위한 규격으로 사용되었고 ISO 9001 및 ISO 14001 등의 다른 관리시스템 규격과의 조화를 위하여 2002년 9월 개정되었다. ISO는 ISMS에 대한 국제표준화 요구에 대응하여 BS 7799 Part 2: 2002년 버전을 fast track 방식을 채택하여 빠른 기간 내에 약간의 수정을 거쳐 국제표준(ISO 27001)으로서 등록하였다.  주요 변화로는 ISMS에 대한 효과성에 대한 내용이 추가되었으며 부록의 내용이 상당부분 변경되었다.

 

ISMS관련 중요한 두 문서가 국제표준화 과정이 완료됨에 따라, ISMS 국제표준 패밀리가 모습을 보이고 있다. 우선 다른 관리시스템(품질경영: 9000 시리즈, 환경관리: 14000 시리즈)과 마찬가지로 27000 번호체계를 가지기로 하였다. 따라서 ISMS 수립을 위한 요구사항을 구체화한 IS 27001(BS 7799 part 2: 2002 수정판), ISMS 구현을 위한 기본통제를 포함한 IS 17799:2005가 2007년도경에 IS 27002로 번호를 달리할 것이다. 현재 JTC1 SC27에서 작업 중인 위험관리지침, 정보보호관리 척도 및 측정, ISMS 구현지침 등이 차례로 27000대 번호를 가지고 개발될 것이다. 또한 재해복구 서비스에 관한 지침도 추가될 예정이다. <그림 2>는 향후 개발될 ISMS 관련 표준들을 보여주고 있다.

 

이렇듯 두 문서가 국제표준화 됨에 따라 다른 관련 표준화 작업도 빠른 속도로 완성될 예정이며, ISMS 인증 활동 역시 탄력을 받을 것으로 예상된다. 또한 일반적인 조직의 공통적인 ISMS를 기반으로 특정 산업에 적합한 ISMS 표준이나 지침 개발이 예상된다. 대표적인 예로서 통신산업의 특성을 반영한 ISMS 지침 개발 노력 움직임이 그것이다.

 

<그림 2> 정보보호관리시스템 국제표준 패밀리

 

ITU-T SG17에서는 통신보안 표준 개발을 하고 있으며 이중 Q7은 보안관리(security management)에 관한 표준화를 진행하고 있다. Q7의 주요 활동은 통신산업의 ISMS에 관한 표준화로서 X.1051(ISMS-T)이라는 문서를 작업 중에 있다. 지난 2005년 10월 제네바에서 열린 회의에서는 과거의 ISMS 요구사항을 명시한 X.1051(BS 7799-2 기반) 내용을 IS 17799:2005를 기반으로 통신산업의 특성을 반영한 통제를 포함하는 지침으로 변경할 것으로 결정하였으며 향후 2년 내에 완료될 것으로 예상된다. 이 회의의 주요 참여자로는 일본과 한국이기 때문에 국내 주요 통신 사업자들의 ISMS 경험을 반영함으로써, 실효성 있는 ISMS-T 국제표준화 노력에 국내에서의 적극적 참여가 요구되고 있다.    

김정덕 (중앙대학교 정보시스템학과 교수, jdkimsac@cau.ac.kr)

* 본 글은 저자의 의견일 뿐 TTA 기관의 입장과는 무관합니다.