일반적 경영 시스템에서 위험관리가 포함되는 의미로 개정 예상

[보안뉴스 김정완] 정보보호를 위한 경영시스템(ISMS)을 구비토록 하는 인증인 ISO/IEC 27001이 현재 표준 개정 작업이 진행 중이며, 2012년 안에 개정된 표준이 공표될 것으로 전망된다.

이는 IT 정보보호 및 보안에 관한 국제표준 제정 활동을 하는 국제기구인 ISO/IEC JTC1 SC27에서 ISO/IEC 27000, 27001, 27002, 27003, 27005 등에서 중복되거나 상충되는 부분을 줄이도록 하는 내부적인 요구에 의한 것이다.

기존 ISO 27001은 ‘정보보호’를 위한 관리 시스템으로서의 의미가 컸다면, 현재 개정중인 ISO 27001은 일반적인 경영 시스템에서 위험관리가 포함되는 의미로 변경될 것으로 예상된다.

결과적으로 개정중인 ISO 27001 내의 ‘6.1 위험 및 기회에 대처하는 활동’에서의 위험은 정보보호 위험평가나 처리가 아닌 경영 시스템에 대한 위험을 의미하는 것이며, 이러한 개념은 ‘8.2 정보보호 위험평가’, ‘8.3 정보보호 위험처리’에서 다루고 있다.

 

▲개정 중인 ISO 27001과 기존 ISO 27001의 비교표[출처 : 한국인터넷진흥원(KISA) 개인정보보호단 보안관리팀].

 

한편, 1999년에 제정된 BS 7799는 2002년 BSI에 의해 개정되면서 업무를 원활하게 수행하고 확실한 성과를 올리기 위한 매니지먼트 기법인 ‘PDCA 사이클 프로세스’ 개념을 명시적으로 도입했다.

 

이후,  2005년에 BS 7799 Part2(정보보안 관리시스템에 대한 규격, ISMS)가 ISO/IEC 27001로 채택돼 오늘에 이르고 있다. BS 7799 Part1은 정보보안 관리에 대한 실행지침이다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>