검색결과
-
[아랍에미리트] 두바이 전기수도청(DEWA), ISO/IEC 27001:2013 인증 획득두바이에서 전기와 수도 공급을 책임지고 있는 전기수도청(Dubai Electricity and Water Authority, DEWA)에 따르면 ISO/IEC 27001:2013 인증을 획득했다.2010년 ISO 27001:2005 최초 인증을 시작으로 2014년 인증을 갱신했다. 이후 2018년 모든 부문, 부서, 운영을 포함하도록 인증 표준의 적용 범위를 확장했다. 이로 ISO 27001:2013 인증을 획득하는데 도움이 됐다.ISO/IEC 27001:2013 인증은 정보보안 경영 시스템(Information Security Management System, ISMS)에서 세계 최고의 국제 표준이다. 인증은 영국표준기구(British Standards Institution, BSI)의 엄격한 평가와 감사 절차를 통해 수행됐다. DEWA는 정보보안시스템에서 최고의 지역 및 국제적으로 유명한 조직과 협력해 다양한 보안 문제를 다루고 있다. 최신 보안솔루션을 도입하기 위해 노력 중이다.DEWA가 높은 기준에 맞춰 전기 및 수도 서비스를 지속적으로 제공하는 세계에서 가장 우수하고 선구적인 시설 중 하나를 유지하는 비결이다.정보 보안 및 애자일 거버넌스(Agile governance) 분야에 최고의 국제표준을 적용하는 선구자로서 전략적 계획, 운영, 서비스 품질에 영향을 끼칠 수 있는 모든 가능성과 위험을 연구하고 있다.애자일 거버넌스(Agile governance)는 문제에 집중함으로서 최상의 가치를 가져오는데 초점을 맞추고 있는 프로세스다. 거버넌스 프레임워크를 기반으로 전자 보안을 강화하기 위해 포괄적인 시스템을 적용하고 있다.거버넌스 프레임워크는 두바이 전자보안전략 국가사이버보안전략(Dubai Electronic Security Strategy and the National Cyber Security Strategy) 차원에서 지속적으로 개발됐다.DEWA는 두바이를 세계에서 가장 스마트하고 가장 행복한 도시로 전환하는데 전념하고 있다. 스마트 시티의 핵심 요소 중 하나인 정보 보안을 포함해 모든 분야에서 모범 사례가 되길 희망한다.
-
[보스니아 헤르체고비나] 표준화연구소(ISBIH), BAS ISO/IEC 27014:2022 표준 제2판 채택보스니아 헤르체고비나 표준화연구소(Institute for Standardization of Bosnia and Herzegovina, ISBIH)에 따르면 2022년 7월 15일 BAS ISO/IEC 27014:2022 제2판을 채택했다. BAS/TC 1 정보기술 기술위원회가 주도했다.BAS ISO/IEC 27014:2022 표준은 정보 보안, 사이버보안, 개인정보보호-정보보안 거버넌스에 관한 것이다. 이는 국제표준 ISO/IEC 27014: 2020 정보 보안, 사이버 보안, 개인정보보호-정보보안 거버넌스에 관한 영문 번역 버전이다.BAS ISO/IEC 27014:2022는 조직이 조직 내 정보 보안 관련 프로세스를 평가, 지시, 모니터링 및 전달할 수 있는 정보 보안 거버넌스를 위한 개념, 목표, 프로세스에 대한 지침을 제공한다.대상은 관리 기구 및 최고 경영진, ISO/IEC 27001에 기반한 정보보안관리시스템(information security management system, ISMS)의 평가, 지시, 모니터링을 담당하는 사람이다.또한 ISO/IEC 27001에 기반한 ISMS의 범위 밖에서 수행되지만 거버넌스 범위 내에서 이뤄지는 정보보안 관리를 책임지고 있는 사람도 포함된다.이 문서는 모든 유형의 조직 및 규모에 적용된다. 따라서 ISMS에 대한 모든 참조는 ISO/IEC 27001을 기반한 ISMS에 적용된다. 부록 B에 제시된 3가지 유형의 ISMS 조직에 초점을 맞추고 있으며 다른 형태의 조직에도 적용될 수 있다. 표준의 원본은 ISO/IEC JTC 1 정보기술 기술위원회에서 작성됐으며 독일 국가 표준화 기구(DIN)가 사무국을 맡고 있다.
-
[캐나다] 미디아클립(Mediaclip), 국제표준화기구(ISO)로부터 ISO 27001 인증 받아캐나다 소프트웨어 개발업체인 미디아클립(Mediaclip)에 따르면 2022년 9월 12일 국제표준화기구(ISO)로부터 ISO 27001 인증을 받았다고 밝혔다.ISO 27001은 정보보호경영시스템 관련 표준이다. 인증을 받은 제품은 Mediaclip Designer, Mediaclip Hub Ecosystem이다.정보보호경영시스템은 기업이나 제품이 운영과 보안 측면에서 국제표준에 일치하는 통제, 프로토콜, 프로세스를 갖고 있는지 평가한다. 국제적으로 인정을 받는 사이버보안 및 프레임워크에 관련된 표준이다.오랜 기간 동안 직원과 고객을 위한 최상의 보안 정책을 유지한 결과로 좋은 평가를 받은 것이다. 미디아클립은 위험을 축소하고 데이터 안전을 보호하며 보안 절차를 확장하기 위한 프로세스를 구축했다.특히 지난 2년 동안 자체적으로 거버넌스, 정책, 위험 관리, 기존 보안과 프라이버시 보호 강화 등을 고난이도의 기준에 충족시키기 위해 노력했다.최근 다양한 정보 침해 사고가 발생하면서 고객들은 기업을 선택하기 이전에 보안 검증을 요구한다. 따라서 미디아클립이 ISO 27001 인증을 받았기 때문에 최상의 보안 표준을 준수하고 있다는 것은 입증한 셈이다.참고로 미디어클립은 웹에서 프린트(web2print)와 주문형 프린트(POD) 산업을 위한 개인화된 제품 소프트웨어를 개발하는 회사다.
-
[스위스] 국제표준화기구(ISO), 정보 보안 및 사이버 보안, 프라이버시 보호 등 ISO/IEC 27400:2022 표준 발표스위스 제네바에 본부를 둔 국제표준화기구(International Organization for Standardization, ISO)에 따르면 국제전기표준회의(International Electronical Commission, IEC)와 공동으로 정보 보안 및 사이버 보안, 프라이버시 보호 등에 관한 ISO/IEC 27400:2022 표준을 발표했다.ISO/IEC 27400:2022 표준은 사이버보안-사물인터넷(IoT) 보안 및 개인정보 보호-지침 등에 관한 표준이다. IoT 보안 및 개인 정보 보호를 위한 위험, 원칙, 통제에 대한 지침을 제공한다.네트워크 연결 시 보안이 취약한 장치는 조직 전체에 위험을 초래한다. 취약한 암호 인증에서 버그가 넘쳐나는 취약한 소프트웨어까지 보안에 대한 우려는 매우 다양하다.따라서 ISO/IEC 27400:2022는 조직이 네트워크 전체에 연결된 모든 장치의 보안 문제를 해결하는데 도움이 된다.ISO/IEC 27400은 IoT 시스템이 고도로 분산돼 있고 다수의 다양한 실체를 수반하기 때문에 정보 보안을 위한 특별한 과제를 제시하고 있다.표준 문서의 보안 및 개인 정보 보호 통제는 IoT 시스템 환경의 이해 당사자를 위해 개발됐다. IoT 시스템 수명 주기 동안 각 IoT 이해 당사자에 의해 활용된다.개인정보보호 또는 개인 식별 가능 정보(personally identifiable information, PII) 보호는 일부 유형의 IoT 시스템의 중요한 관심사항이다.IoT 시스템이 PII를 취득하거나 사용하는 경우는 일반적으로 PII의 취득, 저장, 처리에 적용되는 법률과 규정이 있다.참고로 IoT는 '다른 디바이스와 시스템과 연결되거나 데이터를 교환하는 센서, 소프트웨어, 기타 기술과 같이 연결된 물리적 객채'로 정의된다. 통신을 위해 인터넷이나 기타 통신 네트워크를 활용한다.
-
[스위스] 국제표준화기구(ISO), ISO/IEC 27036 정보보안 및 사이버 보안, 개인정보보호 등 표준 개발스위스 제네바에 본부를 둔 국제표준화기구(ISO)에 따르면 ISO/IEC 27036 표준은 정보 보안 및 사이버 보안, 개인 정보 보호와 관련이 있는 IEC와 ISO 기술위원회에 의해 개발됐다.기업이 중요한 데이터를 저장하기 위해 클라우드 회사를 포함한 제품 및 서비스 구입 시 타사 공급업체에 의존하게 된다.따라서 ISO/IEC 27036은 사이버 보안의 관점에서 구매자와 공급업체 모두에게 위험을 초래할 수 있다고 지적한다. 조직 스스로 공급망 공격의 결과로부터 보호해야 된다.합의 기반 국제 표준은 최고의 사례를 근거로 하고 있다. 전 세계 전문가들의 통찰력은 신뢰할 수 있는 지침과 조언을 제공한다.이러한 과정을 통해 개발된 국제 표준은 공급망 전체에 걸쳐 조직들의 위험을 관리해야 되며 공급자와 취득자의 관계를 정의하고, 구현, 운영, 모니터링, 검토, 유지, 개선하기 위한 정보 보안 요구사항을 식별한다.ISO/IEC 27036:2022 표준은 ISO/IEC 27036-1, ISO/IEC 27036-2, ISO/IEC 27036-3, ISO/IEC 27036-4 등 4개의 파트로 구성돼 있다.첫째, ISO/IEC 27036-1은 사이버보안 - 공급업체 관계 - Part 1 : 개요 및 개념에 관한 표준이다. 둘째, ISO/IEC 27036-2는 사이버보안 - 공급업체 관계 - Part 2 : 요구사항에 관한 표준이다.셋째, ISO/IEC 27036-3은 정보기술 - 보안기술 - 공급업체 관계를 위한 정보보안 - Part 3 : 정보통신 기술 공급망 보안 지침에 관한 표준이다.넷째, ISO/IEC 27036-4는 정보기술 - 보안기술 - 공급업체 관계를 위한 정보보안 - Part 4 : 클라우드 서비스 보안 지침에 관한 표준이다.이중 파트 2 요구사항은 공급망 및 클라우드 서비스 보안을 포함한 공급업체 관계에 대한 포괄적인 지침을 함께 제공하고 있다.
-
[미국] 델퍼(Dellfer), 6월 자사의 ZeroDayGuard 플랫폼이 가장 높은 수준의 ISO 26262 인증받아미국 사이버보안 업체인 델퍼(Dellfer)에 따르면 2022년 6월 자사의 ZeroDayGuard 플랫폼이 가장 높은 수준의 ISO 26262 인증을 받았다고 밝혔다.가장 높은 단계는 자동 안전 통합 레벨 D(ASIL-D)를 말한다. 일반 기능 안전 관리, 시스템/하드웨어 기능적 안전 관리, 소프트웨어 기능적 안전 관리, FSM 감사 등에 관한 기능적 안전 시스템 감사를 성공적으로 완료한 이후, TÜV SÜD는 델퍼에게 Q4B 인증을 발급했다.보안 전문가들은 제로 데이 사이버공격부터 다른 위협으로부터 자동차의 사물인터넷(IoT) 연결 장치를 보호하는 솔루션을 개발했다.제로 데이 사이버공격은 컴퓨터 보안 담당자가 알기 전에 컴퓨터 보안 부문의 취약점을 이용하는 사이버공격을 말한다. 다양한 장치와 연결된 IoT 장치는 사이버공격의 매개체이다.자동차의 IoT 장치에 대한 공격과 관련된 위험은 자동차 안전에 심각한 위협을 제공한다. ISO 26262(Road Vehicles – Functional safety : 도로이용 차량 기능적 안전)는 차량의 전기전자장치에 대한 기능 안전성 관련 요구사항을 정의한 표준이다.참고로 델퍼는 다양한 장치 제조업체가 사이버 위협으로부터 보호받을 수 있도록 IoT 사이버보안 소프트웨어를 개발한다. IoT 장치가 성공적인 공격을 위한 숙주가 되는 것을 방지한다.
-
[미국] 연방고속도로국(FHWA), CCS호환 EV와의 통신을 위한 충전기 ISO 15118 준수 요구미국 교통부(DOT) 산하 연방고속도로국(FHWA)에 따르면 제안 규칙 제정 통지안(Notice of Proposed Rulemaking, NPRM)이 ISO 15118을 구현한 CCS 호환 EV와의 통신을 위해 충전기가 ISO 15118을 준수하도록 요구한다.CCS는 복합충전시스템(Combined Charging System)을 말하며 EV는 전기자동차(electric vehicle)다. ISO 15118 표준은 국제전기기술위원회(International Electrotechnical Commission, IEC)와 국제표준화기구(International Organization for Standardization, ISO)에 의해 개발됐다.ISO 15118 표준은 네트워크 연결성을 향상시키고 스마트 충전 관리 및 플러그 앤 충전 능력과 같은 새로운 기능의 구축을 확장하고 지원한다.스마트 충전 관리란 "EV 고객에 대한 보다 역동적인 대응뿐 아니라 그리드/유틸리티 부하 관리가 가능한 것"을 말한다.플러그 앤 충전 능력이란 고객이 직접 수행하는 작업을 최소화해 EV와 충전기를 연결하는 작업을 보다 자동으로 수행할 수 있도록 하는 것을 뜻한다.NPRM은 EV 부문이 여전히 진화하고 있다는 사실을 인지하고 있다. 추가 혁신을 위한 유연성을 유지하는 적절한 규칙을 만드는 방법에 대해 산업과 고객으로부터 피드백을 환영하고 있다.미국 교통부(DOT)는 특정 관련 주제를 다루는 것에 대해 명시적으로 거부한다. 충전소 설계 시 연방정부의 요건이 아파트 건물과 같이 장기 거주자 주차 위치에 대한 다른 규칙을 설정해야 되는지 다룬다.또한 주 정부가 배터리 충전 사업 모델과 같은 충전 대안을 어떻게 통합할 것인지를 포함한다. NPRM에는 특정 사이버보안 표준이 규정되어 있지 않다.하지만 제안된 규칙에는 각 주정부의 EV 인프라 구축 계획과 일관된 물리적 및 사이버 보안 전략 구현 요건이 포함돼 있다.NEVI 프로그램에서 지급하는 자금 수혜 자격을 획득하기 위해서는 미국 교통부(DOT)로 부터 승인을 받아 8월 1일까지 관련 서류를 제출해야 된다.
-
[영국] AGSL(Asset Guardian Solutions Ltd), 5월 ISO/IEC 27001 인증 획득영국 소프트웨어 개발업체인 AGSL(Asset Guardian Solutions Ltd)에 따르면 2022년 6월 ISO/IEC 27001 인증을 획득했다. ISO/IEC 27001는 정보보호 관리체계에 대한 인증이다.ISO/IEC 27001 프레임워크는 AGSL는 기업의 정보자산의 비밀성, 통합, 가용성 등을 보호하기 위한 우호적인 접근을 가능케 한다. 국제표준화기구(ISO)와 국제전기표준회의(IEC)에 의해 관리되는 표준이다.정보보호 관리에 관한 표준을 획득했다는 것은 AGSL이 사이버보안 공격, 데이터 유출, 데이터 절도 등과 같은 정보 위험을 관리하는 정책, 절차, 프로세스, 시스템을 구현하고 있다는 의미이다.AGSL은 파트너, 고객에 속한 정보가 매우 중요하다고 인식하고 있다. 따라서 정보의 안전한 관리는 비지니스 업무의 최우선 업무에 속한다.2004년 설립된 AGSL은 기업의 운영과 생산 프로세스를 통제하는데 사용되는 프로세스 통제 시스템 소프트웨어의 통합을 보호하는 소프트웨어를 개발하고 있다.2022년 6월 현재 오일 & 가스, 전력회사, 발전소, 석유화학, 제약, 운송, 식음료 산업 등에 사업을 영위하는 다양한 기업을 대상으로 서비스하고 있다.
-
[캐나다] Identos, 5월 ISO 9001 인증 받아캐나다 디지털 신원 인증기술 개발업체인 Identos(Identos Inc.)에 따르면 2022년 5월 ISO 9001 인증을 받은 것으로 드러났다. ISO 9001은 제품의 인증이 아닌 제품의 개발 및 생산 과정에서 품질을 보증하는 표준이다.따라서 ISO 9001 인증을 받았다는 것은 제품과 서비스가 고객의 수요와 규제 요구사항과 일치한다는 의미한다. 또한 개발하고 있는 생체 소프트웨어 제품이 시스템의 정제를 위한 과정도 고객과 규제기관의 요구 사항을 충족했다는 것이다.ISO 9001은 모든 산업 분야 및 활동에 적용할 수 있는 품질경영시스템의 요구사항을 규정한 국제표준이다. 제품 또는 서비스의 실현 시스템이 규정된 요구사항을 충족하고 이를 유효하게 운영하고 있음을 인증해준다.Identos는 이미 정보보안관리, 사이버보안, 프라이버시 보호 등에 관한 ISO/IEC 27001 인증도 획득했다. 참고로 Identos는 디지털 신원 및 접근 기술을 개발하는 기업이다.
-
[벨기에] 유럽표준화위원회(CEN), 인공지능법을 제정하기 위한 준비 진행 중유럽표준화위원회(European Committee for Standardisation, CEN)에 따르면 인공지능법(AI Act)을 제정하기 위한 준비를 진행 중이다. 표준화위원회의 약칭이 CEN인 것은 프랑스어로 'Comité Européen de Normalisation'이기 때문이다.CEN은 인공지능법을 제정하기 위해 유럽전기표준협회(European Committee for Electrotechnical Standardisation, CENELEC), 유럽전기통신표준협회(European Telecommunications Standards Institute, ETSI)와 협력하고 있다.3개 기관은 각자 인공지능을 규제하기 위한 개별 표준을 정하기 위해 기술적인 요건을 검토하고 있다. 매 6개월마다 진전한 토의 내용을 유럽연합 집행위원회(European Commission, EC)에 제출해야 한다.기술 표준은 인공지능법을 제정하는데 가장 중요한 역할을 수행할 것으로 전망된다. 인공지능법이 적용될 기업들은 유럽연합이 제정한 법률을 자동으로 준수해야 하기 때문이다.표준은 유럽연합의 인공지능 규칙집에 포함될 실질적인 규칙제정이다. 규칙제정은 규칙을 준수하는 비용에 핵심적인 역할을 담당한다.초안의 부록은 상세한 표준을 요구한다. 표준이 다뤄야 하는 주제는 위험관리시스템, 데이터세트(datasets)의 거버넌스와 질, 기록 유지, 사용자에 대한 투명성과 정보, 인간 감시, 정확성 사양, 시판 후 모니터링을 포함한 품질 관리, 사이버보안 등이다.또한 CEN은 인공지능 시스템이 개발 목적에 적합하고 유럽표준을 충족하는지 평가하기 위한 확인 절차와 방법론을 정의해야 한다. 법률에 따르면 그러한 적합성 평가는 인공지능 개발자나 제3자에 의해 수행돼야 한다.인공지능법의 표준을 준비하는 기관은 다른 요구사항 간에 나타나는 상호의존성을 고려해야 한다. 또한 기술 표준을 이행할 때 상호의존성이 명시적으로 드러나도록 처리해야 한다.대기업뿐만 아니라 중소기업의 요구와 양립하는 표준을 만들기 위해 주의를 기울여야 한다. 대기업보다는 중소기업이 시민사회와 더 밀접하게 연관되기 때문이다.미국과 중국에서 기술 표준은 매우 정치화되고 있다. 양국은 국제 포럼에서 진행되는 토론에 영향력을 행사히기 위해 대규모 자원을 투입하고 있다. 자국 기업의 전략적인 이해를 충족시키기 위한 목적이다.기술 표준을 정의하는 유럽 기업들의 점진적인 퇴조를 막기 위해 EC는 최근 유럽연합의 디지털 자주권 아젠다와 일치하는 표준화 전략을 론칭했다. 유럽 표준으로부터 외국의 영향력을 줄일 방안을 모색하기 위함이다.따라서 표준은 유럽연합의 가치를 존중하는 정책 목표와 일치해야 하며, 유럽연합의 디지털 자주권을 강화할 수 있어야 한다고 판단했다.또한 인공지능에 대한 투자와 혁신을 촉진하고 유럽연합 시장의 성장과 경쟁력에 조력해야 한다고 인식하고 있다. 글로벌 대기업에 비해 작은 유럽 기술 스타트업과 중소기업에 대한 고려가 필요하다고 본다.2022년 5월 16일 개최된 유럽연합-미국 무역 및 기술 위원회 정상회의에서 양국은 신뢰할 수 있는 인공지능과 위험 관리를 위한 평가 및 측정 툴을 개발하기 위한 합동 일정표를 개발하기로 합의했다.상세 일정표는 2022년 12월 진행될 무역 및 기술위원회 회의에서 발표될 예정이다. 인공지능 표준화 요구는 2025년 8월 31일까지 유효하다. 따라서 3개 기관은 2024년 10월 31일까지 최종 보고서를 제출해야 한다.현재 추진되는 상황을 감안하면 2023년 초까지 인공지능법에 관한 국제협상이 진행될 가능성은 낮다. 하지만 인공지능법이 제정되려면 다양한 이해관계자 간에 협의가 필수적으로 요구된다.