▲ 디지털 ID 산업의 발전 전략 [출처=iNIS]디지털 ID(Digital Identity) 분야에서 상호운용(interoperable)이 가능하고 안전한 서비스 보장을 위한 표준에 대한 수요가 증가하고 있다. 다양한 표준 조직 및 산업 기관이 활동하는 이유다.디지털 ID 표준을 개발하는 곳은 유럽표준화기구(European Standardisation Organistions), 국제표준화기구(International Standardisation Organisations), 상업 포럼 및 컨소시엄, 국가기관 등 다양하다.산업단체와 포럼은 공식적으로 표준화 조직으로 간주되지 않지만 디지털 ID 영역을 포함한 특정 영역에서는 사실상의 표준을 제공하고 있다.몇몇의 경우 이들 단체들이 추가 비준을 위해 자신들이 생산한 사양을 ISO/IEC, ITU 통신 표준화 부문(ITU-T), ETSI 등 표준 기관에 제출할 수 있다.이러한 산업단체 및 포럼에는 △인증기관브라우저 포럼(Certification Authority Browser Forum,  CA/Browser Forum) △클라우드 서명 컨소시엄(Cloud Signature Consortium, CSC) △국제자금세탁방지기구(Financial Action Task Force, FATF) △신속온라인인증(Fast Identity Online, FIDO) △국제인터넷표준화기구(Internet Engineering Task Force, IETF) △구조화 정보 표준 개발기구(오아시스)(Organization for the Advancement of Structured Information Standards, OASIS) △오픈ID(OpenID) △SOG-IS(Senior Officials Group-Information Systems Security) △W3C(World Wide Web Consortium) 등이다.오픈ID(OpenID)는 개인 및 기업의 비영리 국제 표준화 조직으로 OpenID(개방형 표준 및 분산 인증 프로토콜)를 활성화, 홍보, 보호하기 위해 노력하고 있다.오픈ID 코넥트 코어(OpenID Connect Core)는 핵심 OpenID 기능을 정의하고 있다. OpenID 기능은 OAuth 2.0 기반에 구축된 인증과 최종 사용자에 대한 정보를 전달하기 위한 클레임의 사용이다.추가적인 기술 사양 문서는 검증 가능한 자격 증명 및 검증 가능한 프리젠테이션의 발급을 확장하기 위해 작성됐다. 또한 OpenID Connect 사용에 대한 보안 및 개인 정보 보호 고려 사항에 대해 설명하고 있다.아래는 오픈ID가 발행한 'OpenID Connect Core 1.0 incorporating errata set 1' 목차 내용이다.■목차(Table of Contents)1. Introduction1.1. Requirements Notation and Conventions1.2. Terminology1.3. Overview2. ID Token3. Authentication3.1. Authentication using the Authorization Code Flow3.1.1. Authorization Code Flow Steps3.1.2. Authorization Endpoint3.1.2.1. Authentication Request3.1.2.2. Authentication Request Validation3.1.2.3. Authorization Server Authenticates End-User3.1.2.4. Authorization Server Obtains End-User Consent/Authorization3.1.2.5. Successful Authentication Response3.1.2.6. Authentication Error Response3.1.2.7. Authentication Response Validation3.1.3. Token Endpoint3.1.3.1. Token Request3.1.3.2. Token Request Validation3.1.3.3. Successful Token Response3.1.3.4. Token Error Response3.1.3.5. Token Response Validation3.1.3.6. ID Token3.1.3.7. ID Token Validation3.1.3.8. Access Token Validation3.2. Authentication using the Implicit Flow3.2.1. Implicit Flow Steps3.2.2. Authorization Endpoint3.2.2.1. Authentication Request3.2.2.2. Authentication Request Validation3.2.2.3. Authorization Server Authenticates End-User3.2.2.4. Authorization Server Obtains End-User Consent/Authorization3.2.2.5. Successful Authentication Response3.2.2.6. Authentication Error Response3.2.2.7. Redirect URI Fragment Handling3.2.2.8. Authentication Response Validation3.2.2.9. Access Token Validation3.2.2.10. ID Token3.2.2.11. ID Token Validation3.3. Authentication using the Hybrid Flow3.3.1. Hybrid Flow Steps3.3.2. Authorization Endpoint3.3.2.1. Authentication Request3.3.2.2. Authentication Request Validation3.3.2.3. Authorization Server Authenticates End-User3.3.2.4. Authorization Server Obtains End-User Consent/Authorization3.3.2.5. Successful Authentication Response3.3.2.6. Authentication Error Response3.3.2.7. Redirect URI Fragment Handling3.3.2.8. Authentication Response Validation3.3.2.9. Access Token Validation3.3.2.10. Authorization Code Validation3.3.2.11. ID Token3.3.2.12. ID Token Validation3.3.3. Token Endpoint3.3.3.1. Token Request3.3.3.2. Token Request Validation3.3.3.3. Successful Token Response3.3.3.4. Token Error Response3.3.3.5. Token Response Validation3.3.3.6. ID Token3.3.3.7. ID Token Validation3.3.3.8. Access Token3.3.3.9. Access Token Validation4. Initiating Login from a Third Party5. Claims5.1. Standard Claims5.1.1. Address Claim5.1.2. Additional Claims5.2. Claims Languages and Scripts5.3. UserInfo Endpoint5.3.1. UserInfo Request5.3.2. Successful UserInfo Response5.3.3. UserInfo Error Response5.3.4. UserInfo Response Validation5.4. Requesting Claims using Scope Values5.5. Requesting Claims using the "claims" Request Parameter5.5.1. Individual Claims Requests5.5.1.1. Requesting the "acr" Claim5.5.2. Languages and Scripts for Individual Claims5.6. Claim Types5.6.1. Normal Claims5.6.2. Aggregated and Distributed Claims5.6.2.1. Example of Aggregated Claims5.6.2.2. Example of Distributed Claims5.7. Claim Stability and Uniqueness6. Passing Request Parameters as JWTs6.1. Passing a Request Object by Value6.1.1. Request using the "request" Request Parameter6.2. Passing a Request Object by Reference6.2.1. URL Referencing the Request Object6.2.2. Request using the "request_uri" Request Parameter6.2.3. Authorization Server Fetches Request Object6.2.4. "request_uri" Rationale6.3. Validating JWT-Based Requests6.3.1. Encrypted Request Object6.3.2. Signed Request Object6.3.3. Request Parameter Assembly and Validation7. Self-Issued OpenID Provider7.1. Self-Issued OpenID Provider Discovery7.2. Self-Issued OpenID Provider Registration7.2.1. Providing Information with the "registration" Request Parameter7.3. Self-Issued OpenID Provider Request7.4. Self-Issued OpenID Provider Response7.5. Self-Issued ID Token Validation8. Subject Identifier Types8.1. Pairwise Identifier Algorithm9. Client Authentication10. Signatures and Encryption10.1. Signing10.1.1. Rotation of Asymmetric Signing Keys10.2. Encryption10.2.1. Rotation of Asymmetric Encryption Keys11. Offline Access12. Using Refresh Tokens12.1. Refresh Request12.2. Successful Refresh Response12.3. Refresh Error Response13. Serializations13.1. Query String Serialization13.2. Form Serialization13.3. JSON Serialization14. String Operations15. Implementation Considerations15.1. Mandatory to Implement Features for All OpenID Providers15.2. Mandatory to Implement Features for Dynamic OpenID Providers15.3. Discovery and Registration15.4. Mandatory to Implement Features for Relying Parties15.5. Implementation Notes15.5.1. Authorization Code Implementation Notes15.5.2. Nonce Implementation Notes15.5.3. Redirect URI Fragment Handling Implementation Notes15.6. Compatibility Notes15.6.1. Pre-Final IETF Specifications15.6.2. Google "iss" Value15.7. Related Specifications and Implementer's Guides16. Security Considerations16.1. Request Disclosure16.2. Server Masquerading16.3. Token Manufacture/Modification16.4. Access Token Disclosure16.5. Server Response Disclosure16.6. Server Response Repudiation16.7. Request Repudiation16.8. Access Token Redirect16.9. Token Reuse16.10. Eavesdropping or Leaking Authorization Codes (Secondary Authenticator Capture)16.11. Token Substitution16.12. Timing Attack16.13. Other Crypto Related Attacks16.14. Signing and Encryption Order16.15. Issuer Identifier16.16. Implicit Flow Threats16.17. TLS Requirements16.18. Lifetimes of Access Tokens and Refresh Tokens16.19. Symmetric Key Entropy16.20. Need for Signed Requests16.21. Need for Encrypted Requests17. Privacy Considerations17.1. Personally Identifiable Information17.2. Data Access Monitoring17.3. Correlation17.4. Offline Access18. IANA Considerations18.1. JSON Web Token Claims Registration18.1.1. Registry Contents18.2. OAuth Parameters Registration18.2.1. Registry Contents18.3. OAuth Extensions Error Registration18.3.1. Registry Contents19. References19.1. Normative References19.2. Informative ReferencesAppendix A. Authorization ExamplesA.1. Example using response_type=codeA.2. Example using response_type=id_tokenA.3. Example using response_type=id_token tokenA.4. Example using response_type=code id_tokenA.5. Example using response_type=code tokenA.6. Example using response_type=code id_token tokenA.7. RSA Key Used in ExamplesAppendix B. AcknowledgementsAppendix C. Notices§ Authors' Addresses

▲ 필리핀 연료제품, 보관, 운송 서비스 기업 SEAOIL 홈페이지필리핀 연료기업 씨오일(Seaoil Philippines, Inc.)에 따르면 국제적으로 인정되는 품질경영 및 환경경영에 관한 ISO 인증 2개를 획득했다.획득한 ISO 인증은 ISO 9001:2015 품질경영시스템(Quality Management System, QMS)와 ISO 14001:2015 환경경영시스템(Environmental Management System, EMS) 등이다.제3자 인증기관인 뷰로 베리타스(Bureau Veritas, BV)의 철저한 감사 후 인증이 이뤄졌다. 씨오일이 통합 관리시스템을 구축하고 지속적으로 개선 및 유지관리를 하고 있다는 것을 확인했다.따라서 씨오일은 환경을 보호하면서 고객에게 품질과 혁신적인 제품, 서비스를 제공하기 위해 지속적으로 노력하고 있다는 것을 인증받았다.인증서 수여식에는 뷰로 베니타스 비즈니스 개발 관리자, 인증 관리자, 씨오일 커머셜 비즈니스 및 COO 대표, 품질관리 시스템 및 규정 준수 선임 관리자, 물류 담당 부사장 등이 참여했다.참고로 씨오일(Seaoil Philippines, Inc.)은 1978년 설립된 연료 기업으로 자동차 휘발유에서 산업별 윤활유까지 다양한 연료 제품의 판매, 보관 및 운송 등의 서비스를 제공하고 있다.

▲ 미국 가스 탐지 기술 기업 씨오투미터(CO2Meter) 홈페이지미국 가스 탐지 기술기업 씨오투미터(CO2Meter)에 따르면 자사 품질경영시스템(quality management system, QMS)에 대한 ISO 9001:2015 인증을 획득했다.ISO 인증은 제3자 공인 인증기관에 의해 수행됐으며 표준의 요구사항 및 절차 절수 여부 등 독립적인 평가를 거쳤다.씨오투미터는 제품과 서비스, 내부 프로세스를 지속적으로 개선하기 위해 최선을 다했다. 결과적으로 ISO 인증을 획득했으며 강력한 품질경영시스템(QMS)를 보유하고 있음을 인정받게 됐다. 고객의 기대를 뛰어넘는 가스 탐지, 모니터링, 분석 솔루션을 설계하고 제공하는데 도움이 될 것으로 기대된다.ISO 9001:2015는 품질경영시스템(QMS)에 대한 요구사항을 명시하고 있는 국제 표준이다. 고객 만족을 강화하고 규정 및 법적 요구사항을 충족시키는 제품과 서비스를 제공하는데 초점이 맞추고 있는 기업에서 활용하고 있다.씨오투미터는 제조기능, 솔루션, 서비스 등을 지속적으로 확장하고 있다. 이를 위해 2022년 미국 플로리다를 기반으로 생산 및 창고 기능, 사무공간의 확장, 교육 및 서비스 제공 강화 등을 위해 2만 평방피트의 신규 시설로 이전했다.

▲ 스페인표준화기구(Spanish Association for Standardization, UNE) [출처=홈페이지]스위스 제네바에 본부를 두고 있는 국제표준화기구(ISO)에서 활동 중인 기술위원회(Technical Committeee, TC)는 TC1~TC323까지 구성돼 있다.기술위원회의 역할은 기술관리부가 승인한 작업범위 내 작업 프로그램 입안, 실행, 국제규격의 작성 등이다. 또한 산하 분과위원회(SC), 작업그룹(WG)을 통해 기타 ISO 기술위원회 또는 국제기관과 연계한다.ISO/IEC 기술작업 지침서 및 기술관리부 결정사항에 따른 ISO 국제규격안 작성·배포, 회원국의 의견 편집 등도 처리한다. 소속 분과위원회 및 작업그룹의 업무조정, 해당 기술위원회의 회의 준비도 담당한다.1947년 최초로 구성된 나사산에 대한 TC1 기술위원회를 시작으로 최근 순환경제를 표준화하기 위한 TC323까지 각 TC 기술위원회의 의장, ISO 회원, 발행 표준 및 개발 표준 등에 대해 살펴볼 예정이다.ISO/TC 54 오센셜 오일(Essential oils) 관련 기술위원회는 TC1, TC2, TC4~TC6, TC8, TC10~TC12, TC14, TC17~TC22, TC24~31, TC33~TC39, TC41~TC48, TC51, TC52와 동일하게 1947년 구성됐다.사무국은 스페인표준화기구(Spanish Association for Standardization, UNE)에서 맡고 있다. 위원회는 에스더 베르메조(Ms Esther Bermejo)이 책임진다. 의장은 루시아 지메네즈 실(Ms Lucia JIMENEZ SILVA)으로 임기는 2023년까지다.ISO 기술 프로그램 관리자는 이사벨 베가(Ms Isabelle Vega), ISO 편집 관리자는 이사벨 베로니카 넬슨(Ms Isabel Veronica Nelson) 등으로 조사됐다.범위는 에센셜 오일에 대한 분석 방법 및 사양의 표준화다. 현재 ISO/TC 54 사무국의 직접적인 책임하에 있는 발행된 표준은 136개며 ISO/TC 52 사무국의 직접적인 책임하에 개발 중인 표준은 2개다. 참여하고 있는 회원은 15명, 참관 회원은 35명이다.□ ISO/TC 52 사무국의 직접적인 책임하에 발행된 표준 136개 중 15개 목록▲ISO/TS 210:2014 Essential oils — General rules for packaging, conditioning and storage▲ISO/TS 211:2014 Essential oils — General rules for labelling and marking of containers▲ISO 212:2007 Essential oils — Sampling▲ISO 212:2007/Amd 1:2012 Essential oils — Sampling — Amendment 1▲ISO 279:1998 Essential oils — Determination of relative density at 20 °C — Reference method▲ISO 280:1998 Essential oils — Determination of refractive index▲ISO 356:1996 Essential oils — Preparation of test samples▲ISO 592:1998 Essential oils — Determination of optical rotation▲ISO 709:2001 Essential oils — Determination of ester value▲ISO 770:2002 Crude or rectified oils of Eucalyptus globulus (Eucalyptus globulus Labill.)▲ISO 855:2003 Oil of lemon [Citrus limon (L.) Burm. f.], obtained by expression▲ISO 856:2006 Oil of peppermint (Mentha x piperita L.)▲ISO 875:1999 Essential oils — Evaluation of miscibility in ethanol▲ISO 1041:1973 Essential oils — Determination of freezing point▲ISO 1241:1996 Essential oils — Determination of ester values, before and after acetylation, and evaluation of the contents of free and total alcohols□ ISO/TC 52 사무국의 직접 책임하에 개발 중인 표준 2개 목록▲ISO 210 Essential oils — General requirements and guidelines for packaging, conditioning and storage▲ISO 211 Essential oils — General requirements for labelling and marking of containers 

▲ 엠알피지(MRPeasy) [출처=홈페이지]미국 소규모 제조업체를 위한 전사적자원관리(ERP/MRP) 소프트웨어 제공업체 엠알피지(MRPeasy)에 따르면 자사의 정보 보안이 높은 수준에 도달했다는 것을 증명하는 ISO 27001 인증을 획득했다.엠알피지는 인정받은 인증업체로부터 다양한 엄격한 감사를 받은 후 최종 감사를 통과했다. ISO 27001은 세계에서 가장 중요한 정보 보안 관리 표준이다.해당 인증은 세계표준화기구(International Standards Organization, ISO)가 고객과 직원의 데이터, 금융데이터, 지적재산권, 기타 정보 등을 관리하기 위한 보안 시스템을 갖추고 있는지 증명된 기업에게 수여하기 때문이다.모든 조직들이 고객으로부터 민감한 데이터를 요구하고 있지는 않지만 고객 데이터를 보호하기 위해 주의를 기울이고 있다.기업들이 부지런히 데이터를 저장하고 관리하지 않는다면 도난당하거나 잃어버릴 수 있다. 따라서 ISO 27001 준수는 사이버보안 위험을 경감시키는 필수적인 프로세스와 정책을 보유하고 있음을 보여 준다.엠알피지는 모든 산업에 속한 소규모 제조업체를 위한 클라우드기반 제조업 ERP 소프트웨어다. 북아메리카지역 500개 이상의 기업과 전 세계 1300개 이상의 기업들이 활용하고 있다.

▲ 아이-인베스트(I-invest) [출처=홈페이지]나이지리아 디지털금융서비스 플랫폼 기업 아이-인베스트(I-invest)에 따르면 자사 고객 데이터 보호를 위한 목적으로 ISO 27001 인증 및 PCI-DSS 인증 등 2개의 중요한 인증을 획득했다.아이-인베스트는 ISO 27001 인증을 통해 사이버 위협 및 데이터 침해로 부터 보호하기 위해 포괄적인 정보 보안 경영 시스템(information security management system, ISMS)을 구현했다.ISO 인증은 아이-인베스트가 고객의 데이터를 포함해 민감한 정보를 관리하고 보호하기 위한 최적의 모범사례를 채택했다는 것을 의미한다.ISO 27001 인증 및 PCI DSS 준수는 계속해서 늘어나고 있는 사이버 공격 및 데이터 침해 위협에 직면하고 있는 자사 고객을 위해 안전하고 믿을 수 있는 금융 서비스를 제공하는 데 있어 중요한 단계다.아이-인베스트는 자사 시스템 및 프로세스를 지속적으로 모니터링 및 개선하고 있다. 최고 수준의 보안을 유지하기 위한 필수적인 인프라, 도구, 훈련에 투자하는 중이다.

▲ 영국의 렉타(Lecta) [출처 = 홈페이지]영국의 렉타(Lecta)에 따르면 최근 페놀이 없는 터맥스(Phenol-Free Termax) 종이에 대한 이너리스(Ineris) 인증을 획득했다.렉타는 지난 몇 년 간 고품질 열 제품을 개발했다. 프랑스 국립 산업 환경 및 위험 연구소인 Ineris에서 발행한 공식 '페놀 무첨가' 인증을 획득하게 됐다.이 인증은 Termax TFX, Termax TEX, Termax TC20X, Termax TCLLX 제품에 비스페놀 A(BPA), S(BPS), F(BPF) 또는 12가지 기타 페놀 화합물이 없음을 보증한다.렉타의 페놀 무함유 인증 외에도 전체 Termax 제품군은 ISO 14001 및 EMAS 환경경영시스템(EMS) 표준, ISO 50001 에너지경영시스템(EnMS) 표준, ISO 9001 품질경영시스템(QMS) 표준, ISO 45001 안전보건경영시스템(occupational health and safety management systems, OHSMS) 표준에 따라 제조하고 있다.이 범위는 요청 시 PEFC 또는 FSC® C011032 CoC 삼림 인증과 함께 사용할 수 있다. Lecta는 Termax와 함께 POS, 티켓 및 라벨 애플리케이션 요구 사항을 충족하기 위해 지속적으로 발전하는 광범위한 감열지를 자랑하고 있다.이너리스(INERIS)는 프랑스 국립환경위험연구소( French National Institute for Industrial Environment and Risks)로 1990년에 설립됐다.프랑스 산업부 산하 산업 및 상업 성격의 공공 연구기관(French public research body of an industrial and commercial character, EPIC)이다.

▲ 방글라링크(Banglalink) 임원직 [출처=홈페이지]방글라데시 디지털 통신서비스 선도 공급기업 중 하나인 방글라링크(Banglalink)에 따르면 정보 보안에 대한 국제 표준 ISO27001:2013 인증을 획득했다.ISO 인증은 테스트, 감사, 인증 분야에서 세계적 리더인 베리 베리투스(Bereau Veritus)에 의해 진행됐다. 방글라링크의 사이버 보안은 자사 고객에게 양질의 디지털 서비스를 제공하려는 필수적인 노력의 일부분이다.따라서 이러한 명성 높은 인증은 자사 조직에서 유지되는 최고 수준의 사이버 보안을 반영한 것이다. 방글라데시에서 디지털 운영자로서 방글라링크의 개척자적인 역할을 인정했다. 방글라링크의 ISO 27001 인증은 자사 고객과 클라이언트, 공급자 등의 이익을 보호하기 위해 최고의 정보 보안 관리 관행을 따르고 있음을 나타낸다.이는 위험과 사이버 공격을 줄이기 위해 보다 더 효과적인 보안 태세와 효율적인 프로세스를 갖추는데 도움이 된다.ISO27001:2013 인증은 정보 보안 리스크를 관리하는 일련의 정책, 절차, 프로세스, 시스템인 정보보안경영 시스템(Information Security Management System, ISMS)의 요구사항을 정의하는 국제표준이다.인증 프로세스는 조직이 규제 기준을 충족하고 보안 위반 가능성을 줄이는데 도움이 되는  포괄적인 위험 평가 및 관리 프로그램 포함하고 있다. 

▲두바이 전기수도청(Dubai Electricity and Water Authority, DEWA) 건물 [출처=홈페이지]두바이에서 전기와 수도 공급을 책임지고 있는 전기수도청(Dubai Electricity and Water Authority, DEWA)에 따르면 ISO/IEC 27001:2013 인증을 획득했다. 2010년 ISO 27001:2005 최초 인증을 시작으로 2014년 인증을 갱신했다. 이후 2018년 모든 부문, 부서, 운영을 포함하도록 인증 표준의 적용 범위를 확장했다. 이로 ISO 27001:2013 인증을 획득하는데 도움이 됐다. ISO/IEC 27001:2013 인증은 정보보안 경영 시스템(Information Security Management System, ISMS)에서 세계 최고의 국제 표준이다. 인증은 영국표준기구(British Standards Institution, BSI)의 엄격한 평가와 감사 절차를 통해 수행됐다. DEWA는 정보보안시스템에서 최고의 지역 및 국제적으로 유명한 조직과 협력해 다양한 보안 문제를 다루고 있다. 최신 보안솔루션을 도입하기 위해 노력 중이다.DEWA가 높은 기준에 맞춰 전기 및 수도 서비스를 지속적으로 제공하는 세계에서 가장 우수하고 선구적인 시설 중 하나를 유지하는 비결이다.정보 보안 및 애자일 거버넌스(Agile governance) 분야에 최고의 국제표준을 적용하는 선구자로서 전략적 계획, 운영, 서비스 품질에 영향을 끼칠 수 있는 모든 가능성과 위험을 연구하고 있다.애자일 거버넌스(Agile governance)는 문제에 집중함으로서 최상의 가치를 가져오는데 초점을 맞추고 있는 프로세스다. 거버넌스 프레임워크를 기반으로 전자 보안을 강화하기 위해 포괄적인 시스템을 적용하고 있다. 거버넌스 프레임워크는 두바이 전자보안전략 국가사이버보안전략(Dubai Electronic Security Strategy and the National Cyber Security Strategy) 차원에서 지속적으로 개발됐다.DEWA는 두바이를 세계에서 가장 스마트하고 가장 행복한 도시로 전환하는데 전념하고 있다. 스마트 시티의 핵심 요소 중 하나인 정보 보안을 포함해 모든 분야에서 모범 사례가 되길 희망한다.

▲ 도나 스포츠(Dorna Sports) 홍보자료[출처=도나 스포츠 홈페이지]스페인 국제 스포츠 매지니지먼트 회사인 도나 스포츠(Dorna Sports)에 따르면 최근 국제표준화기구(ISO)로부터 ISO 2012 인증을 획득했다. ISO 2012는 이벤트 회사의 지속가능 경영을 평가하는 표준이다. 이벤트는 마이스(MICE)로 정의되며 국제회의, 인센티브관광, 컨벤션, 전시박람회 등을 의미한다. 이러한 유형의 사업을 수행하는 이벤트 기획자, 장소, 마케팅 조직 등이 경제·환경·사회적으로 지속 가능한 경영시스템을 운영하고 있는지 평가한다. 따라서 ISO 2012 표준은 이벤트의 경제·환경·사회적 영향을 개선하거나 유지할 수 있는 프레임워크를 제공한다. 현재 표준에 적합한 운영체계를 구축해야 함을 물론 미래를 향해 지속적인 개선 계획도 수립해야 한다.이러한 노력은 모토 GP(MotoGP, Grand Prix Motorcycle Racing)의 연맹전, 제조업체, 팀, 임직원, 공급업체, 스폰서, 연맹, 팬 등을 포함한 모든 이해관계자와 협력이 필요하다.도나 스포츠는 TÜV Nord로부터 인증을 획득했으며 모토스포츠를 운영하는 기업 중 최초로 ISO 2012 인증받은 기업으로 자리매김했다. 이전에는 포뮬라 E가 ISO 2012를 획득한 유일한 모토스포츠 범주에 포함됐다.참고로 도나 스포츠는 1988년 설립됐으며 스페인 마드리드에 본사를 두고 있다. 모토싸이클 그랑프리 대회인 모토 GP의 개최자로서 상업적 권리를 보유하고 있다.