시스템 보안공학 능력 성숙도 모델 (SSE-CMM) 고찰

  • 발행 : 2001.12.01

초록

정보보안 분야가 성숙해짐에 따라 다양한 평가방법론들이 개발되어 적용되고 있다. 그러한 방법론들 중에서 본고에서는 품질 보증의 수단으로써 정보보안 제품/시스템의 개발기관의 보안공학 수행 능력을 평가하기 위한 SSE-CMM에 대하여 살펴본다. SSE-CMM의 개념적 기초가 되는 보안공학에 대하여 먼저 살펴보고, 보안공학 수행 능력의 수준을 평가하기 위한 평가 기준의 체계와 구성과 함께, SSE-CMM을 이용하여 평가를 수행하기 위한 평가방법론을 구체적으로 제시하고 있는 SSAM에 대하여도 살펴본다. SSE-CMM이 근거하고 있는 보안공학은 효과적인 정보보안을 도모하기 위한 개념적 틀이라는 점을 몇 가지 정보보안관리 지침들과의 비교를 통하여 논의하였다. SSE-CMM은 현재 ISO 표준으로 상정되어 표준화가 진행 중이다. 정보보안 분야의 여러 평가방법론들과 더불어 보다 다양한 관점에서 정보보안의 효과성을 보증해주는 도구로 활용될 것이다.

키워드

참고문헌

  1. Information & Management v.32 ISO 9000 versus CMM;Standardization and certification of IS develoment G. Pijl;G. Swinkels;J. Verrijdt
  2. Computers & Security v.14 no.4 ISO 9000 and Information Security Wood, C.;K. Snow
  3. SSE-CMM Appraisal Method, Version 2.0 CMU
  4. A Framework for Reasoning about Assurance J. William;G. Jelen
  5. System Security Engineering Capability Maturity Model R. Hefner;W. Monroe
  6. System Security Engineering Capability Maturity Model, Model Description, Version 2.0 CMU
  7. An Introduction to Computer Security;The NIST Handbook NIST
  8. Communications Security Establishment Canadian Handbook on Information Technology Security CSE
  9. BS7799-Code of Practice for Information Security Management BSI
  10. TR 13335, Guidelines for the Management of IT Security ISO/IEC
  11. DIS 21827, Information Technology-System Security Engineering-Capability Maturity Model (SSE-CMM) ISO/IEC JTC1 SC 27
  12. Computers & Security v.19 Information Security Management: A Hierarchical Framework for Various Approaches M. Eloff;S.H. Solms