The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

A Study on The Practical Risk Mitigation Methodology for Systematical Risk Management of Information System

정보시스템의 체계적인 위험관리를 위한 실용적인 위험감소 방법론에 관한 연구

  • 엄정호 (대한민국 공군) ;
  • 우병구 (성균관대학교 대학원 전기전자 및 컴퓨터공학과) ;
  • 김인중 (성균관대학교 대학원 전기전자 및 컴퓨터공학과) ;
  • 정태명 (성균관대학교 정보통신부)
  • Published : 2003.04.01
Download PDF
⟨ Previous Next ⟩

Abstract

In the paper, we can select the best safeguard as proposed the definite and systematical method and procedure on risk mitigation of risk management for information system. The practical risk mitigation methodology has a good fulfillment procedure and a definition to fulfill procedure on each phase. So, it is easy to fulfill and can apply to any risk management methodology. The practical risk mitigation is composed of 6 phases, which are the existing safeguard assessment, safeguard means selection, safeguard technique selection, risk admission assessment, cost-effective analysis and safeguard embodiment. The practical risk mitigation's advantages are as follow. Efficient selection of safeguards to apply to risk's features with safeguard's means and techniques before embodying safeguards. Prevention of redundant works and security budgets waste as re-using the existing excellent safeguards through the existing safeguard assessment. Reflection of organization's CEO opinions to require special safeguards for the most important information system.

본 논문에서는 정보시스템의 위험관리 과정에서 위험감소 단계를 구체적이고 체계적인 방법과 절차를 제시하여 최적의 대응책을 선택할 수 있도록 하였다. 본 논문에서 제시한 실용적인 위험감소 방법론은 기존의 위험감소 절차보다 좀 더 체계적으로 수행절차를 수립하였으며, 각 단계마다 수행해야 할 프로세스를 구체적으로 정의하여 어떤 위험관리 방법론에 적용하더라도 쉽게 사용할 수 있도록 하였다. 실용적인 위험감소 방법론은 기존의 대응책 평가, 대응책 방법 선택, 대응책 기술 선택, 위험수용 평가, 비용효과 분석 그리고 대응책 구현을 포함한 6단계로 수행된다. 실용적인 위험감소 방법론의 특징은 대응책 구현에 앞서 대응책 수립 방법과 그 방법에 따른 기술들을 식별된 위험의 특성에 맞게 대응책을 선택할 수 있다. 그리고 기존의 대응책 평가를 통해 기능이 우수한 것은 재사용함으로써 동일한 대응책을 구현하는 중복작업과 구현 비용의 낭비를 방지할 수 있다. 또한 최종 대응책을 결정할 패 최고 경영자층의 의견을 반영하여 조직과 업무 특성에 맞게 조직이 요구하는 대응책을 선택할 수도 있게 하였다.

Keywords

References

  1. '국가기간 전산망 표준화 연구중 전산망 보안을 위한 위험관리 지침서', 한국전산원, 1994
  2. 'Risk Analysis and Management Standards for Public Information Systems Security-Concepts and Models', 한국정보통신기술협회(TTA), 1998
  3. 'Risk Analysis and Management Standards for Public Information Systems Security-Risk Analysis Methodology Model,' 한국정보통신기술협회(TTA), 2000
  4. 엄정호 외 다수, '정보시스템의 위험관리 과정 중에서 체계적이고 효율적인 위험감소 방법론 제기', WISC 2002, pp.805-813, Sept., 2002
  5. 'A Guide to Security Risk Management for Information Technology Systmes,' MG-2, CSE Manual, 1996
  6. 'A guide to Risk Assessment and Safeguard Selection for Information Technology,' MG-2, CSE Manual, 1996
  7. B. D. Jenkins, 'Security Risk Analysis and management,' Countermeasures, Inc., 1998
  8. 'Information Technology-Security techniques-Guidelines for the management of IT security,' ISO/IEC JTC 1/SC 27, 1997
  9. Gary Stonebumer, Alice Goguen, and Alexis Feringa 'Risk Management Guide For Information Technology Systems,' NIST, Oct., 2001
  10. Ginzberg, M. J. and Moulton, R. T., 'Information technology risk management,' Next Decade in Information Technology,' Proceedings of the 5th Jerusalem Conference, pp.602-608, 1990 https://doi.org/10.1109/JCIT.1990.128338
  11. Harold F. Tipton and Micki Krause, 'Information Security Management Volume 3,' 4th Edition, Auerbach Publications, pp.417-430, 2002
  12. 'BS 7799-Guide to Risk Assessment and Risk management,' BSI, 1998
  13. Jung Ho Eom, Sang Hoon Lee and Tai M. Chung, 'A study on the Simplified Cost-Benefit Analysis to Select Safe-guards against Risks in the Risk Management,' SAM 2002, pp.292-297, June, 2002