정보보호학회지 (Review of KIISC)

한국정보보호학회 (Korea Institute of Information Security and Cryptology)
권호 표지

정보보호 요소의 통합에 관한 선행 연구: COBIT 4.1과 ISO/IEC 27002:2005의 매핑을 중심으로

  • 김정현 ((주)씨에이에스, ISACA 한국협회 보안부문)
  • 발행 : 2013.08.31
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

기업의 비즈니스 환경에서 정보보호의 중요성이 높아감에 따라 정보보호와 관련된 표준이나 벤치마크의 필요성도 증대되었다. 이러한 표준에는 ISO/IEC 27001, ISO/IEC 27002, PCIDSS, ITIL, COBIT 등이 유명하다. 본 논문에서는 IT 거버넌스의 프레임워크로서 폭 넓은 범위의 정보보호 플랫폼이 될 수 있는 COBIT 4.1과 정보보호를 위한 상세한 최선의 실무(best practice)를 담고 있는 ISO/IEC 27002의 각 정보보호 요소에 대해 간략히 알아보고, 이들을 서로 매핑하여 "높은 수준"의 프레임워크와 "낮은 수준"의 방법론의 통합에 대한 방향을 제시하고자 한다.

키워드

참고문헌

  1. Date Breach QuickView: An Executive's Guide to Data Breach Trends in 2012, Risk Based Security, Inc., February 2013.
  2. H. Susanto, M. N. Almunawar and Y. C. Tuan, "Information Security Management System Standards: A Comparative Study of the Big Five", International Journal of Electrical & Computer Sciences, 11(5), pp. 23-29, October 2011.
  3. 조희준, IT 거버넌스 프레임워크 코빗 - COBIT 4.1을 중심으로, 인포더북스, 2010.
  4. R. Sheikhpour and N. Modiri, "An Approach to Map COBIT Processes to ISO/IEC 27001 Information Security Management Controls", International Journal of Security and Its Applications, 6(2), pp. 13-28, April 2012.
  5. T. Mataracioglu and S. Ozkan, "Governing Information Security in Conjuction with COBIT and ISO 27001", Computing Research Repository, 2011, http://arxiv.org/abs/1108.2150
  6. COBIT 4.1, IT Governance Institute, 2007, www.isaca.org
  7. ISO/IEC 27002:2005 Information Technology - Security Techniques - Code of practice for information security management, ISO/IEC, Switzerland, 2005.
  8. ISO/IEC 27001:2005 Information Technology - Security Techniques - Information security management systems - Requirements, ISO/IEC, Switzerland, 2005.
  9. Aligning CobiT(R) 4.1, ITIL(R) V3 and ISO/IEC 27002 for Business Benefit, IT Governance Institute, 2008.
  10. COBIT(R) 5 for Information Security, ISACA, 2012.
  11. B. von Solms, "Information Security governance: COBIT or ISO 17799 or both?", Computers & Security, 24(2), pp. 99-104, March 2005. https://doi.org/10.1016/j.cose.2005.02.002
  12. ISO/IEC FDIS 27001 Information technology - Security techniques - Information security management systems - Requirements, ISO/IEC, 2013, http://www.iso.org/