Developing the Assessment Method for Information Security Levels

In order for agencies and companies at the IT service industry to check as well as to upgrade the current status of their information security programs, this paper suggests the assessment method for information security levels. The study developed 12 assessment fields and 54 assessment items derived from domestic and foreign cases including SP800-26, SP800-53, ISMS, and ISO27001. It categorized 54 assessment items into 5 levels for determining information security levels. Also, the study presents 7 strategies for performing their efficient evaluations. The proposed method and process in this paper can be useful guidelines for improving the national information security level.

정보보호 수준평가 방법 개선에 관한 연구

본 논문은 정보통신 서비스 제공기관 및 업체가 현재의 보안 상태를 단계별로 등급화된 지표에 따라 평가하고, 지속적으로 정보보호 수준을 상위 단계로 개선해 나갈 수 있도록 정보 보호 수준평가방법을 제안하였다. 이를 위해 SP800-26의 17개 분야, SP800-53의 3개 분야, ISMS의 15개 분야, ISO27001의 10개 분야를 분석하여 중복적인 분야를 제거하고, 관련 전문가 회의를 통해 12개 평가분야와 SP800-26의 221개 항목, SP800-53의 17개 항목, ISMS의 137개 항목, ISO27001의 127개 항목을 분석하여 54개 평가항목을 도출하였다. 또한, 54개 평가항목에 대한 수준을 5단계로 구분된 지표에 따라 각각 평가하고, 각 평가분야별로 등급 을 결정할 수 있도록 하였다. 아울러, 개발된 평가항목과 등급 등이 실제 운영환경에 잘 적용될 수 있도록 운영상에서 발생할 수 있는 문제점을 사전에 분석하고, 이를 고려한 수준평가의 효과적인 7가지 수행방안을 제시하였다. 본 논문에서 제안한 정보보호 수준평가 방법은 계량화된 데이터를 통해 해당조직의 정보보호 대책을 수립할 수 있도록 지원하며, 조직 관리자들의 정보보호 목표수준 설정을 위한 자료로 활용되어 국가적 차원의 정보보호 수준 향상에 기여할 수 있을 것이다.