• Title/Summary/Keyword: 보안 위험

Search Result 1,071, Processing Time 0.024 seconds

A Study on Implements for Security Risk Management System (보안위험관리시스템 개발에 관한 연구)

  • Kim, In-Jung;Jung, Yoon-Jung;Park, Jung-Gil;Won, Bong-Ho
    • Proceedings of the Korea Information Processing Society Conference
    • /
    • 2003.11c
    • /
    • pp.1953-1956
    • /
    • 2003
  • 현재 기관들은 정보통신기반시설에 대한 위험을 여러 가지 다른 방식으로 분석하고 있다. 또한, 각종 위험관리방법론, 지침 및 절차, 수준 측정 등에서 사용되는 기준들 사이에는 일관성이 없거나 서로 비교할 수가 없는 경우가 많다. 해당 기관의 보안 목표와는 상관없이 보안시스템이 설치 운영되고 있으며 그나마 없는 경우도 많다. 또한 당국에 보고하는 위험 분석 결과와 실제 기관 내에 위험 통제를 하기 위해 사용하는 위험 분석 결과도 서로 다른 경우가 흔하다. 기관 전체 차원에서의 일관성 있는 보안위험관리 방법의 부재로 말미암아 경제적으로 효율적인 위험 관리가 불가능하다고 할 수 있다. 본 논문에서는 이러한 문제점을 해결하기 위하여 정보통신기반시설에 대한 보안위험관리시스템을 제안하고 이에 대한 구현 방안을 제시한다.

  • PDF

Evaluation of Domestic IT Management Environment through the Development and Application of Automated Risk Analysis Tool (자동화 위험분석도구의 개발 및 적용과정을 통하여 분석한 국내 정보시스템 보안관리체계의 문제점)

  • 윤정원;신순자;이병만
    • Proceedings of the Korea Institutes of Information Security and Cryptology Conference
    • /
    • 1997.11a
    • /
    • pp.68-77
    • /
    • 1997
  • 국내에서도 정보시스템 보안관리가 체계화되면서 보안컨설팅 분야가 중요한 분야로 대두되고 있다. 보안관리에서 핵심부문인 위험분석에 대한 연구는 진행되어 왔으나 국내환경에 적용하기 어려운 점이 많았다. 특히 정보시스템에 대한 분석기준과 정량화가 전무한 국내에서 외국산 위험분석 도구 등을 이용한 분석결과가 객관성을 갖기가 매우 어렵다. 따라서 위험분석 자동화 분석도구의 개발과 적용을 통하여 이러한 문제점을 고찰하고 국내 환경에서 위험분석을 실시할 수 있는 환경을 위하여 필요한 해결방안을 살펴보았다.

  • PDF

네트워크 보안수준 평가를 위한 위험 분석 방법에 관한 연구

  • 박원주;서동일;김대영
    • Proceedings of the Korea Information Assurance Society Conference
    • /
    • 2004.05a
    • /
    • pp.161-165
    • /
    • 2004
  • 기업 네트워크 환경 및 인터넷 상에서 발생할 수 있는 보안상의 취약점들은 악의를 가진 내외부의 공격자들에게 악용될 가능성이 있다. 이러한 상황은 기업으로 하여금 정보 자산의 유출 및 파괴 등의 물리적인 피해와 더불어 복구를 위한 인력 및 시간의 소요 등 금전적인 손해를 야기시킨다. 이에 정확한 네트워크 보안 위험을 분석하여 이러한 피해의 가능성을 사전에 파악하고, 예방할 수 있는 방안을 마련하여 최대한의 보안성을 확보하여야 한다. 본 고는 이를 해결하기 위한 네트워크의 보안 수준을 측정하고 분석할 수 있는 방법론을 살펴보고, 적절한 평가 절차 및 평가 수행 방법, 점검 항목을 해외이 대표사례와 국내 업체의 위험 분석 방법론 관하여 살펴본다.

  • PDF

Cyber Risk Management of SMEs to Prevent Personal Information Leakage Accidents (개인정보유출 사고 방지를 위한 중소기업의 사이버 위험관리)

  • So, Byoung-Ki;Cheung, Chong-Soo
    • Journal of the Society of Disaster Information
    • /
    • v.17 no.2
    • /
    • pp.375-390
    • /
    • 2021
  • Purpose: Most of cybersecurity breaches occur in SMEs. As the existing cybersecurity framework and certification system are mainly focused on financial and large companies, it is difficult for SMEs to utilize it due to lack of cybersecurity budget and manpower. So it is necessary to come up with measures to allow SMEs to voluntarily manage cyber risks. Method: After reviewing Cybersecurity market, cybersecurity items of financial institutions, cybersecurity framework comparison and cybersecurity incidents reported in the media, the criticality of cybersecurity items was analyzed through AHP analysis. And cybersecurity items of non-life insurers were also investigated and made a comparison between them. Result: Cyber risk management methods for SMEs were proposed for 20 major causes of cyber accidents. Conclusion: We hope that the cybersecurity risk assessment measures of SMEs in Korea will help them assess their risks when they sign up for cyber insurance, and that cyber risk assessment also needs to be linked to ERM standardization.

A Risk Analysis Methodology for Information Systems Security Management (정보시스템 보안관리를 위한 위험분석 방법론)

  • 이문구
    • Journal of the Institute of Electronics Engineers of Korea CI
    • /
    • v.41 no.6
    • /
    • pp.13-22
    • /
    • 2004
  • This study proposes a risk analysis methodology for information system security management in which the complexity on the procedure that the existing risk analysis methodology is reduced to the least. The proposed risk analysis methodology is composed of 3 phases as follows: beforehand processing phase, counter measure setting phase, post processing phase. The basic risk analysis phase is a basic security management phase in which fixed items are checked when the information security system is not yet established or a means for the minimum security control is necessary for a short period of time. In the detailed risk analysis phase, elements of asset a vulnerability, and threat are analysed, and using a risk degree production table produced from these elements, the risk degree is classified into 13 cases. In regard to the risk, the 13 types of risk degree will execute physical, administrative, and technical measures through ways such as accepting, rejecting, reducing, and transferring. Also, an evaluation on a remaining risk of information system is performed through a penetration test, and security policy set up and post management phase is to be carried out.

A Study on the Impact of Security Risk on the Usage of Knowledge Management System : Focus on Parameter of Trust (보안위험 수준이 지식관리시스템의 성공에 미치는 영향 : '신뢰'를 매개변인으로)

  • Ahn, Joong-Ho;Choi, Kyu-Chul;Sung, Ki-Moon;Lee, Jae-Hong
    • The Journal of Society for e-Business Studies
    • /
    • v.15 no.4
    • /
    • pp.143-163
    • /
    • 2010
  • The purpose of this study is to investigate the user's perception of security risk and examine its impact on the usage of Knowledge Management Systems(KMS). The findings of this study are three-fold. First, the overall user's perception of security risk is not high. However, there is a considerably big difference in the perception of security risk among users. This finding means that user's perception of a security risk is not based on the actual security effects but one's individual perception. Another finding is that user's perception of a security risk has a negative impact on the usage of KMS through "trust", which is a mediating variable in our study. This finding corresponds with the existing theory that security risk is oneof the critical sources of trust, and trust is a critical factor of user's acceptance of KMS. Finally, the result of this study reveals that activities devoted to security do not decrease the effectiveness and productivity of KMS. Our long-held cognition that security activity hinders the effectiveness and productivity of an information system is not particularly applied to the KMS.

퍼블릭 클라우드 컴퓨팅 사용 기업이 고려해야 할 보안 위험과 대응 방안에 대한 소고(小考)

  • Park, Hyungkeun
    • Review of KIISC
    • /
    • v.22 no.7
    • /
    • pp.46-53
    • /
    • 2012
  • 클라우드 컴퓨팅의 보안 위험에 대한 여러 연구 결과들을 분석해 보고 퍼블릭 클라우드 컴퓨팅의 여러 비즈니스 모델의 특성을 기반으로 재분류를 통해 퍼블릭 클라우드 컴퓨팅 사용 기업이 고려해야 할 보안 위험과 대응에 대해 고찰하고자 한다.

A Study on the Security Assessment for Information System Risk Management and Budget Management (보안성 평가를 통한 정보시스템 위험관리 및 예산관리 연구)

  • Kim, Sun-Tae;Jun, Moon-Seog;Park, Dea-Woo
    • Proceedings of the Korean Society of Computer Information Conference
    • /
    • 2008.06a
    • /
    • pp.69-77
    • /
    • 2008
  • 정보보호를 효율적이고 효과적으로 실천하는 방법으로 정보자산을 기준으로 위험관리를 수행하는 GMITS(ISO 13335)과 정보보호 관리체계 수립을 위한 ISMS(ISO 27001), 정보보호 능력성숙도 모델을 제시하는 SSE-CMM 등의 국제 표준이 존재한다. 그러나 각 표준은 위험관리를 위한 절차를 제시하거나 관리체계 수립방안, 그리고 능력성숙 수준을 제시하는 등 관리, 기술, 운영의 종합적인 보안방안을 제시하지는 못하고 있다. 또한 현 보안문제를 최고 관리자 수준에서 판단할 수 있는 종합적인 방안을 제시하지 못하고 있다. 본 논문에서는 정보시스템 보안평가를 통해 보안 기술, 관리, 운영측면의 문제점을 종합하여 위험관리가 가능하도록 하는 방안을 제안하고, 또한 제안한 위험관리를 통해 도출된 문제점을 최고관리자 수준에서 직관적으로 판단 할 수 있는 방안을 제시하여 정보보호 예산과 연계할 수 있는 방법을 제안한다.

  • PDF

The Integrated Cyber SRM(Security Risk Monitoring) System Based on the Patterns of Cyber Security Charts

  • Lee, Gang-Soo;Jung, Hyun Mi
    • Journal of the Korea Society of Computer and Information
    • /
    • v.24 no.11
    • /
    • pp.99-107
    • /
    • 2019
  • The "Risk management" and "Security monitoring" activities for cyber security are deeply correlated in that they prepare for future security threats and minimize security incidents. In addition, it is effective to apply a pattern model that visually demonstrates to an administrator the threat to that information asset in both the risk management and the security system areas. Validated pattern models have long-standing "control chart" models in the traditional quality control sector, but lack the use of information systems in cyber risk management and security systems. In this paper, a cyber Security Risk Monitoring (SRM) system that integrates risk management and a security system was designed. The SRM presents a strategy for applying 'security control' using the pattern of 'control charts'. The security measures were integrated with the existing set of standardized security measures, ISMS, NIST SP 800-53 and CC. Using this information, we analyzed the warning trends of the cyber crisis in Korea for four years from 2014 to 2018 and this enables us to establish more flexible security measures in the future.

From Security Requirements to a Security Risk Analysis Method (보안 요구사항 기반의 보안 위험도 분석 기법)

  • Dong-hyun Lee;Myoung-rak Lee;Hoh In
    • Proceedings of the Korea Information Processing Society Conference
    • /
    • 2008.11a
    • /
    • pp.574-577
    • /
    • 2008
  • 실제 소프트웨어 개발에서 지속적으로 보안관련 문제들이 발생하고 있으므로 이를 해결하기 위하여 소프트웨어 개발 주기의 초기 단계인 요구사항 분석단계에서 보안 요구사항을 추출하는 것이 필요하다. 이는 요구사항 분석 단계에 대한 투자가 소프트웨어 개발의 성공률을 높일 수 있기 때문이다. 보안 요구사항을 추출하는 기법에 대해서는 여러 방면으로 연구가 시작되었으나, 보안 요구사항을 토대로 향후 소프트웨어 개발과정에서의 보안관련 위험도를 산정하여 보안 투자의 우선순위를 정하는 기법은 아직 연구되어 있지 않다. 그러므로 본 논문에서는 추출된 보안 요구사항을 가지고 소프트웨어 보안에 대한 위험도를 산정하여 투자 비용의 우선순위를 산정하는 절차에 대해 제안한다.