• 한국IT서비스학회:학술대회논문집
• /
• 2003.05a
• /
• pp.363-370
• /
• 2003

지금까지 국내 보안감리 평가는 정성적인 평가에 머물러 있어 평가를 담당하는 감리인마다 평가 결과가 서로 상이하여 피 평가자에게 신뢰를 심어주지 못하는 결과가 초래되고 있다. 본 연구에서는 보안감리에 대한 국내의 연구와 해외 사례를 참조하여 SI사업에서의 보안감리평가 효율성을 제고할 수 있는 방안 및 평가체계를 정량화하는 방안을 제시하였다. 이를 위해 SI사업의 소프트웨어 개발 및 개발 환경(네트워크, 서버 등)을 중심으로 한국전산원에서 제시하고 있는 보안감리 지침과 한국정보시스템감리인협회의 보안관련 세부 감리지침을 통합하고 세부 감리지침에 따른 평가를 정량화 하였다. 보안감리 평가의 정량화 방안에 대한 감리전문가의 인터뷰와 사례 프로젝트의 적용을 통하여 연구 모형에 대한 검증을 실시하였다.

• Journal of the Korea Institute of Information and Communication Engineering
• /
• v.24 no.3
• /
• pp.428-434
• /
• 2020

Recently, due to the development of ICT technology, changes to the convergence service platform of information systems are accelerating. Convergence services expanded to cyber systems with 5G communication, IoT, AI, and cloud are being reflected in the real world. However, the field of cybersecurity audit for responding to cyber attacks and security threats and strengthening security technology is insufficient. In this paper, we analyze the international standard analysis of information security management system, security audit analysis and security of related systems according to the expansion of 5G communication, IoT, AI, Cloud based information system security. In addition, we design and study cybersecurity audit checklists and contents for expanding security according to cyber attack and security threat of information system. This study will be used as the basic data for audit methods and audit contents for coping with cyber attacks and security threats by expanding convergence services of 5G, IoT, AI, and Cloud based systems.

• 한국IT서비스학회:학술대회논문집
• /
• 2008.11a
• /
• pp.419-422
• /
• 2008

유비쿼터스 시대의 핵심 기반기술인 RFID와 관련하여 공공기관을 중심으로 시범 사업 및 본 사업이 활발하게 추진되고 있다. 또한 RFID 기반 정보시스템에 대한 감리 수요도 계속 증가하고 있으며, 특히 개인정보보호에 대한 관심이 확산되면서 보안감리의 비중도 높아지고 있다. 이와 관련하여 RFID 기반 정보시스템의 사업특성을 적절히 반영한 보안감리 점검항목이 요구되고 있다. 따라서 본 논문에서는 현행 RFID 기반 정보시스템에 대한 감리를 보다 체계적이고 효율적으로 수행하는데 활용될 수 있는 RFID 사업특성기반의 보안감리 점검항목을 제안한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.18 no.1
• /
• pp.139-148
• /
• 2008

Information technology have led to change the automation of large industrial control system as well as business system and environments. Industrial control system(ICS) is vital components of most nation's critical infrastructures such as electricity, natural gas, water, waste treatment, transportation and communication that are based of national security, safety of citizen and development of national economy According to the change of business environment, organizational management pushed integration all of the system include MIS and ICS. This situation led to use standard information technologies for ICS, this transition has been to expose ICS to the same vulnerabilities and threats that plague business system. Recently government obliged owners of the public information system to audit for safety, efficiency and effectiveness, and also obliged the owners of national infrastructure to improve their system security as a result of vulnerability analysis. But there doesn't prepare a security architecture and information security auditing framework of ICS fur auditing. In this paper, I suggested the security architecture and information security auditing framework for ICS in order to prepare the base of industrial system security auditing.

• Proceedings of the Korea Database Society Conference
• /
• 2001.11a
• /
• pp.622-635
• /
• 2001

최근의 정보 시스템 감리수요는 공공부문을 중심으로 매우 빠르게 증가하여 점차적으로 민간부문으로 확대되고 있는 추세이다. 이는 정보 시스템 감리를 통해 정보 시스템의 품질 향상을 기대할 수 있기 때문이며, 향후에도 조직의 정보시스템에 대한 의존도가 증가할 것 이므로, 정보시스템의 효과성, 효율성 및 보안성은 더욱 중요한 문제로 대두 될 것이며, 따라서 시스템 감리의 중요성은 높아질 수 밖에 없을 것이다. 그러나 아직 정보시스템감리는 이러한 기대에 부응하기 위한 체계적 기술분야로 정립되지 못하고 있으며, 그 원인으로서는 분석 결과의 객관적 증거 확보를 통한 감리 결과의 신뢰성 제고가 미흡한 것이 제기되고 있다. 이는 정보시스템 감리가 다분히 주관적인 요소에 의해 수행되며 이로 인하여 감리인과 피감리인 간의 의견 상충이 다수 발생되며, 이러한 갈등은 감리의 효과성을 크게 저하시키고 있다. 본 연구 이러한 문제를 극복하기 위해 다양한 문헌 고찰을 통해 실질적인 계량적 감리 접근방법을 제시하고자 한다. 본 연구에서 제시된 방법론 실무에서 유용하게 쓰일 수 있으며, 이러한 노력은 우리나라의 감리 품질 제고에 큰 도움이 될 것이라 생각한다. 또한 이러한 계량적 데이터 추후 감리 연구의 기초 자료로 활용될 수 있어 감리 연구에도 많은 도움이 될 것이다.

• 한국IT서비스학회:학술대회논문집
• /
• 2003.11a
• /
• pp.407-412
• /
• 2003

인터넷 기술을 기반으로 하는 웹기반 시스템은 웹 브라우저를 이용한 편리한 사용성과 하이퍼링크를 이용한 효과적인 연결성을 TCP/IP 네트워크 위에서 경제적으로 제공함으로서 최근 급속히 개발이 증가하고 있다. 그러나 운영환경에서 서버 측의 다양한 플랫폼과 운영체제, 그리고 클라이언트 측의 다양한 웹 브라우저가 혼재되어 존재하는 웹기반 정보시스템의 특성은 정보시스템의 개발 뿐 만 아니라 감리에서도 기존의 메인프레임 및 클라이언트/서버 시스템의 경우와 다른 특성을 갖는다. 본 논문에서는 웹기반 정보시스템의 특성과 보안감리 규격인 SSE-CMM의 프로세스 모델에 대하여 분석한 후 웹기반 정보시스템의 보안감리를 위한 새로운 프로세스 모델에 대하여 논하였다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.04b
• /
• pp.1163-1166
• /
• 2002

ASP서비스는 사용기업의 데이터를 외부의 데이터센터에 위치시키고, 데이터에 대한 사용권만을 제공하는 극단적인 외주 형태의 서비스이다. 따라서 ASP서비스는 보안문제와 서비스 제공업체의 신뢰성 문제가 어떤 형태의 정보시스템보다 크게 부각된다. 이러한 ASP서비스에 대한 신뢰성과 효율성 확보를 위한 감리 프로세스는 필수적일 것이다. 본 논문에서는 ASP서비스에 대한 감리 프로세스를 제안한다. 우선, 기존의 정보시스템 감리의 정의를 통하여 ASP감리의 정의를 도출하고, ASP프레임워크를 제안하며, 제안된 프레임워크에 따른 통제항목을 설정한다. 마지막으로 검증단계에서 ASP감리 프레임워크를 기존의 정보시스템 감리 프레임워크와 비교분석하고, ASP서비스 수명주기 세부활동 별 통제항목의 중요도를 산출한 설문을 통해서 통제항목의 타당성을 검증한다.

• Journal of Digital Convergence
• /
• v.12 no.1
• /
• pp.229-239
• /
• 2014

Smartwork technology, using teleworking, smartwork centers and mobile terminal, provides a flexible work environments without constraints of time and space. Smartwork system to increase the work efficiency has the information protection threats according to their convenience. Thus, in order to build smartwork, it is proper to provide information protection audit to help ensure the information protection. In this paper, we have proposed an infortaion protection audit model at the practical and technical level for building a smartwork environment. We were classified as a terminal, network and server area for information protection, and derived a professional information protection check items. Further, by establishing a smartwork information protection audit time to map ISMS control items, we have proposed an audit model so that it is possible to improve the security and efficiency. It also verified whether the proposed model is suitable or not by doing a survey if deduced audit domain and check items correspond with the purpose of the smartwork information protection audit to auditors and IT specialists. As the result, this study was 97% satisfaction out of 13 check items.

• The Journal of the Korea Contents Association
• /
• v.11 no.3
• /
• pp.84-99
• /
• 2011

As the integrated and large-scale information is extended due to an advanced information system, a possibility of leaking out privacy increases as the time passes by. As a result, the necessity of using a privacy impact assessment (PIA) is emphasized because it can analyze and minimize the element of invasion of privacy. However, an essential audit for personal information protection is not fulfilled because most of the information system audit supervises over physical, managerial, and technical security items of system architecture area so that general items are the only things being checked. Consequently, this paper proposes that in order to minimize the invasion of personal information, the privacy impact assessment should be done. It also presents a procedure and method of personal information protection audit according to the result of the assessment. After applying the suggested method to two projects, it was confirmed that the improvements for protecting personal information were drawn from this paper.

• Journal of Digital Convergence
• /
• v.12 no.7
• /
• pp.133-145
• /
• 2014

Recently, Hospital information systems have the large databases by wide range offices for hospital management, health care to improve the quality of care. However, hospital information systems for information security measures are insufficient. Therefore, when we construct the hospital information system, we have to audit the information security measures for them, and we have to manage the ISMS(Information Security Management System) to maintain the information protection level through the risk managements. In this paper, we suggested the hospital information security audit model for the protection of health information privacy by the current hospital information systems, information security management system(ISMS), and hospital information security requirements and threats. We derived the check items compared with ISO27799 reflected the characteristics of the hospital. We classified the security domains as the physical, technical, administrative domain, and derived the check items for information security. We also designed the check lists by mapping the ISO27799 risk management process to improve the security and efficiency simultaneously. Our model by the five-point scale survey of IT experts was verified the suitability with the average of 4.91 points.