• 한국IT서비스학회:학술대회논문집
• /
• 2003.11a
• /
• pp.550-557
• /
• 2003

최근 정보보호의 중요성에 대한 인식이 확산되고 있음에도 불구하고 정보보호에 관한 적절한 투자가 이루어지지 못하고 있다. 이는 전 세계적인 경제 불황이라는 원인도 있겠지만, 정보보호 예산 편성에 대찬 제도적 장치 및 절차가 미흡하여 정보보호에 대한 요구사항이 적절하게 반영되지 못하는 구조적인 문제를 가지고 있다. 미 정부에서는 정보보호 예산편성을 체계적으로 수립하도록 여러 법규와 지침이 작성되어 현재 수행 중에 있는 반면, 국내에서는 예산편성지침에 정보보호 관련 예산편성에 대한 지시는 있으나 구체적인 방법 제시나 지침이 존재하지 않고 있다. 본 연구에서는 미국의 전자정부의 출범에 따른 정보기술 예산 편성과 관련된 미 연방정부정보보호관리법(FISMA) 및 관련 법규를 검토하고 자본계획 및 투자통제프로세스를 통한 정보보호 예산 편성 과정을 분석하고자 한다. 또한 국내 정부의 예산편성 과정을 미국의 경우와 비교 분석함으로써 보다 효과적인 정보보호 예산 반영을 위한 제도적 방안 및 지침 수립을 위한 시사점을 제공하고자 한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.26 no.5
• /
• pp.1279-1294
• /
• 2016

Information security to use information technology(IT) in safety and reliability environment is becoming of great importance. In advanced countries including United States and United Kingdom are consistently expanding budget for information security. Korea also has been a growing interest in information security and Korea government announced plan to develop information security into next-generation growth engine. However, information security budget has increased slightly in recent years, so many national institutions and state governments have budget shortfall to perform information security work. Moreover budget items do not include generic contents about information security and there are confined to some security SW, HW and services. It is necessary to expand information security budget for enhancement national capabilities of information security. In this paper, we analyze the IT and information security budget situation for Korea and United States and propose effective budget expansion and improvement approaches for Korea.

• 정보보호뉴스
• /
• s.137
• /
• pp.42-45
• /
• 2009

지난해 옥션, SK브로드밴드, GS칼텍스 등의 고객정보 유출사건이 반복적으로 발생하면서 집단소송제 제기 등 개인정보보호의 문제는 사회적인 분쟁으로 확산되고 있는 실정이다. 이런 상황에서 정부의 안일한 대응과 체계적이지 못한 시스템 미비 등이 문제의 근원으로 지적되고 있다. 하지만 보다 근본적인 원인은 바로 턱없이 부족한 개인정보보호의 예산과 실효성 없는 대책에 있다. 따라서 일련의 사건들이 재발되지 않고 개인정보 유출이라는 불법행위가 근절되기 위해서는 개인정보보호 예산 편성 강화와 인터넷상 주민번호를 대체할 식별번호(i-PIN)의 도입을 통한 제도적, 기술적 보완을 강구해야 한다. 특히 정보통신 시설 및 개인정보 보호에 관한 법제를 정비하는 것이 시급하다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2020.11a
• /
• pp.438-441
• /
• 2020

20세기 이후 대한민국의 중소기업은 큰 성장률을 보인 반면, 정보보안의 중요성에 대한 인식은 크게 개선되지 않아 중소기업에서 이용하는 시스템에 많은 취약점이 존재한다. 이와 같은 취약점을 악용한 해커들의 다양한 자동화 공격 툴로 인해 보안 사고가 꾸준히 증가하는 추세이다. 그러나 중소기업의 특성 상 부족한 예산과 보안 인력의 부재로 실질적인 대응이 어려운 상황이다. 이 프로젝트는 이러한 예산 및 보안 인력의 부재에도 중소기업에서 사용 가능한 보안 솔루션 개발을 목적으로 한다.

• The KIPS Transactions:PartC
• /
• v.14C no.2
• /
• pp.115-122
• /
• 2007

US is strengthening the information security by managing federal agency's information and information system systematically. For this purpose. US government put the Federal Information Security Management Act into the E Government Act of 2002. According to the FISMA, it is required to have information securitv management plan for all federal agencies. In addition that, OMB Circular A II requires all federal agencies to identity the ratio of information security investment. That is the basis of strengthening the information security of federal agency, This paper will compare the budget status and information security mechanism of Korea and US.

• 정보보호뉴스
• /
• s.138
• /
• pp.50-53
• /
• 2009

아직까지 정보보호 활동은 기업의 입장에서 비용을 단순히 소비' 하는 업무로 인식되는 경우가 많다. 때문에 최근의 경기침체가 보안예산의 축소나 보안활동의 위축으로 이어질 것이라는 우려가 적지 않다. 그러나 정작 기업 정보보호 담당자들의 시각은 다른 것으로 나타났다. 오히려 경기침체가 정보보호 강화의 계기가 될 것이라고 전망하는 담당자도 적지 않았다. 정보보호 부서와 역할 범위가 강화되는 것으로 해석해 볼 수 있는 대목이다. 기업 보안 부서와 담당자들의 역할 변화를 감지할 수 있는 기업 정보보호 실태조사 결과의 일부를 소개해 보고자 한다. 이번 설문조사는 지난 3월 24일 (사)한국침해사고대응팀협의회가 개최했던 CONCERT FORECAST 2009 참석자 중 110명을 대상으로 실시한 것이다.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2008.06a
• /
• pp.69-77
• /
• 2008

정보보호를 효율적이고 효과적으로 실천하는 방법으로 정보자산을 기준으로 위험관리를 수행하는 GMITS(ISO 13335)과 정보보호 관리체계 수립을 위한 ISMS(ISO 27001), 정보보호 능력성숙도 모델을 제시하는 SSE-CMM 등의 국제 표준이 존재한다. 그러나 각 표준은 위험관리를 위한 절차를 제시하거나 관리체계 수립방안, 그리고 능력성숙 수준을 제시하는 등 관리, 기술, 운영의 종합적인 보안방안을 제시하지는 못하고 있다. 또한 현 보안문제를 최고 관리자 수준에서 판단할 수 있는 종합적인 방안을 제시하지 못하고 있다. 본 논문에서는 정보시스템 보안평가를 통해 보안 기술, 관리, 운영측면의 문제점을 종합하여 위험관리가 가능하도록 하는 방안을 제안하고, 또한 제안한 위험관리를 통해 도출된 문제점을 최고관리자 수준에서 직관적으로 판단 할 수 있는 방안을 제시하여 정보보호 예산과 연계할 수 있는 방법을 제안한다.

• Informatization Policy
• /
• v.23 no.1
• /
• pp.20-37
• /
• 2016

As the numbers of various cyber-crimes have sharply increased, the importance of securing information has also been emphasized. Despite the government's constant efforts to solve the issue, they hardly work in practice, and cases related to information security are still on the rise. This study investigates the reasons for the discrepancy that occurs when a solution is put to action. The research analyzes the recent shift in the administrative system with regard to information security and officials' awareness of the shift, focusing on members of local government. The results of the study confirm a steady attempt including changes in institutions at the level of the central government. However, there is still a lack of personnel and budget support at the local government level as well as not much change in the awareness of information security.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.22 no.1
• /
• pp.107-115
• /
• 2012

The level of information protection is relatively low, in comparison with the informatisation in this country. The budget for information protection is also quite marginal at 5% of the entire information-related policy budget. The passive information protection practices by companies, which focus more on the aftermaths, lead to repeated expenses for risk management. The responses to the violation of information protection should be changed from the current aftermaths-oriented focus to prevention and early detection of possible violations. We should also realize that the response to a violation of protected information is not a responsibility of an individual but a joint responsibility of the nation and the industry. South Korea has been working towards to building a systematic foundation since 2004 when guidelines were announced regarding the information protection policy and the safety diagnosis. The current level of safety policies cannot provide a perfect protection against actual violation cases in administrative, technological and physical ways. This research evaluates the level of prevention that the current systematic protection policy offers, and discusses its limitation and possible ways for improvement. It also recommends a list effective measures for protection against information violation that companies can employ to maintain the actual target safety level.

• Review of KIISC
• /
• v.21 no.6
• /
• pp.16-23
• /
• 2011

개인정보보호법이 2011년 3월 국회 법사위에서 통과되어 2011년 9월 30일 시행예정에 있다. 시행예정에 있는 개인정보 보호법은 기존 공공기관의 개인정보 보호에 관한 법률을 포함하게 된다. 기존의 개인정보보호 관련 법규 및 시행령은 크게 관리적 보호조치와 기술적 보호조치로 구분된다. 기술적 보호조치의 주요 기반기술은 개인정보보호시스템, 접근통제, 암호화, 출력매체, 접근 및 이용, 웹사이트 노출방지대책 등으로 분류할 수 있다. 본 연구에서는 개인정보보호 기술적 조치 사항의 주요기반기술에 대해 기술 및 솔루션, 시스템을 살펴보고 최근 웹 사이트 및 내부 업무시스템에서의 개인정보보호 시스템 특징을 연구하고 단계적 적용을 제안하였다. 본 연구를 통하여 2011년 9월 30일 시행되는 개인정보보호법에 대비하여 기술적 보호조치 단계를 제시함으로써 개인정보 담당자 및 정보보호 담당자에게 한정된 예산과 일정기간에 단계별로 개인정보보호 수준을 높이는 참조 모델로 활용될 수 있을 것으로 기대된다.