• 융합정보논문지
• /
• 제10권3호
• /
• pp.1-6
• /
• 2020

정보시스템은 새로운 기술의 변혁에 영향을 받는다. 따라서 정보시스템은 외부환경 변화에 신속하게 대응하여야 하며, 특히 정보시스템 장애발생시 그 복원능력이 중요시되어야 한다. 본 연구에서는 Delone과 McLean의 성공요인에 복원탄력성을 추가한 정보시스템 평가모형을 제안하였다. 또한 국내 중견제조업체의 115 사용자 들을 대상으로 한 설문조사를 바탕으로 한 자료포락분석으로 복원탄력성의 영향을 평가하였다. 연구방법으로 채택한 자료포락분석 모형은 금융권에서 주로 적용하는 Charnes 등의 모형을 적용하여 노드생성 중단값 5%에서 민감도분석에 의해 순위화된 인자들을 찾아 다른 인자들에 미치는 영향도를 탐색하였다. 분석결과, 복원탄력성에 대한 영향력은 이전의 연구에서 적용했던 다른 요인들보다 강한 영향을 미치는 것으로 나타났다. 복원탄력성을 ISO27001 정보보호규격의 평가요인으로 포함하여 정보시스템의 흡수역량을 강화하여야 할 것이다.

• 정보보호학회논문지
• /
• 제27권3호
• /
• pp.617-636
• /
• 2017

많은 기업에서 핵심 정보자산의 보호를 위해 보안관리 체계 강화 목적으로 ISO27001, 또는 K-ISMS 등 표준 보안 관리 체계를 도입하여 일정부분 성과를 얻고 있으나 최근 IT 기술의 발전과 침해수법의 진화 등으로 위협요인이 기하급수적으로 증가하고 있어 기업은 보안관리 측면에서 보다 더 신속하고, 정확한 대응조치가 필요하게 되었다. 이를 위해 보안관리 프로세스의 효율화, 핵심적 보안영역을 집중관리 할 수 있는 보안지표의 설정, 침해위험 영역을 사전 인지할 수 있는 위험지수의 산출 등을 바탕으로 한 '기업형 상시 보안관리 체계'를 연구하고, 전문가 집단의 의견을 조사하여 AHP(Analytic Hierarchy Process)방법론으로 적절성을 분석하였다. 본 연구를 통해 기업의 보안담당자들은 보안 관리 체계의 운영에 있어서 선제대응, 신속조치 등의 효율성을 향상시킬 수 있다.

• 한국인터넷방송통신학회논문지
• /
• 제23권3호
• /
• pp.19-26
• /
• 2023

전 세계적으로 에너지, 금융 서비스, 보건, 통신, 교통 분야의 클라우드 전환에 따라 지속적으로 클라우드제공업체에 대한 주요기반시설 지정 움직임이 확산되고 있다. 또한, 우크라이나 사태에서는 국가 주요시설의 클라우드 사용 규제 철폐와 신속한 주요 데이터에 대한 클라우드 전환으로 인해 러시아의 기반시설을 겨냥한 사이버 공격에 효율적으로 대처할 수 있었다. 한국에서는 체계적, 종합적인 정보보호 관리체계를 구현하고, 조직의 정보보호 및 개인정보보호 관리 수준 향상을 위해 ISMS-P가 기업의 정보보호 및 개인정보보호 수준 제고를 위해 운영되고 있다. 클라우드 환경을 고려한 통제항목이 수정, 추가 되어 기업의 심사에 운영되고 있다. 그러나, 클라우드의 국내외 기술적 수준이 상이하고 하이퍼스케일 규모에 대한 국내 인증심사원들의 교육을 위해서는 Microsoft같은 클라우드 공급업체의 결함사항에 대한 정보를 구하기 쉽지 않았다. 이에, 본 논문에서는 하이퍼스케일 클라우드상 에서의 결함사항을 분석하고, 하이퍼스케일환경과 ISO/IEC 27001 및 SOC 보안 국제 표준과의 정합성을 고려하여 보다 클라우드에 특화된 통제항목 개선방안을 제시하였다.

• 정보보호학회지
• /
• 제25권4호
• /
• pp.6-10
• /
• 2015

기업에 의해 수집되어 관리되고 있는 개인정보가 유출되는 사고가 빈번하게 발생하고 있어서 기업의 개인정보보호 대응능력을 강화하기 위한 관리체계의 도입이 요구되고 있다[1,2]. 국제표준화위원회/전기위원회 합동위원회 1의 정보보호 기술연구반 아이덴터티 관리 및 프라이버시 작업반 (ISO/IEC JTC 1/SC 27/WG 5)에서는 기업을 위한 개인정보보호 원칙을 제시하고, 개인정보보호 위험 평가 지침을 제시하며 개인정보보호를 위한 각종 통제를 제시하기 위한 국제 표준화 작업을 수행하고 있다[18]. 정보보호관리체계 작업반(WG 1)에서는 2013년부터 정보보호관리 요구사항을 다룬 ISO/IEC 27001[6]을 이용해 여러 섹터에 적용되는 정보보호관리체계 구축을 위한 요구사항에 대한 국제표준화를 추진하고 있다. 본 논문에서는 작업반 1과 작업반 5에서 수행되고 있는 개인정보보호 관련 국제 표준화 활동의 동향을 살펴보고, 개인정보보호 관리체계 구축을 위한 국제 표준의 배열을 제시한다.

• 디지털산업정보학회논문지
• /
• 제6권4호
• /
• pp.307-317
• /
• 2010

The majority of financial and general business organizations have had individual damage from hacking, worms, viruses, cyber attacks, internet fraud, technology and information leaks due to criminal damage. Therefore privacy has become an important issue in the community. This paper examines various elements of the information security management system and discuss about Information Security Management System Models by using the analysis of the financial statue and its level of information security assessment. These analyses were based on the Information Security Management System (ISMS) of Korea Information Security Agency, British's ISO27001, GMITS, ISO/IEC 17799/2005, and COBIT's information security architecture. This model will allow users to manage and secure information safely. Therefore, it is recommended for companies to use the security management plan to improve the companies' financial and information security and to prevent from any risk of exposing the companies' information.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2008년도 제38차 하계학술발표논문집 16권1호
• /
• pp.69-77
• /
• 2008

정보보호를 효율적이고 효과적으로 실천하는 방법으로 정보자산을 기준으로 위험관리를 수행하는 GMITS(ISO 13335)과 정보보호 관리체계 수립을 위한 ISMS(ISO 27001), 정보보호 능력성숙도 모델을 제시하는 SSE-CMM 등의 국제 표준이 존재한다. 그러나 각 표준은 위험관리를 위한 절차를 제시하거나 관리체계 수립방안, 그리고 능력성숙 수준을 제시하는 등 관리, 기술, 운영의 종합적인 보안방안을 제시하지는 못하고 있다. 또한 현 보안문제를 최고 관리자 수준에서 판단할 수 있는 종합적인 방안을 제시하지 못하고 있다. 본 논문에서는 정보시스템 보안평가를 통해 보안 기술, 관리, 운영측면의 문제점을 종합하여 위험관리가 가능하도록 하는 방안을 제안하고, 또한 제안한 위험관리를 통해 도출된 문제점을 최고관리자 수준에서 직관적으로 판단 할 수 있는 방안을 제시하여 정보보호 예산과 연계할 수 있는 방법을 제안한다.

• 정보보호학회지
• /
• 제23권4호
• /
• pp.7-14
• /
• 2013

영업비밀 관련 또는 특허문제로 소송이 빈번하게 발생하는 요즘 특허 전쟁에 있어서도 해당 정보를 적절하게 보호하고 유지하기 위한 특허정보 관리체계에 있어서의 정보보안은 매우 중요한 요인으로 인식되고 있다. 이러한 상황에서 보안사고가 발생했을 경우, 이에 효과적으로 대응하기 위한 방안들에 대해 기업 전반에 걸쳐 인지될 필요성 또한 부각되고 있으며 이를 가능하게 해주는 방안으로 국제인증 기준이 떠오르고 있다. 각종 정보보호의 중요성에 따른 기업 관리시스템들이 이러한 인증체계를 도입 및 운영하고 있는 추세이며 이를 뒷받침 해주기 위해 특허법을 비롯하여 관련 컴플라이언스를 준수하기 위한 개인정보보호법(안전성 확보조치), 정보통신망 이용촉진 및 정보보호 등에 관한 법률과 같은 정보보호 법률을 기준으로 제시할 수 있다. 사례 기업에서는 이 중 정보보호 국제인증의 대표격인 ISO27001을 바탕으로 현재 특허관련 기업에 필요한 정보보호관리체계를 정립 및 적용하였다. 해당 정보보호 관리체계는 특허관련 업무분장에서 주요하게 다루어지지 않았던 기술적, 관리적, 물리적 보안에 대한 부적합사항을 충족시키고 특허정보보호업무, 감사업무, 검사업무, 전산운영 등 분산된 업무를 일관된 업무로 통합하는 효과적인 관리체계가 될 수 있음을 제시하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2017년도 춘계학술발표대회
• /
• pp.227-229
• /
• 2017

ICT산업의 발전과 전자상거래의 대중화에 따라 정보시스템에 대한 지능 고도화 된 사이버위협이 증가되고 있고, 개인 및 기업정보 유출의 피해규모가 커짐에 따라 정보보호의 중요성이 한층 더 부각되고 있다. 이미 세계 각국에서는 ISO27001, BS10012 등 정보보호 관리 제도를 구축하여 운영하고 있다. 이에 국내에서도 미래창조과학부 주관 정보보호 관리체계(ISMS:Information Security Management System) 인증제도를 비롯한 정보보호 제도를 구축하여 기업 정보자산의 안전과 신뢰성 향상 등의 목적으로 자율과 의무 대상을 구분하여 운영하고 있다. 하지만 기업의 규모와 환경, 매출 등에 따라 형평성 있게 구분하지 않은 현재의 정보보호 관리체계 인증제도에는 여러 모순이 존재한다. 통제항목을 비롯한 세부점검항목을 인증 기업을 대상으로 모두 공통으로 적용하기 때문이다. 본 논문에서는 정보 보호 관리체계 인증제도와 유사 인증체계를 비교하여 인증기준 항목을 기업의 규모와 특성에 따라 유형별로 구분하여 적용하는 방안을 연구하였다.

• 정보보호학회지
• /
• 제21권2호
• /
• pp.19-22
• /
• 2011

정보보호관리 표준은 ISO/IEC JTC1/SC27 WG1에서 주도적으로 진행하고 있으며, ITU-T SG17 Q.3에서는 SC27과의 긴밀한 협력 관계를 유지하면서 정보통신조직에 특화된 정보보호관리 표준에 치중하고 있다. 현재 제정된 정보보호관리 국제표준으로는 정보보호관리체계에 관한 요구사항 (27001) 및 통제표준 (27002)과 이와 관련된 지침 성격 표준들이 상당 부분 국제표준으로 발표되었다. 최근에는 기 발표된 국제표준에 대한 개정 작업과 정보통신조직, 금융조직 등 특정 산업이나 정보보호 거버넌스 등 특정 이슈에 해당되는 정보보호관리 표준 제정 작업이 한창 진행 중에 있다. 인터넷의 확산과 정보화의 역기능 증가에 따라 능동적인 정보보호관리체계의 수립을 위하여, 국내에서도 정보보호관리 표준의 제정 과정에 적극적으로 참여할 뿐 아니라 국내 많은 조직에서 정보보호관리 표준이 적용되어 전반적인 정보보호관리 수준이 향상 될 수 있도록 할 필요가 있다.

• 정보보호학회지
• /
• 제20권1호
• /
• pp.31-38
• /
• 2010

인터넷이 급속하게 확산되면서 그 동안 오프라인 환경에서만 가능하던 많은 일들을 사이버 상에서도 가능하게 해준 반면에 해킹이나 바이러스 등 새로운 보안위협도 증가하게 되었다. 최근 기업이나 조직에서는 산발적인 보안 관리에서 종합적이고 체계적인 정보보호관리체계가 요구되고 있으며 국내에서도 2001년 7월부터 정보보호관리체계(ISMS) 인증제도가 시행되어, 2009년 12월 현재 77개 업체(기관)가 인증을 받았으며, ISO27001 인증 건수도 100여건에 이르고 있다. 이와 같이 ISMS 인증제도가 국내에 도입된 이래 인증수요는 꾸준히 증가하여 기업경쟁력의 중요한 수단으로 인식되어 가고 있는 추세인 반면 ISMS 인증의 실수요자가 인식하는 인증의 효과성 등의 질적인 측면이 미흡하다는 문제는 끊임없이 제기되어 오고 있다. 본 고에서는 그동안 인증취득기관의 정보보호관리체계(ISMS) 인증 심사과정에서 지적된 결함사례를 분석하고, 국내 중소, 대기업들이 정보보호관리체계를 수립하여 운영하는 과정에서 공통적으로 나타나는 결함사항을 도출함으로써, 향후 기업들이 정보보호관리체계를 수립하는 과정에서 중점적으로 고려해야 할 사항들이 무엇인지 고찰하고자 한다.