• 제목/요약/키워드: Information security management condition evaluation

검색결과 8건 처리시간 0.023초

미(美) NIST 보안성 자동평가프로토콜(SCAP)분석을 통한 공공기관의 정보보안관리실태 평가제도 개선방안 연구 (A Study on the Improvement of Information Security Management Condition Evaluation in Public Sector through the SCAP Analysis by NIST in U.S.)

  • 지윤석;이용석;윤덕중;신용태
    • Journal of Information Technology Applications and Management
    • /
    • 제26권4호
    • /
    • pp.31-39
    • /
    • 2019
  • The 129 public institutions in Korea are subject to Information Security Management Condition Evaluation (ISMCE) as a part of the government management evaluation system by the Ministry of Economy and Finance. ISMCE is started in 2006 with the central government institutions, and applied to the all public institutions in 2009. This evaluation is annually conducted by the National Intelligence Service through the site visits, and the number of the evaluated institutions is increasing year by year. However, the process of ISMCE - identifying existing vulnerabilities in the information system - is conducted manually. To improve this inconvenience, this paper introduces the various evaluation system in the major countries, especially in the United States, and analyzes the Security Content Automation Protocol (SCAP) by NIST. SCAP is automation protocol for the system vulnerability management (in technical fields) and security policy compliance evaluation. Based on SCAP, this paper suggests an improvement plan for the ISMCE of Korea.

Developing a Framework for the Implementation of Evidence Collection System: Focusing on the Evaluation of Information Security Management in South Korea

  • Choi, Myeonggil;Kang, Sungmin;Park, Eunju
    • Journal of Information Technology Applications and Management
    • /
    • 제26권5호
    • /
    • pp.13-25
    • /
    • 2019
  • Recently, as evaluation of information security (IS) management become more diverse and complicated, the contents and procedure of the evidence to prepare for actual assessment are rapidly increasing. As a result, the actual assessment is a burden for both evaluation agencies and institutions receiving assessments. However, most of them reflect the evaluation system used by foreign government agencies, standard organizations, and commercial companies. It is necessary to consider the evaluation system suitable for the domestic environment instead of reflecting the overseas evaluation system as it is. The purpose of this study is as follows. First, we will present the problems of the existing information security assessment system and the improvement direction of the information security assessment system through analysis of existing information security assessment system. Second, it analyzes the technical guidance for information security testing and assessment and the evaluation of information security management in the Special Publication 800-115 'Technical Guide to Information Security Testing and Assessment' of the National Institute of Standards and Technology (NIST). Third, we will build a framework to implement the evidence collection system and present a system implementation method for the '6. Information System Security' of 'information security management actual condition evaluation index'. The implications of the framework development through this study are as follows. It can be expected that the security status of the enterprises will be improved by constructing the evidence collection system that can collect the collected evidence from the existing situation assessment. In addition, it is possible to systematically assess the actual status of information security through the establishment of the evidence collection system and to improve the efficiency of the evaluation. Therefore, the management system for evaluating the actual situation can reduce the work burden and improve the efficiency of evaluation.

민간기업과 공공기관의 정보보호 관리체계 차이 비교 (Comparison of The ISMS Difference for Private and Public Sector)

  • 김지숙;이수연;임종인
    • 정보보호학회논문지
    • /
    • 제20권2호
    • /
    • pp.117-129
    • /
    • 2010
  • 정보보호 관리체계 구축을 지원하기 위해 민간기업 대상으로는 "정보통신망 사용 촉진 및 정보보호 등에 관한 법률"에 근거하여 한국인터넷진흥원이 인증하는 ISMS제도가 있으며 공공기관 대상으로는 아직 인증제도는 없으나 "전자정부법"에 근거하여 국가정보원이 '정보보안 관리실태 평가제도'를 운영하고 있다. 본 논문에서는 민간부문과 공공부문에서 시행하고 있는 정보보호 관리체계 통제항목에 대한 비교와 함께 그간 실시한 평가 미흡사항을 분석하여 이를 토대로 효율적인 정보보호 관리체계 구축방안을 살펴보고자 한다.

PACS에서 보안관리 평가기준 연구와 실태조사 (Research on a Valuation Standard and the Actual Condition About Security Management in PACS)

  • 정재호;동경래;권대철;손기경;김현수;강희두
    • 대한방사선기술학회지:방사선기술과학
    • /
    • 제31권4호
    • /
    • pp.347-353
    • /
    • 2008
  • 본 연구는 의료기관 PACS 운영 및 영상정보관리 과정에서의 개인정보보호와 보안 관리에 대한 보안평가 기준 및 보안평가에 따른 등급기준을 마련하고자 하였다. 보안평가기준과 보안평가 등급기준의 지표를 도출하기 위해 ISO17799(BS 7799), HIPPA(Health Insurance and Portability and Accountability Act of 1996), 국내 의료법 등을 참조하여 정책적 보안, 기술적 보안, 데이터관리 보안, 물리적 보안 등 4가지 항목을 대분류로 선정 후 10개의 세부 평가항목을 선정하여 점수화 하였다. 도출된 보안평가기준과 보안등급의 지표를 가지고 30곳의 의료기관에서 조사를 시행하였다. 대분류의 평가 요소 중 물리적 보안 항목의 전체 의료기관평균 점수는 20점 만점기준 18.5점(93%)으로 가장 우수한 점수를 나타내었으며, 정책보안항목 30점 기준18.5점(62%), 데이터관리 보안항목 20점 기준 12점(60%), 기술적 보안항목 30점 기준 17.5점(58%) 순임을 알 수 있었다. 30개 종합병원의 보안평가 점수는 평균 67점으로 4등급 수준을 나타내었다. PACS환경에서 취약한 개인정보보호 및 보안의식에 대한 관리기준 수립이 필요하다.

  • PDF

산업기술 보호 관리실태 및 발전방안에 관한 연구 (A Study on the Real Condition and the Improvement Directions for the Protection of Industrial Technology)

  • 정태황;장항배
    • 시큐리티연구
    • /
    • 제24호
    • /
    • pp.147-170
    • /
    • 2010
  • 본 연구는 산업기술 보호를 위한 관리적 발전방안을 마련하기 위하여 공공기관, 대기업, 중소기업 등을 대상으로 관리적 보안실태에 대해 조사 분석을 실시하였으며, 그 결과는 다음과 같다. 첫째, 보안정책을 효과적으로 실행할 수 있는 기반 구축이 필요하다. 조사대상 대부분이 보안규정을 잘 관리하고 있으나 보안규정을 지키거나 지속적으로 개선하려는 노력이 부족한 것으로 나타났다. 이를 개선하기 위하여 보안전담조직과 보안담당자 운영방법을 개선할 필요가 있으며, 보안규정을 모든 구성원에게 알리고 보안업무 수행을 위한 팀 간 업무 공조체계를 이룰 수 있는 조직문화를 활성화 할 필요가 있다. 이와 함께 지속적인 보안점검과 보안감사를 통해 보안의식을 향상시키고, 보안규정 준수 여부를 직원업무평가에 반영함으로써 보안정책을 가시화 할 필요가 있다. 둘째, 보안활성화를 위한 보안투자가 필요하다. 기술 유출경로와 수단이 다양화 첨단화 되어가고 있을 뿐 아니라 복잡하고 빠른 속도로 변화하기 때문에 관련 전문기관인 국가정보원, 한국인터넷진흥원, 정보보호 컨설팅 전문기업, 관련 대학 및 연구소 등과의 협조채널 유지하고, 필요에 따라서는 보안 전문기관으로부터 outsourcing 도입을 검토할 필요가 있다. 특히 공공기관이나 대기업에 비해 보안정책 운영실태가 미흡한 중소기업은 조직 규모나 재정적 여건을 감안하여 보안관리 능력을 보강할 수 있도록 국가적인 차원의 지원시스템을 증가할 필요가 있다. 셋째, 산업기술 유출의 주체는 사람으로 인력관리가 중요하다. 신규 입사자와 임직원을 대상으로 하는 정기적인 교육률은 높은 것으로 평가되나 핵심기술에 접근하는 임직원과 제3자로부터의 보안서약서 작성과 중요자산에 대한 접근권한이 변경될 때 접근권한 변경 적용과 같은 업무의 활성화가 필요하다. 중요기술을 다루는 사람에 한하여 신원조사를 실시할 수 있는 여건조성이 필요하며, 퇴사자에 대한 보안서약서 징구와 정보시스템에 대한 접근권한 제거, 계정삭제와 같은 퇴직자 관리를 강화할 수 있어야 한다. 넷째, 중요한 자산에 대한 관리와 통제를 강화해야 한다. 자산에 대한 목록과 관리기준은 비교적 잘 정리되어 있으나 자산의 중요성에 따른 등급화작업의 활성화와 자산의 유출 및 손상의 경우를 대비한 영향 정도를 평가할 수 있는 작업이 필요하다. 자산에 대한 중요도는 시간흐름 및 업무특성에 따라 변화되기 때문에 주기적인 자산평가 작업과 분류작업을 통해 사용자별로 권한을 설정할 수 있어야 한다.

  • PDF

A Study on User Interface Design According to 3D Menu Type and Control Type for 3D Displays

  • Kim, Jae-Ho;Jung, Sung-Wook;Choe, Jae-Ho;Jung, Eui-S.
    • 대한인간공학회지
    • /
    • 제30권4호
    • /
    • pp.551-562
    • /
    • 2011
  • Objective: We proposed an effective 3D menu manipulation alternative with a usability test. This was performed in a 3D environment with 3D menu and control manipulation methods. Background: As 3D stereoscopic displays became generalized, various 3D applications were being used not just movies, games, but also mobile contents and advertisements. However, when a user interface was designed in a 3D environment, it was lacked that a clear standard and result of an efficiency and usability as like a 2D environment. Method: We implemented 9 kinds of 3D menu types based on 3D menu hierarchies, menu layouts and dimensions. And we extracted 3 representative control types in a 3D environment. We performed usability evaluation with full factorial design for 27 menu alternatives with 2 types of menu manipulation tasks. In this condition, we measured the performance time, subjective discomfort and eye-fatigue. Results: A control type had the significant effect, and the effect of menu types had the different result depending on given tasks. Conclusion: This experiment showed the interaction of menu and control types depended on 3D menu manipulation tasks were significant in a 3D user interface design. Therefore, as a purpose of a 3D menu manipulation task, 3D menu types and control types were should be considered. Application: We supposed this result was should be applied in a 3D menu contents design.

국가기반시설 자산관리위험도분석 개념 연구 (Conceptual Study for Risk Assessment of Asset Management of Infra Structure System)

  • 박미연;박형주
    • 한국방재안전학회논문집
    • /
    • 제5권1호
    • /
    • pp.43-47
    • /
    • 2012
  • 기반시설물의 자산관리란 기반시설 운영을 지원하는 기반시설물에 대한 상태 및 성능을 평가하고 적절한 유지보수보강을 수행하여 수명을 연장시키며, 종국적으로 국가예산을 절감할 수 있는 모든 수단을 강구하는 유지운영관리의 전사적인 체계라 할 수 있다. 이 자산관리의 범위에는 관리조직, 관리인력, 그리고 조직의 목표와 슬로건, 장단기적인 사업 계획 뿐만 아니라 정보 및 데이타 등의 전체적인 것을 아우르고 있다. 기반시설 자산관리에서의 핵심은 운영 효율성과 보수 작업성, 그리고 시설 안전성 및 재해 위험성, 그리고 조직관리 및 단계적인 정책 수립을 위한 의사결정 기준수립이 관건이 된다. 따라서 본 연구에서는 일반적인 기반시설 자산관리분석위험도 기법에 대한 개괄적 소개와 더불어 BRE(Business Risk Exposure)를 통한 위험도 평가 및 기반시설 자산관리차원의 위험평가방법에 대한 전반적인 절차를 구성하여 제시하였다. 또한 사회기반시설유지관리상의 의사결정에서 가장 중요시 될수 있는 최적유지관리시기 및 비용에 대한 리스크 관리의 필요성을 제시하고자 하였다.

댐-보 최적 연계운영을 통한 용수공급능력 평가에 관한 연구 (A Study on Evaluation of Water Supply Capacity with Coordinated Weirs and Multi-reservoir Operating Model)

  • 채선일;김재희;김승권
    • 한국수자원학회논문집
    • /
    • 제45권8호
    • /
    • pp.839-851
    • /
    • 2012
  • 일반적으로 수계의 용수공급능력을 평가하기 위해서는 수요량을 단계적으로 증가시키며 용수부족 여부를 검토하고 그 결과에 따라 수요량을 조정하는 시행착오법을 사용한다. 이것은 시뮬레이션 모형 뿐 아니라 최적화모형의 경우에서도 마찬가지다. 그러나 이 같은 시행착오법은 수차례의 최적화를 반복하는 번거로움을 수반한다. 이에 본 연구에서는 물 부족이 발생하지 않은 최대 용수공급능력을 보다 쉽게 찾을 수 있도록 2단계의 목표계획기반 최적화 모형을 제시하였다. 즉, 제1단계에서는 제시된 모형을 유입량 정보가 정확하다는 가정아래 최대 용수공급능력을 산정한다. 그리고 제2단계에서는 실제 용수공급상황에서는 미래 유입량에 대한 정보가 없는 점을 고려하여 최대 갈수기간에 한해 실시간 모의운영을 통하여 용수공급능력을 산정한다. 이 방법을 다기능 보가 신설되어 기존 수문환경과 차이점을 보이는 금강수계에 적용하고, 완전한 정보가 있는 경우와 그렇지 않은 경우의 결과를 비교함으로써 유입량 정보가 용수공급능력에 미치는 영향을 이해하고 평가할 수 있었다.