• 정보보호학회지
• /
• 제11권6호
• /
• pp.1-11
• /
• 2001

정보보안 분야가 성숙해짐에 따라 다양한 평가방법론들이 개발되어 적용되고 있다. 그러한 방법론들 중에서 본고에서는 품질 보증의 수단으로써 정보보안 제품/시스템의 개발기관의 보안공학 수행 능력을 평가하기 위한 SSE-CMM에 대하여 살펴본다. SSE-CMM의 개념적 기초가 되는 보안공학에 대하여 먼저 살펴보고, 보안공학 수행 능력의 수준을 평가하기 위한 평가 기준의 체계와 구성과 함께, SSE-CMM을 이용하여 평가를 수행하기 위한 평가방법론을 구체적으로 제시하고 있는 SSAM에 대하여도 살펴본다. SSE-CMM이 근거하고 있는 보안공학은 효과적인 정보보안을 도모하기 위한 개념적 틀이라는 점을 몇 가지 정보보안관리 지침들과의 비교를 통하여 논의하였다. SSE-CMM은 현재 ISO 표준으로 상정되어 표준화가 진행 중이다. 정보보안 분야의 여러 평가방법론들과 더불어 보다 다양한 관점에서 정보보안의 효과성을 보증해주는 도구로 활용될 것이다.

• 융합보안논문지
• /
• 제12권4호
• /
• pp.25-31
• /
• 2012

정보보호수준 검증방법은 프로세스를 중심으로 정보보호 제품, 시스템, 서비스를 개발하려는 조직의 개발능력을 평가하는 SSE-CMM(System Security Engineering-Capability Maturity Model)모델이 있다. CMM은 소프트웨어 개발업자의 개발능력을 평가하고 개선시키며 조직 전체의 성숙도 수준을 측정하는 모델이다. 그러나 이 방법은 보안엔지니어링 프로세스의 개선과 능력을 평가하는데 조직차원이 아닌 개별 프로세스의 능력수준 평가에 그치고 있다. 본 연구과제에서는 이들 기존연구를 근간으로 기술적 관점에서 정보보호수준 성숙단계를 정의하고자 한다. 연구방법은 정보보호취약점 진단, 기술보안체계 검증, 기술보안 이행실태 진단으로 구성한다. 제안하는 방법론은 업무현장에서의 범위와 수준에서 정보시스템의 현재 상태, 취약점 실태, 정보보호 기능 이행과 기능만족도 수준을 평가한다. 제안된 방법에 의한 평가결과는 정보보호 개선대책 권고모델 수립 근거로 활용하여 정보보호 개선의 활용을 목표로 하고 있다.

• 디지털콘텐츠학회 논문지
• /
• 제15권1호
• /
• pp.121-128
• /
• 2014

SSE-CMM은 보안엔지니어링을 공학, 보증, 위험 프로세스의 3가지 요소로 나누고 있으며 정보보호 성숙도 평가 모델과 수준을 제시하고 있다. 정보보호 성숙도 측정은 취약점 진단, 위험분석 방법론을 실무 현장에서 사용할 수 있도록 종합적으로 결론을 제시한다. 사이버거래의 일반적인 서비스는 인터넷 뱅킹, 모바일 뱅킹, 텔레뱅킹 등이다. 사이버거래 처리구조의 한 종류인 뱅킹시스템 정보보호 성숙도 측정방법론 연구 목적은 기존의 취약점 진단, 위험분석 방법론을 실무현장에서 사용할 수 있도록 종합적 결론을 제시한다. 안전성과 편리성을 확보하여 이용자들이 사이버 거래를 편리하게 이용할 수 있는 환경을 구축하는 것이 사이버 거래 활성화의 핵심이다. 특히 업무현장에서 정보보호 성숙도 측정을 통한 사이버뱅킹시스템의 안전성을 확보한다면 현장의 실무처리 결과로 많은 효과가 나타날 것으로 기대한다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2008년도 제38차 하계학술발표논문집 16권1호
• /
• pp.69-77
• /
• 2008

정보보호를 효율적이고 효과적으로 실천하는 방법으로 정보자산을 기준으로 위험관리를 수행하는 GMITS(ISO 13335)과 정보보호 관리체계 수립을 위한 ISMS(ISO 27001), 정보보호 능력성숙도 모델을 제시하는 SSE-CMM 등의 국제 표준이 존재한다. 그러나 각 표준은 위험관리를 위한 절차를 제시하거나 관리체계 수립방안, 그리고 능력성숙 수준을 제시하는 등 관리, 기술, 운영의 종합적인 보안방안을 제시하지는 못하고 있다. 또한 현 보안문제를 최고 관리자 수준에서 판단할 수 있는 종합적인 방안을 제시하지 못하고 있다. 본 논문에서는 정보시스템 보안평가를 통해 보안 기술, 관리, 운영측면의 문제점을 종합하여 위험관리가 가능하도록 하는 방안을 제안하고, 또한 제안한 위험관리를 통해 도출된 문제점을 최고관리자 수준에서 직관적으로 판단 할 수 있는 방안을 제시하여 정보보호 예산과 연계할 수 있는 방법을 제안한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2003년도 가을 학술발표논문집 Vol.30 No.2 (1)
• /
• pp.853-855
• /
• 2003

표준으로 정의된 IT제품의 보안성 평가 방안들은 CC나 ITSEC, TCSEC과 같이 많이 나와있다. 그러나 이러한 표준은 너무 추상적이고 소프트웨어의 각 단계에 따른 보안성을 측정하는데 불충분하다. 또 SSE-CMM같은 프로세스를 평가하는 방법의 경우 역시 너무 추상적이고 포괄적인 면만을 설명하였고 프로세스 자체에 대한 평가에 중점을 두었을 뿐 각 단계의 보안강도를 평가하는데는 부족하다. 이 논문에서는 이러한 단정을 보안하고자 각 공정단계에서, 특히 제품을 계획하는 단계인 요구분석단계와 디자인 단계에서 그래프 모델링과 모듈 다이어그램 통한 검증방법을 제시하였다. 여기서는 보안 운영체계라고 특정 제품을 명시하였지만 실제로 다양한 IT제품에 적용될 수 있다.

• 한국IT서비스학회:학술대회논문집
• /
• 한국IT서비스학회 2003년도 추계학술대회
• /
• pp.407-412
• /
• 2003

인터넷 기술을 기반으로 하는 웹기반 시스템은 웹 브라우저를 이용한 편리한 사용성과 하이퍼링크를 이용한 효과적인 연결성을 TCP/IP 네트워크 위에서 경제적으로 제공함으로서 최근 급속히 개발이 증가하고 있다. 그러나 운영환경에서 서버 측의 다양한 플랫폼과 운영체제, 그리고 클라이언트 측의 다양한 웹 브라우저가 혼재되어 존재하는 웹기반 정보시스템의 특성은 정보시스템의 개발 뿐 만 아니라 감리에서도 기존의 메인프레임 및 클라이언트/서버 시스템의 경우와 다른 특성을 갖는다. 본 논문에서는 웹기반 정보시스템의 특성과 보안감리 규격인 SSE-CMM의 프로세스 모델에 대하여 분석한 후 웹기반 정보시스템의 보안감리를 위한 새로운 프로세스 모델에 대하여 논하였다.

• 한국산학기술학회논문지
• /
• 제11권2호
• /
• pp.703-708
• /
• 2010

정보원천의 다양화와 정보시스템 취약성의 증가는 비즈니스 위험을 증가시킨다. 성공적인 비즈니스는 적정한 비즈니스 위험관리를 통해서 가능하다. 그러나 비즈니스 위험관리는 재무적 관점에서 시행되고 있고, 정보보호관리제도는 정보보호의 관점에서만 이루어져 통합적인 비즈니스 위험관리를 수행하기에 부적절하다. 본 연구는 통합적인 비즈니스 위험관리기법을 개발하기 위하여 정보보호관리제도인 ISMS, EA, ISO27001, COBIT, SPICE, 정보시스템감리, SSE-CMM 등을 비즈니스 위험관리관점에서 분석하였다. 본 연구에서 분석된 정보보호관리제도는 비즈니스 위험관리를 위한 원천으로 활용가능하다.

• 한국컴퓨터정보학회논문지
• /
• 제12권6호
• /
• pp.153-160
• /
• 2007

국내에서도 이제 정보시스템을 운영하고 있는 기업이나 기관들에서 체계적인 위험분석 및 보안관리에 대한 요구가 늘어나고 있다. 본 논문에서는 국제적인 정보보호관리시스템의 표준화 동향에 대해 조사, 분석하여 정보자산에 대해 통합적으로 위험을 관리 할 수 있는 정보보호관리시스템을 모델링하여 제안하였다. 제안시스템과 관련된 국제적인 표준에 대해 보안측정모델의 성숙도를 비교 분석한 결과, 개별 관리되던 각종 정보기술자원에 대한 보안관리를 전사차원에서 통합적으로 관리할 수 있게 되었고, ISO 27001, ISO 9000, ISO 14000인증지원 및 인증수준 유지를 자동화 관리하게 함으로서 인적, 물적 자원의 효율적 운영이 가능한 것을 보여주고 있다.