• 융합보안논문지
• /
• 제6권4호
• /
• pp.101-112
• /
• 2006

정보통신시스템에 대한 기술적 보안만으로는 안전한 정보통신시스템 운영을 보장할 수 없다. 따라서, 안전한 정보통신시스템 운영을 위한 정보보안관리시스템(ISMS)에 대한 연구와 표준화가 활발히 전개되고 있다 우리나라는 2005년 "국가사이버안전관리규정"을 제정하고, "국가사이버안전매뉴얼"의 "보안관리 기준"에 의하여 국가 공공기관이 자체적으로 "보안관리수준 평가"를 수행토록 함으로써 체계적인 정보보안관리 활동이 이루어지도록 하고 있다. 본 논문은 관련 표준들과 호주, 미국의 보안관리 체계에 대하여 조사하고, "보안관리수준 평가" 체계를 효율적인 보안관리 측면에서 분석하고, 이를 통하여 "보안관리수준 평가"의 개선방향에 대하여 연구하였다. 기존의 체계에 추가항목(A/C ; Additional Control), 선택적 보안관리 기준(Selective Controls)구성을 도입하고 평가 준비 절차의 개선을 통하여 각 기관에 최적화된 보안관리 기준을 작성할 수 있도록 함으로써, 기관에 적합한 효율적 보안관리의 수행이 가능하고, 급변하는 정보통신 환경에 유연하게 대응할 수 있도록 하였다.

• 융합보안논문지
• /
• 제14권4호
• /
• pp.41-53
• /
• 2014

조직의 정보보호 목표를 효율적이고 효과적으로 달성하기 위해서는 정보보호 수준을 정확히 평가하고 개선 방향을 제시하는 정보보호 성과평가 지표와 측정방법이 필요하다. 그러나 이러한 요구사항에도 불구하고 국내 기업의 정보보호 활동에 대한 성과나 효과를 측정하기 위한 표준적인 지표나 활용 가능한 측정 방법이 미흡한 실정이다. 이로 인해 기업에서는 지속적인 보안투자 결정을 이끌어 내는데 큰 어려움을 겪고 있다. 본 연구의 목적은 이러한 각 기업 환경에 적합한 합리적인 성과평가를 위하여 성과평가에 영향을 주는 다양한 관점에서 성과평가지표를 도출하고, 평가지표간 중요도에 따른 가중치 부여를 통하여 평가 지표와 측정방법을 개발하는 것이다. 정보보호 활동의 다양한 성과 요인을 균형 있게 평가하기 위해 Norton과 Kaplan(1992)이 개발한 균형성과표 (BSC : Balanced Scorecard) 모형을 활용하였다. 본 연구 결과는 국내 기업들이 정보보호 수준을 파악하고 주기적인 성과측정을 통해 자사의 정보보호 현황 파악과 추이 분석이 가능하고 정보보호 투자 등 전략을 수립하는데 적용할 수 있다.

• 한국산학기술학회:학술대회논문집
• /
• 한국산학기술학회 2005년도 춘계학술발표논문집
• /
• pp.108-110
• /
• 2005

Most of the evaluation systems have performed evaluation with an emphasis on information security products so far. However, evaluating information security level for an enterprise needs analysis of the whole enterprise organization, and a synthetic and systematic evaluation system based on it. This study has tried to grasp the information security level of the whole enterprise organization, and develop an evaluation system of information security level for suggesting a more developing direction of information security.

• 한국전자거래학회지
• /
• 제25권3호
• /
• pp.109-130
• /
• 2020

최근 기술의 혁신을 위한 연구개발의 중요성이 커지고 있다. 연구개발의 급속한 발전은 다양한 긍정적 효과가 있지만, 동시에 정보 및 기술에 대한 유출 범죄를 가속화시키는 부정적 영향 또한 존재한다. 본 연구에서는 점차 심각해지는 연구개발 결과물 유출 사고를 대비하기 위해 조직 차원에서 이루어지는 연구개발 환경을 안전하게 보호할 수 있는 연구보안 수준측정 모형을 개발하였다. 먼저 국내외 연구개발 관련 보안정책들을 분석하고 종합하여, 연구보안 수준평가 항목 10개(연구보안 추진체계, 연구시설과 장비 보안, 전자정보 보안, 주요 연구정보 관리, 연구노트 관리, 지식재산권/특허 관리, 기술사업화 관리, 내부연구원 관리, 인가된 제3자 관리, 외부자 관리)를 전문가 인터뷰를 통해 도출하였다. 다음으로, 도출한 연구보안 수준평가 항목을 조직의 연구개발 환경에 다차원적 관점에서 적용 가능하도록 연구보안 수준평가 모형을 설계하였다. 마지막으로 모형에 대한 타당성을 검증하고, 실제 연구개발을 수행하는 조직을 대상으로 시범 적용하여 연구보안 수준을 평가해보았다. 본 연구에서 개발한 연구보안 수준평가 모형은 실제 연구개발을 수행하고 있는 조직 및 프로젝트의 보안 수준을 적절하게 측정하는 데 유용하게 활용될 수 있을 것으로 기대되고, 연구개발을 직접 수행하는 연구원들이 자체적으로 연구보안 체계를 수립하고 보안관리 대책을 마련하는 데 도움이 될 것이라 판단된다. 또한 연구개발을 수행하는 조직 차원의 보안성 향상뿐만 아니라 프로젝트 단위의 연구개발을 안전하게 수행함으로써, 연구개발 투자에 대한 안정적이고 효과적인 성과를 낼 수 있을 것이라 기대한다.

• 한국전자거래학회지
• /
• 제23권1호
• /
• pp.89-102
• /
• 2018

최근 4차 산업혁명의 도래로 인해 융합서비스 환경으로 변화함에 따라 융 복합적인 새로운 보안위협이 나타나고 있다. 이에 중소형 의료기관 또한 비즈니스 환경을 고려한 특화된 보안을 필요로 하고 있는 실정이다. 따라서 본 논문에서는 선행연구 분석을 통해 의료기관 보안 특성을 도출하고 중소형 의료기관의 현장조사를 통해 중소형 의료기관 보안 특성과 현황을 조사하였다. 이러한 중소형 의료기관 보안 특성을 기반으로 중소형 의료기관을 위한 보안관리 평가모형을 설계하고 검증하였다. 설계를 위해 현존하는 의료기관 관련 보안관리체계, 평가 인증 체계 비교분석을 수행하였고 본 논문에서 제안한 보안관리 평가 모형과 공유정도 또한 확인하였다. 또한 제안하는 중소형 의료기관을 위한 보안관리 평가모형의 통계적 검증을 위해 적합 타당성 검증을 수행하였고, AHP 분석을 통한 상대적 우선순위 분석을 수행하여 항목별 가중치를 도출하였다. 본 연구의 결과를 통해 중소형 의료기관이 실제 수행 가능한 보안관리 평가모형의 기준으로 활용될 수 있을 것으로 기대된다.

• 정보보호학회논문지
• /
• 제20권2호
• /
• pp.131-144
• /
• 2010

국외 IT 선진국들은 1980년대 후반부터 정보시스템의 안전성과 신뢰성을 확보하기 위하여 정보보호제품 평가기준을 개발하여 활용하고 있다. 현재 다양한 제품의 평가를 위한 기준으로 CC를 사용하고 있으며 오랜 기간이 소요되는 제품 평가기간의 단축이 개발자 및 사용자에게 요구된다. 본 논문에서는 공개된 표준 평가기간을 참고하여 EAL4 등급의 평가기간 산정 모델을 제안한다. 또한, 이를 바탕으로 투입하는 평가자의 수와 평가 일정을 조정하여 평가신청인 입장에서 평가기간이 최소화 되는 방법을 제안한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제15권12호
• /
• pp.4531-4544
• /
• 2021

Because the traditional network information security vulnerability risk assessment method does not set the weight, it is easy for security personnel to fail to evaluate the value of information security vulnerability risk according to the calculation value of network centrality, resulting in poor evaluation effect. Therefore, based on the network security data element feature system, this study designed a quantitative assessment method of network information security vulnerability detection risk under single transmission state. In the case of single transmission state, the multi-dimensional analysis of network information security vulnerability is carried out by using the analysis model. On this basis, the weight is set, and the intrinsic attribute value of information security vulnerability is quantified by using the qualitative method. In order to comprehensively evaluate information security vulnerability, the efficacy coefficient method is used to transform information security vulnerability associated risk, and the information security vulnerability risk value is obtained, so as to realize the quantitative evaluation of network information security vulnerability detection under single transmission state. The calculated values of network centrality of the traditional method and the proposed method are tested respectively, and the evaluation of the two methods is evaluated according to the calculated results. The experimental results show that the proposed method can be used to calculate the network centrality value in the complex information security vulnerability space network, and the output evaluation result has a high signal-to-noise ratio, and the evaluation effect is obviously better than the traditional method.

• 디지털산업정보학회논문지
• /
• 제7권3호
• /
• pp.97-105
• /
• 2011

With the advancement of network, privacy information as well as confidential information that belongs to government and company are exposed to security incident like spreading viruses or DDoS attack. To prevent these security incident and protect information that belongs to government and company, Security system has developed such as antivirus, firewall, IPS, VPN, and other network security system. Network security systems should be selected based on purpose, usage and cost. Verification for network security product's basic features performed in a variety of ways at home and abroad, but consumers who buy these network security product, just rely on the information presented at companies. Therefore, common user doing self performance evaluation for perform Verification before buying network security product but these verification depends on inaccurate data which based on some user's criteria. On this paper, we designing methodology of network security system performance evaluation focused on Korean using other cases of performance evaluation.

• 한국정보보호학회:학술대회논문집
• /
• 한국정보보호학회 1995년도 종합학술발표회논문집
• /
• pp.41-47
• /
• 1995

This research suggests a criterion, security quality, which is a unifying principle in computer network security that has the lack of a unifying principle. The security quality includes secrecy, integrity, recording, and availability among the factors that represent the security evaluation of the computer system. So, we defined the security quality, which is a basis for determining the security level, as the grand total of evaluation about each factor.

• ETRI Journal
• /
• 제27권4호
• /
• pp.465-468
• /
• 2005

This paper presents a new trust evaluation scheme in an ad hoc network. To overcome the limited information about unfamiliar nodes and to reduce the required memory space, we propose a cluster-based trust evaluation scheme, in which neighboring nodes form a cluster and select one node as a cluster head. The head issues a trust value certificate that can be referred to by its non-neighbor nodes. In this way, an evaluation of an unfamiliar node's trust can be done very efficiently and precisely. In this paper, we present a trust evaluation metric using this scheme and some operations for forming and managing a cluster. An analysis of the proposed scheme over some security problems is also presented.