• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제12권10호
• /
• pp.4995-5014
• /
• 2018

As the area covered by the CPS grows wider, agencies such as public institutions and critical infrastructure are collectively measuring and evaluating information security capabilities. Currently, these methods of measuring information security are a concrete method of recommendation in related standards. However, the security controls used in these methods are lacking in connectivity, causing silo effect. In order to solve this problem, there has been an attempt to study the information security management system in terms of maturity. However, to the best of our knowledge, no research has considered the specific definitions of each level that measures organizational security maturity or specific methods and criteria for constructing such levels. This study developed an information security maturity model that can measure and manage the information security capability of critical infrastructure based on information provided by an expert critical infrastructure information protection group. The proposed model is simulated using the thermal power sector in critical infrastructure of the Republic of Korea to confirm the possibility of its application to the field and derive core security processes and goals that constitute infrastructure security maturity. The findings will be useful for future research or practical application of infrastructure ISMSs.

• 융합보안논문지
• /
• 제12권4호
• /
• pp.25-31
• /
• 2012

정보보호수준 검증방법은 프로세스를 중심으로 정보보호 제품, 시스템, 서비스를 개발하려는 조직의 개발능력을 평가하는 SSE-CMM(System Security Engineering-Capability Maturity Model)모델이 있다. CMM은 소프트웨어 개발업자의 개발능력을 평가하고 개선시키며 조직 전체의 성숙도 수준을 측정하는 모델이다. 그러나 이 방법은 보안엔지니어링 프로세스의 개선과 능력을 평가하는데 조직차원이 아닌 개별 프로세스의 능력수준 평가에 그치고 있다. 본 연구과제에서는 이들 기존연구를 근간으로 기술적 관점에서 정보보호수준 성숙단계를 정의하고자 한다. 연구방법은 정보보호취약점 진단, 기술보안체계 검증, 기술보안 이행실태 진단으로 구성한다. 제안하는 방법론은 업무현장에서의 범위와 수준에서 정보시스템의 현재 상태, 취약점 실태, 정보보호 기능 이행과 기능만족도 수준을 평가한다. 제안된 방법에 의한 평가결과는 정보보호 개선대책 권고모델 수립 근거로 활용하여 정보보호 개선의 활용을 목표로 하고 있다.

• 정보보호학회논문지
• /
• 제28권6호
• /
• pp.1585-1594
• /
• 2018

데이터 주도 시대가 형성되면서 경제적 활용가치가 높은 정보의 수집과 분석, 생산과 유통에 관한 안전성 확보를 위한 정보보호 관리의 중요성이 날로 높아지고 있다. 이러한 환경에서 기업은 정보보호 관리체계(ISMS) 인증을 통해 정보보안에 대한 신뢰를 보장받고 있으나 관리체계를 구성하는 세부영역에 대한 수준 평가와 활용은 제한적이다. 이에 반해 보안 성숙도 모델은 기업의 정보보호 수준을 단계적으로 진단할 수 있고 시급히 개선해야 할 영역을 판단할 수 있음은 물론 기업의 특성과 수준에 맞는 목표 설정을 지원하는 도구가 된다. 본 논문에서는 성숙도 모델을 바탕으로 정보보호 분야에 특화되어 개발, 활용되고 있는 보안 성숙도 모델의 사례인 C2M2를 국내 ISMS인증과 비교, 분석하여 정보보호 관리 수준을 점검하기 위한 모형을 벤치마크 하고 ISMS인증의 정보보호대책 세부영역을 구성하는 점검항목 간 우선순위를 도출하여 단계적으로 정보보호 관리수준을 점검하고 구축을 지원할 수 있는 방법을 살펴본다.

• 융합보안논문지
• /
• 제19권4호
• /
• pp.165-171
• /
• 2019

국내 정보보호 시장이 급성장하고 있어 정보보호 산업의 발전을 위해 성장성이 우수한 비즈니스 모델을 찾아 보안산업의 발전방안을 제시하고자 하였다. 이를 위해 정보보호 산업의 주요 생산품을 유사한 업종별로 구분하여 종속변수로 정하고 전문가 인터뷰를 통해 기술성숙도에 따라 구분하였으며, 독립변수는 매출액, 사원수, 업력을 대상으로 하였다. 조사결과 86개 기업 대상 평균 매출액은 87.98억원, 업력은 13.51년, 사원수는 64.3명 이었으며, SPSS 통계분석 결과 기술성숙도에 따른 업종과 매출액의 상관관계는(r = -.729) 유의수준 5%이내에서 상관이 있으며, 회귀분석 결과 (p=.047 < 0.05)는 유의미하였다. 따라서 기술성숙도에 따른 업종 분류와 매출액은 관련이 있다고 할 수 있다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제3권9호
• /
• pp.301-310
• /
• 2014

정보의 가용성, 접근성, 안전성을 확보하기 위한 선제적인 정보보호 관리의 부재는 서비스 연속성을 훼손하여 고객에게 뿐만 아니라 조직의 성과와 경쟁력에 심각한 리스크를 가져다 줄 수 있다. 본 연구는 정보보호 성숙도가 조직성과에 미치는 영향을 분석하기 위하여 문헌 조사를 통해 조직성과, 위험 관리 프로세스 성숙도, 위험 평가 프로세스 성숙도, 정보보호 정책지표를 포함하는 연구모형을 만들고 설문을 통한 실증 분석을 하였다. 연구결과 위험 관리 및 위험 평가의 프로세스 성숙도와 조직성과 간에는 높은 인과 관계가 있는 것으로 나타났다. 하지만 정보보호 인력비율, 정보보호 예산비율에 따라 정보보호 성숙도가 조직성과에 미치는 영향은 차이가 없는 것으로 나타났다. 이는 정보보호 성숙도 수준은 조직성과에 영향을 미치나, 실효성이 검증되지 않은 정보보호 정책 및 규제는 정보보호 성숙도가 조직의 성과 향상의 촉매제로 활용하는데 한계가 있음을 시사하고 있다.

• 정보보호학회논문지
• /
• 제29권5호
• /
• pp.1153-1165
• /
• 2019

최근 국방 분야를 포함한 국가정보통신망 및 주요 기반시설 등에 대한 해킹 위협이 증가하고 있다. 국방정보시스템은 망분리를 통해 외부로부터의 위협에 대응하고 있으나, 해킹 성공시 전 평시 군사작전에 큰 영향을 미치게 된다. 오늘날 사이버 공격과 위협은 예측 불가능한 수준으로 높아지고 있어 해킹 위협을 완전히 차단하고 예방하는 것은 현실적으로 불가능하다. 따라서 본 연구에서는 국방정보시스템의 사이버 공격 징후가 예상되거나 발생했을 경우 신속한 대응 및 시스템의 생존성을 보장하고 지속성을 유지할 수 있는 능력인 '사이버복원력(Cyber Resilience)'의 수준을 평가할 수 있는 성숙도모델을 제시하였다. 제시된 성숙도모델을 통해 국방정보시스템의 사이버복원력 수준을 평가하고 부족한 분야를 식별 및 보완함으로써 국방정보시스템의 사이버보안 수준을 향상시키는데 기여할 수 있을 것으로 기대된다.

• 디지털콘텐츠학회 논문지
• /
• 제15권1호
• /
• pp.121-128
• /
• 2014

SSE-CMM은 보안엔지니어링을 공학, 보증, 위험 프로세스의 3가지 요소로 나누고 있으며 정보보호 성숙도 평가 모델과 수준을 제시하고 있다. 정보보호 성숙도 측정은 취약점 진단, 위험분석 방법론을 실무 현장에서 사용할 수 있도록 종합적으로 결론을 제시한다. 사이버거래의 일반적인 서비스는 인터넷 뱅킹, 모바일 뱅킹, 텔레뱅킹 등이다. 사이버거래 처리구조의 한 종류인 뱅킹시스템 정보보호 성숙도 측정방법론 연구 목적은 기존의 취약점 진단, 위험분석 방법론을 실무현장에서 사용할 수 있도록 종합적 결론을 제시한다. 안전성과 편리성을 확보하여 이용자들이 사이버 거래를 편리하게 이용할 수 있는 환경을 구축하는 것이 사이버 거래 활성화의 핵심이다. 특히 업무현장에서 정보보호 성숙도 측정을 통한 사이버뱅킹시스템의 안전성을 확보한다면 현장의 실무처리 결과로 많은 효과가 나타날 것으로 기대한다.

• Asia pacific journal of information systems
• /
• 제15권1호
• /
• pp.115-133
• /
• 2005

This study is to develop an information security management model(ISMM) for small and medium sized enterprises(SMEs). Based on extensive literature review, a five-pillar twelve-component reference ISMM is developed. The five pillars of SME's information security are: centralized decision making, ease of management, flexibility, agility and expandability. Twelve components are: scope & organization, security policy, resource assessment, risk assessment, implementation planning, control development, awareness training, monitoring, change management, auditing, maintenance and accident management. Subsequent survey designed and administered to expose experts' perception on the importance of these twelve components revealed that five out of tweleve components require relatively immediate attention than others, especially in SME's context. These five components are: scope and organization, resource assessment, auditing, change management, and incident management. Other seven components are policy, risk assessment, implementation planning, control development, awareness training, monitoring, and maintenance. It seems that resource limitation of SMEs directs their attention to ISMM activities that may not require a lot of resources. On the basis of these findings, a three-phase approach is developed and proposed here as an SME ISMM. Three phases are (1) foundation and promotion, (2) management and expansion, and (3) maturity. Implications of the model are discussed and suggestions are made for further research.

• 정보보호학회논문지
• /
• 제29권5호
• /
• pp.1117-1132
• /
• 2019

최근에 인터넷, 모바일, 사물인터넷 등과 같은 정보기술이 급속히 발전하면서 비즈니스에 필요한 데이터의 수집이 용이해지고, 빅데이터 분석이라는 새로운 방법으로 수집한 데이터를 분석하여 비즈니스에 적절히 활용하고 있다. 이와 같이 데이터의 수집과 분석이 용이해진 반면, 그러한 데이터 속에는 정보주체로부터 직접 제공받지 않은 센서 번호, 기기 번호, IP 주소 등과 같은 식별자 항목이 포함된 개인정보가 관계자도 인지하지 못하는 사이에 수집하여 이용될 수 있다. 만약 이러한 데이터에 대하여 수집에서 폐기까지의 전 과정에서 체계적인 관리가 되지 않을 경우 프라이버시 침해로 인해 "개인정보 보호법"등 관련 법률 위반이 우려될 뿐만 아니라 데이터 품질 문제도 발생하여 올바르지못한 의사결정을 할 수도 있다. 따라서 본 연구에서는 기업이 비즈니스에 활용할 목적으로 수집한 데이터 속에 숨겨져 있는 개인정보를 찾아내어 전사적 관점에서 체계적인 관리함으로써, 이를 비즈니스에 효율적으로 활용함과 동시에 보호도 가능하게 하며, 더 나아기 데이터의 품질 확보도 용이하게 하는 새로운 데이터 거버넌스 성숙도 모형(DGMM)과 이를 데이터 거버넌스 프로그램의 도입 또는 개선하고자 하는 현장에 활용하기 위한 종합이행절차를 제안하고, 그 적용 예를 보인다.

• 디지털융복합연구
• /
• 제4권1호
• /
• pp.93-109
• /
• 2006

Several studies have investigated the success of ASP from various perspectives. This study, thus, investigated factors affecting ASP effectiveness in various literature relevant ASP and outsourcing. By applying the basic ideas of the IS success model, this study proposes a research model of the factors affecting the success of ASP, in term of internal factors(Top Management Involvement, User Participation, Size of Organization, IS Maturity) and Reliability factors(Transaction Reliability, After-Sale Reliability, System Reliability, Security). The proposed model is expected to provide a guideline to researchers and practitioners extend their understanding of the success factors of the ASP effectiveness.