• 시큐리티연구
• /
• 제10호
• /
• pp.189-213
• /
• 2005

경영환경의 변화에 따른 다양한 위험들을 효과적으로 파악하고 이에 대응할 수 있는 위험관리 시스템을 갖추는 것이 기업의 성공과 실패를 결정하는 필수 조건으로 부각됨에 따라, 다양한 위험들을 효과적으로 평가하고 대응책을 제시함으로써 체계적인 위험관리가 이루어져야 하며, 이제는 전사적 위험관리가 새로운 트렌드로 자리잡아가고 있다. 위험요소 분석의 첫 번째 단계는 위험요소를 인지하는 작업으로, 이는 모든 경비시설내에서 손실에 대한 취약성을 확인하는 것을 말한다. 두 번째 단계는 위험요소에 대한 사정이 있어서 손실의 발생가능성을 고려하는 것이고, 세 번째 단계는 손실의 위험성을 평가하는 것이다. 취약성을 평가하고, 손실발생가능성을 측정하고, 그 손실로 인한 위험성을 계량화(수치화)한 위험분석의 결과를 토대로 위험요소별 평가등급을 정하고 최종적으로 위험수준을 결정하게 된다. 위험수준은 경비안전시스템에 대한 보완대책 수립의 기초가 된다. 손실에 대비하고 손실을 최소화하기 위한 위험관리대책을 수립함에 있어 보험이 가장 주요한 수단이기는 하나, 모든 위험을 다 보험에 맡길 수는 없다. 오히려 경비의 비용효과를 고려하고, 경비화일을 활용하여 발전적인 위험관리대안을 제시해야 한다. 이 때 위험요소의 원천을 제거하는 것이 최상의 방책이며, 그 경로를 차단하는 것이 차선이다. 아울러, 안전에 관한 회사내규를 강화하고, 안전과 위험관리에 관한 교육을 지속적이고 반복적으로 실시하여야 한다. 위험관리는 사업의 손실후 연속성을 위해 가장 효율적인 손실전 준비를 하는 것이다. 따라서 가장 비용효과적이고 생산적인 위험관리 방안을 제시하는 것이 무엇보다 중요하며, 이 기능은 지속적으로 유지 발전되어야 한다. 경영환경의 변화에 따른 다양한 위험들을 효과적으로 파악하고 이에 대응할 수 있는 위험관리 시스템을 갖추는 것이 기업의 성공과 실패를 결정하는 필수 조건으로 부각됨에 따라, 다양한 위험들을 효과적으로 평가하고 대응책을 제시함으로써 체계적인 위험관리가 이루어져야 하며, 이제는 전사적 위험관리가 새로운 트렌드로 자리잡아가고 있다. 위험요소 분석의 첫 번째 단계는 위험요소를 인지하는 작업으로, 이는 모든 경비시설내에서 손실에 대한 취약성을 확인하는 것을 말한다. 두 번째 단계는 위험요소에 대한 사정이 있어서 손실의 발생가능성을 고려하는 것이고, 세 번째 단계는 손실의 위험성을 평가하는 것이다. 취약성을 평가하고, 손실발생가능성을 측정하고, 그 손실로 인한 위험성을 계량화(수치화)한 위험분석의 결과를 토대로 위험요소별 평가등급을 정하고 최종적으로 위험수준을 결정하게 된다. 위험수준은 경비안전시스템에 대한 보완대책 수립의 기초가 된다. 손실에 대비하고 손실을 최소화하기 위한 위험관리대책을 수립함에 있어 보험이 가장 주요한 수단이기는 하나, 모든 위험을 다 보험에 맡길 수는 없다. 오히려 경비의 비용효과를 고려하고, 경비화일을 활용하여 발전적인 위험관리대안을 제시해야 한다. 이 때 위험요소의 원천을 제거하는 것이 최상의 방책이며, 그 경로를 차단하는 것이 차선이다. 아울러, 안전에 관한 회사내규를 강화하고, 안전과 위험관리에 관한 교육을 지속적이고 반복적으로 실시하여야 한다. 위험관리는 사업의 손실후 연속성을 위해 가장 효율적인 손실전 준비를 하는 것이다. 따라서 가장 비용효과적이고 생산적인 위험관리 방안을 제시하는 것이 무엇보다 중요하며, 이 기능은 지속적으로 유지 발전되어야 한다.

• International Journal of Computer Science & Network Security
• /
• 제21권3호
• /
• pp.172-176
• /
• 2021

This study is conducted with an educational institution to minimize the potential security hazards to an acceptable level where the vulnerabilities and threats are revealed in this institution. The paper provides a general structure for the risk management process in educational institutions, and some recommendation that increases security levels is presented.

• 시큐리티연구
• /
• 제38호
• /
• pp.109-136
• /
• 2014

국내카지노산업은 60년대부터 국내경제의 고도성장과 더불어 양적, 질적으로 폭발적인 성장을 보이고 있지만 카지노산업의 특성을 반영하여 위기관리전략을 수립할 수 있는 가이드라인을 제시하는 연구는 현재까지 거의 진행되지 않았다. 따라서 본 연구에서는 위기관리에 대한 국 내외 학자들의 이론과 선행연구를 분석하여 학자들이 제시하고 있는 위기의 개념과 분류기준을 통해서 카지노기업의 특성에 적합한 안전관리 위기유형을 도출하고 위기관리요인을 환경적, 인력적, 시설적 차원으로 분류하였으며 식별된 세부 위기관리요인 들이 안전관리조직의 조직분위기와 업무성과에 미치는 영향관계를 분석하였다. SPSS 18.0을 활용한 인구통계학적 분석과 PLS 3.0을 이용한 경로모형분석으로 위기관리 요인이 매개변수인 조직분위기를 통해 안전관리조직 업무성과에 영향을 미치는 관계를 규명하는 탐색적 연구를 진행함으로써 카지노기업의 특성을 반영한 위기관리전략을 수립할 때 우선순위를 고려할 수 있는 이론적 근거를 제시하였다. 또한 카지노기업의 특성에 적합한 위기요인식별, 위기관리요인과 안전관리조직 업무성과 사이의 관계 규명 등을 통해 이론적 시사점과, 안전관리실무에 적용함으로써 얻을 수 있는 실무적 시사점을 제시하였다.

• 한국항해항만학회:학술대회논문집
• /
• 한국항해항만학회 2019년도 추계학술대회
• /
• pp.134-136
• /
• 2019

국제해사기구(IMO)는 2017년 해상 사이버 위험관리 지침(Guidelines on maritime cyber risk management)을 발표했다. IMO의 해상 사이버 위험관리 지침에 따라 각 기국은 2021년 1월 1일 이후 도래하는 첫 번째 연차심사 전까지 안전관리규약(ISM, International Safety Management Code)의 선박안전관리시스템(SMS, Safety Management System)에서 사이버 리스크에 관한 사항을 통합·관리 하여야 한다. 본 논문에서는 해상분야의 사이버 보안 관리대상 및 위험요소를 식별하고 취약성 분석을 수행하기 위하여 IMO가 제시한 산업계 지침 및 국제표준을 근거로 해상분야의 사이버 보안 취약분야를 관리적·기술적·물리적 보안의 세 가지 영역으로 구분하였다. 또한, 리스크 매트릭스(Risk Matrix)를 사용하여 보안영역별 위험요소에 따른 정성적 리스크 평가(RA, Risk Assessment)를 수행하였다.

• 정보보호학회논문지
• /
• 제25권4호
• /
• pp.793-805
• /
• 2015

현대의 자동차는 안전필수(Safety Critical) 시스템이기 때문에 차량의 안전성을 보장하는 것은 물론 초 연결사회를 지향하는 사물인터넷 기술의 발전과 자동차의 스마트화 됨에 따른 자동차 보안문제가 대두됨에 따라 자동차 소프트웨어와 공급망에서의 보증 방안과 공급망에서 발생할 수 있는 위험을 식별, 평가 및 통제하기 위한 위험관리 방안이 필요하다. 본 논문에서는 자동차 Life-Cycle 내에서 이해관계자 별 위험관리(A-SCRM, Automotive Supply Chain Risk Management) 방법을 연구 제안한다.

• Journal of Information Processing Systems
• /
• 제2권2호
• /
• pp.95-100
• /
• 2006

While conventional business administration-based information technology management methods are applied to the risk analysis of information systems, no security risk analysis techniques have been used in relation to information protection. In particular, given the rapid diffusion of information systems and the demand for information protection, it is vital to develop security risk analysis techniques. Therefore, this paper will suggest an ideal risk analysis process for information systems. To prove the usefulness of this security risk analysis process, this paper will show the results of managed, physical and technical security risk analysis that are derived from investigating and analyzing the conventional information protection items of an information system.

• 융합보안논문지
• /
• 제20권4호
• /
• pp.187-196
• /
• 2020

정보보호 위험평가를 위해 다양한 정보보호 수준 평가와 정보보호 관리체계 인증이 그 어느때보다도 대규모로 이루어지고 있다. 그러나 정보보호 수준평가 우수기업과 정보보호 관리체계 인증 우수기업에 대한 정보보호 침해 사례가 지속적으로 발생하고 있는 실정이다. 기존의 정보보호 위험평가 방법론은 사이버 위협이 어디로부터 유입되는지에 대한 검토와 각 유입경로 구간에 대한 보안장비들의 적절한 운영여부에 대한 검토 없이 정보시스템 내부의 정보자산들을 식별하여 위험도를 정성적으로 판단하여 분석하고 있는 실정이다. 현재의 위험평가 방안을 개선하기 위해서는 사이버 위협이 어디로부터 유입되는지 살펴보고 각 유입구간별 봉쇄수준을 향상시켜 불필요하게 유입되는 사이버 위협을 절대적으로 감소시킬 필요가 있다. 이와 더불어 현재의 위험평가 방법론에서 간과되고 있는 보안장비의 적절한 구성과 운영수준에 대한 측정과 향상이 반드시 필요하다. 사이버 위협의 출입구를 최대한 봉쇄하고 어쩔 수 없이 열려 있는 틈새를 통과해서 내부로 유입되는 사이버 위협을 각 보안장비를 동원하여 탐지하고 대응하는 것이 필요한 것이다. 이에 본 논문에서는 ISMS-P 인증항목과 주요정보통신기반시설 취약점 분석평가 항목에 사이버 위협에 대한 봉쇄수준을 평가할 수 있는 심사항목과 각 유입경로 구간에 대한 보안장비 구성 수준을 측정하는 심사항목을 추가 제안하고자 한다. 이를 통해 사이버 위협의 유입 자체를 감소시키고 사이버 침해사고의 가능성을 원천적으로 차단하는데 기여하고자 한다.

• 한국항공운항학회지
• /
• 제20권2호
• /
• pp.47-57
• /
• 2012

The strengthened aviation security measurements caused by increased terror threat all around the world have air passengers annoyed by uneasy treatment and some delayed process. The service level of air travel and competitiveness of airlines industry has been weakened also. The aviation security process is mainly conducted at an airport. The threat level of airport is not usually same airport to airport, and the quality of aviation security activity is neither same. However, ICAO requires every international airport to conduct similar process to ensure aviation security without considering situational difference of each airport. The paper has objectives to develop reasonable security measurements based on risk management concept. It studied the ways of achieving target level of security of an airport, considering the threat situation of the airport and its ability to conduct security procedures.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제1권2호
• /
• pp.103-108
• /
• 2012

최근 IT 거버넌스 개념이 기업경영 현장에 적용되고 있다. 본 논문에서는 클라우드 컴퓨팅 환경에서 IT 거버넌스를 기반으로 기업의 정보보호 위험을 최소화할 수 있는 비즈니스 모델에 대해 연구한다. 특히, 정보보호 거버넌스 세부 주제인 위험관리를 연계하는 상호작용 모델(IT 거버넌스 프레임워크인 COBIT과 연계하여 시너지를 높일 수 있는 구조)을 제안하고자 한다. 여기서, 시너지는 효과적, 전략적이고 안전한 비즈니스 지원을 의미하며, BMIS의 4가지 요소, 6가지 역동 연결자와의 상호작용성에 대해 분석이 요구된다. 따라서 COSO ERM이나 COBIT Risk IT Framework를 기반으로 위험관리와 연계될 수 있는 상호작용 모델을 제안한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권1호
• /
• pp.406-434
• /
• 2019

In general, an information security approach estimates the risk, where the risk is to occur due to an unusual event, and the associated consequences for cloud organization. Information Security and Risk Management (ISRA) practices vary among cloud organizations and disciplines. There are several approaches to compare existing risk management methods for cloud organizations but their scope is limited considering stereo type criteria, rather than developing an agent based task that considers all aspects of the associated risk. It is the lack of considering all existing renowned risk management frameworks, their proper comparison, and agent techniques that motivates this research. This paper proposes Agent Based Information Security Framework for Hybrid Cloud Computing as an all-inclusive method including cloud related methods to review and compare existing different renowned methods for cloud computing risk issues and by adding new tasks from surveyed methods. The concepts of software agent and intelligent agent have been introduced that fetch/collect accurate information used in framework and to develop a decision system that facilitates the organization to take decision against threat agent on the basis of information provided by the security agents. The scope of this research primarily considers risk assessment methods that focus on assets, potential threats, vulnerabilities and their associated measures to calculate consequences. After in-depth comparison of renowned ISRA methods with ABISF, we have found that ISO/IEC 27005:2011 is the most appropriate approach among existing ISRA methods. The proposed framework was implemented using fuzzy inference system based upon fuzzy set theory, and MATLAB(R) fuzzy logic rules were used to test the framework. The fuzzy results confirm that proposed framework could be used for information security in cloud computing environment.