JP2011018361A - 情報技術危機管理システム及びその方法 - Google Patents
情報技術危機管理システム及びその方法 Download PDFInfo
- Publication number
- JP2011018361A JP2011018361A JP2010211371A JP2010211371A JP2011018361A JP 2011018361 A JP2011018361 A JP 2011018361A JP 2010211371 A JP2010211371 A JP 2010211371A JP 2010211371 A JP2010211371 A JP 2010211371A JP 2011018361 A JP2011018361 A JP 2011018361A
- Authority
- JP
- Japan
- Prior art keywords
- control
- risk
- management
- policy
- level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/26—Government or public services
- G06Q50/265—Personal security, identity or safety
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
Abstract
【課題】コンサルティングの効率性を極大化する情報技術危険管理システム及びその方法を提供する。
【解決手段】統制政策を最小単位に分解後、それぞれの統制要素から一つの統制項目、統制行為、統制別遂行者及び順守者を定義して保存する統制データベース構築過程、組織の統制成熟度現況に対して分析する現況分析過程、組織が管理すべき情報資産を識別し、重要度を評価する資産評価過程、統制要素を逆方向に定義して脆弱点を抽出し、統制要素、情報資産及び脅威との間の相関関係に基いて危険を評価する危険評価過程、危険度を基準に危険の統制保証水準を決定して危険を緩和するための統制要素を選択し、危険処理計画を樹立した後、政策を改定する危険処理過程及び、上記危険処理計画に対する経営者の経営検討を実施し、内部統制構造と国際/国内標準との適用性に関する報告書を生成して、統制施行のための使用者教育を実施する統制履行過程を含む。
【選択図】図1
【解決手段】統制政策を最小単位に分解後、それぞれの統制要素から一つの統制項目、統制行為、統制別遂行者及び順守者を定義して保存する統制データベース構築過程、組織の統制成熟度現況に対して分析する現況分析過程、組織が管理すべき情報資産を識別し、重要度を評価する資産評価過程、統制要素を逆方向に定義して脆弱点を抽出し、統制要素、情報資産及び脅威との間の相関関係に基いて危険を評価する危険評価過程、危険度を基準に危険の統制保証水準を決定して危険を緩和するための統制要素を選択し、危険処理計画を樹立した後、政策を改定する危険処理過程及び、上記危険処理計画に対する経営者の経営検討を実施し、内部統制構造と国際/国内標準との適用性に関する報告書を生成して、統制施行のための使用者教育を実施する統制履行過程を含む。
【選択図】図1
Description
本発明は、ITリスクマネジメントシステム(ITRMS:IT Risk Management System)及びその方法に関し、特に、コンサルティングの効率性を極大化するためのITリスクマネジメントシステム及びそのシステムを利用したITリスクマネジメントの方法に関する。
一般に、大多数の組織は、遵守しようとする或いは遵守しなければならない数多くの統制を政策書及び規定書の形で保有している。また、上記各組織は、国内及び国際規格(ISO 9000、ISO 14000、ISO 27001など)の認証を受けるために、数多くの標準、指針、手続書などを量産している。しかし、各組織は、原則無しに定義された構成項目(業務規則及び統制項目)で定義されたハードコピー形態の文書(例えば、政策書、規定書及び手続書など)を保管/管理している。
例えば、各組織は、上記政策書、規定書及び手続書などを慣習的な複文形態の文章で定義してハードコピーの形態で保管/管理している。これに因り、政策書、規定書及び手続書などの有効性と準拠性(Compliance)が低下して、統制(又は政策)と履行とが分離される結果が発生している。即ち、組織内の全ての使用者が曖昧かつ膨大な指針と規定を使用及び適用するために、たくさんの時間と資源を費やしており、実質的に政策(統制)は存在するが、これを遵守しない現象に逢着しているのである。
このように、慣習的な複文形態の文章で定義して保管/管理しているのは、組織の政策書、規定書及び手続書だけでなく、国内外の標準及び法令等も同様である。即ち、上記国内外の標準及び法令等もこのような前提条件を無視し、統制項目を羅列している。これにより、統制項目の可読性、認知度、履行可能性、測定可能性及び完成度が低下する結果を齎している。例えば、統制項目(法律及び政策書では“条”、“項”という)を構成するに当たって、複数の遂行者と複数の統制項目と統制行為から構成するため、その解釈が容易でない。従って、より明確で厳密であるべき法令、政策及び国際標準などにおいても上記の問題点が発生する。
そこで、本発明は、上記の問題点を解決するために、統制の可読性、準拠性、効率性と効果性、測定可能性を現実化し、政策の実行可能性を極大化するためのITリスクマネジメントシステム及びその方法を提供しようとする。
また、本発明は、政策/指針/規定/規範/標準/法令(以下、“統制”という)をNVAM(Noun-Verb-Atomic-Measurable)タイプに分解及び定義してDB化することによって、標準化された政策情報を提供するITリスクマネジメントシステム及びその方法を提供しようとする。
従って、本発明は実質的には、低費用でISO 27001はもちろん、ISO 9000、ISO 14000などの認証を受けると同時に、そのレベルを持続的に維持して、プロセスの成熟度を向上させることを可能とするITリスクマネジメントシステムを提供しようとする。
上記の目的を達成するために本発明が提供するITリスクマネジメントシステムは、統制政策を統制可能な最小単位に分解した後、分解された統制要素のそれぞれから一つの統制項目、一つの統制行為、統制別の遂行者及び遵守者を定義して保存する統制マスターデータベース;上記統制マスターデータベースで定義された統制要素を管理するポリシー管理部;上記統制マスターデータベースで定義された統制要素を逆方向に定義して脆弱点を抽出し、その脆弱点と統制要素、情報資産及び脅威との間の相関関係を明示するリスクシナリオ管理部;上記統制要素のうち、統制行為を管理生命周期によって時系列的に配列してそれぞれの統制行為の存否を判断することによって組織の統制行為の成熟度(maturity)を測定し、設定された遵守統制に対する各組織構成員の統制履行度(compliance)を測定するレベル管理部;上記レベル管理部で測定された統制保証レベルを利用して統制改善類型に対する意思決定を支援するリスク対策部;及び、上記統制保証レベル及び統制改善類型によって統制に対する作業を指示及び管理する統制作業管理部;を含むことを特徴とする。
ここで、上記ポリシー管理部は、上記統制マスターデータベースに基づいて遂行者類型別/資産類型別/政策類型別の統制要素の照会及び管理を行うことが望ましい。
また、上記ポリシー管理部は、上記統制マスターデータベースに基づいて国際規格及び自体規格の細部的な統制要素を検索することが望ましい。
また、上記ポリシー管理部は、上記統制マスターデータベースに基づいて各統制要素の施行日及び改定日に対する統制要素別バージョンを管理することが望ましい。
また、上記ポリシー管理部は、上記統制マスターデータベースに基いて自体規定と国際規格との連関性を示すSOA(Service Of Applicability)の生成及び照会管理を行うことが望ましい。
また、上記ポリシー管理部は、上記統制マスターデータベースに基づいて統制要素別に必要な書式及び様式の連関関係を管理することが望ましい。
また、上記リスクシナリオ管理部は、統制要素と脆弱点との相関関係の正確度を確保するために、最下位レベル(leaf level)の統制要素と脆弱点との1:1の関係を設定することが望ましい。
また、上記リスクシナリオ管理部は、資産類型別に脅威別の脆弱点に対するリスク度を算定して、リスク度の高い脆弱点に対する統制対策の既存統制レベルを把握することが望ましい。
また、上記リスクシナリオ管理部は、リスク緩和のために除去しなければならない脆弱点と、これに対する統制対策を自動マッチングすることが望ましい。
特に、脅威は存在するが必要な統制がない場合や統制が実行されていない場合に脆弱点が存在すると言えるので、上記リスクシナリオ管理部は、統制要素の定義時に脆弱点の追加事項を反映することが望ましい。
また、上記レベル管理部は、計画(Plan)、履行(Do)、検討(Check)及び改善(Act)を含む管理生命周期(PDCA)によって、上記統制行為を時系列的に配列することが望ましい。この時、上記計画は、政策標準化、担当者の指定及び権限の委任、資源の割当、教育及び伝播、そして自動化支援道具の割当を含むことが望ましい。この時、上記履行は、計画段階で定義され委任された統制対策の遵守及び統制行為の記録を含むことが望ましく、上記検討は、検討、評価、分析、測定、報告及び監査を含むことが望ましい。また、上記改善は、リスク分析、報告された問題点に対する解決代案の選択、統制費用の算定、保証レベルの決定、機会費用の算定、そして、政策及びプロセスの改善を含むことが望ましい。
また、上記リスク対策部は、上記統制マスターデータベースに基づきリスクを分析して、リスク度の高い脆弱点に対する統制要素を識別し、識別された統制要素に対する統制費用に基づいて該当統制要素を行うときの機会費用を自動に算定した後、機会費用の高い統制要素から統制を実施できるように意思決定を支援することが望ましい。
また、上記リスク対策部は、上記統制改善類型を短期/長期及び緊急/通常に区分し、作業管理のための統制改善指示とプロジェクト性統制改善指示とを分類して支援することが望ましい。
また、上記統制作業管理部は、上記統制マスターデータベースに基づいて遂行者及び統制項目別に作業指示をした後、それに対する作業完了率を追跡し、まだ行われていない統制に対しては再作業指示をすることが望ましい。
また、上記統制作業管理部は、各部署別の作業履行率を分析することが望ましい。
一方、上記目的を達成するために、本発明で提供するITリスクマネジメント方法は、統制政策を統制可能な最小単位に分解した後、分解された統制要素のそれぞれから一つの統制項目、一つの統制行為、統制別の遂行者及び遵守者を定義して保存する統制データベース構築過程;組織の統制成熟度現況に対して分析する現況分析過程;組織が管理すべき情報資産を識別して、その情報資産に対する重要度を評価する資産評価過程;上記統制データベースで定義された統制要素を逆方向に定義して脆弱点を抽出し、その脆弱点と統制要素、情報資産及び脅威との間の相関関係に基づいてリスクを評価するリスク評価過程;上記リスク評価過程で評価されたリスク度を基準にリスクの統制保証レベルを決定し、リスクを緩和するための統制要素を選択し、選択された統制要素に対するリスク対策計画を樹立した後に政策を改定するリスク対策過程;及び、上記リスク対策計画に対する経営者の経営検討を実施し、内部統制構造と国際/国内標準との適用性に関する報告書を生成し、統制施行のための使用者教育を実施する統制履行過程;を含むことを特徴とする。
特に、上記方法は、上記統制データベースに各統制別の測定指標を設定して統制効果及びレベル測定を実施し、内部監査と使用者部署の自己診断を実施するモニタリング過程をさらに含み、上記モニタリング過程は、上記各統制要素のうち重点的に管理すべき統制項目に対して核心リスク指標を定義及び管理することが望ましい。
また、上記方法は、上記モニタリングの結果及びリスク対策の結果に応じた脆弱点の除去と統制改善及び履行度の向上のための作業を指示し、その履行結果を報告する作業管理過程をさらに含み、上記作業管理過程は、遂行者別の作業指示をシステムを通して伝達する段階;統制項目別に作業指示に対する作業完了率を追跡する段階;上記追跡結果を利用して部署別作業履行率を分析する段階;及び、上記追跡の結果、まだ行われていない統制項目に対しては再作業を指示する段階;を含むことが望ましい。
また、上記統制データベース構築過程は、統制政策を意味を有する最小単位の統制要素に分解する段階;上記統制要素のそれぞれにコードを付与する段階;上記統制要素のそれぞれに対する行為者を抽出する段階;上記統制要素が統制項目を有する遵守統制である場合、統制対策を抽出する段階;統制項目を測定する段階;統制行為を抽出する段階;及び、上記統制項目及び統制行為を含む統制要素を上記統制データベースに登録する段階;を含むことが望ましい。
また、上記分解段階は、形態素分析によって上記統制政策を分解することが望ましい。
また、上記現況分析過程は、情報セキュリティ管理システム(ISMS)の情報セキュリティ範囲を選定する段階;上記統制データベースを利用して、上記選定された情報セキュリティ範囲に対する政策を定義する段階;政策保護現況を調べる段階;及び、上記現況調査の結果に基づいてリスク評価方法を決定する段階;を含むことが望ましい。
また、上記資産評価過程は、資産現況を集合して資産を識別する段階;上記識別された各資産に対するモデリング及びグループ化を行う段階;及び、上記各資産に対する重要度を評価する段階;を含むことが望ましい。
また、上記資産評価過程は、上記統制データベースで定義された統制要素を管理する政策管理段階をさらに含むことが望ましい。
また、上記政策管理段階は、上記統制データベースに基いて遂行者類型別/資産類型別/政策類型別の統制要素の照会及び管理を行うことが望ましい。
また、上記政策管理段階は、上記統制データベースに基いて国際規格の細部的な統制要素を検索することが望ましい。
また、上記政策管理段階は、上記統制データベースに基いて各統制要素の施行日及び改定日に対する統制要素別バージョンを管理することが望ましい。
また、上記政策管理段階は、上記統制データベースに基いて自体規定と国際規格との連関性を示すSOA(Service Of Applicability)の生成及び照会管理を行うことが望ましい。
また、上記政策管理段階は、上記統制データベースに基いて統制要素別に必要な書式及び様式の連関関係を管理することが望ましい。
また、上記リスク評価過程は、上記統制データベースで定義された統制要素を逆方向に定義して脆弱点を抽出し、その脆弱点と統制要素、情報資産及び脅威との間の相関関係に基づいてシナリオを構成する段階;上記脅威に対する影響度を評価する段階;上記脅威の発生可能性を評価する段階;及び、上記脅威発生時のリスク度を評価する段階;を含むことが望ましい。
また、上記シナリオ構成段階は、統制要素と脆弱点との相関関係の正確度を確保するために、最下位レベルの統制要素と脆弱点との1:1の関係を設定することが望ましい。
また、上記シナリオ構成段階は、リスク緩和のために除去すべき脆弱点とこれに対する統制対策を自動マッチングすることが望ましい。
また、上記リスク度評価段階は、資産類型別に脅威別脆弱点に対するリスク度を算定して、リスク度の高い脆弱点に対する統制対策の既存統制レベル(例えば、成熟度レベルと履行度レベル)を把握することが望ましい。
また、上記リスク対策過程は、上記リスク度を基準に緊急/優先改善、通常改善、リスク観察、リスク回避を含む保証レベルを算定する統制保証レベル算定段階;上記保証レベルに応じて該当リスクを緩和するための統制要素を選択する段階;予め設定された統制改善類型によって上記選択された統制要素に対するリスク対策計画を樹立する段階;及び、リスク対策の結果によってセキュリティ政策及びプロセス手続を改定する段階;を含むことが望ましい。
また、上記保証レベル算定段階は、上記統制要素のうち統制行為を管理生命周期によって時系列的に配列する段階;それぞれの統制行為の存否を判断する段階;上記統制行為の存否によって組織の統制行為の成熟度を測定する段階;及び、設定された遵守統制に対する各組織構成員の統制履行を測定する段階;を含むことが望ましい。
また、上記統制行為の時系列的配列段階は、計画、履行、検討及び改善を含む管理生命周期(PDCA)によって、上記統制行為を時系列的に配列することが望ましい。
また、上記統制要素選択段階は、上記統制データベースに基づきリスクを分析して、リスク度の高い脆弱点を有する統制要素を選択することが望ましい。
また、上記リスク対策計画樹立段階は、上記統制改善類型を短期/長期及び緊急/通常に区分して、意思決定を支援する段階をさらに含むことが望ましい。
また、上記統制履行過程は、統制要素に対して、直接所要人員、プロジェクト費用を含む統制費用を利用した機会費用を自動に算定する段階;及び、機会費用の高い統制要素から統制を実施できるように意思決定を支援する段階;をさらに含むことが望ましい。
上記のように本発明は、情報技術関連の統制要素(例えば、政策、指針、規定、標準、手続及び規範など)を、一定の原則によって意味を有する(統制可能な)最小単位に分解(Atomic)した後、その統制要素を一つの名詞(Noun:統制項目)に一つの動詞(Verb:統制行為)となるように分割/定義して、統制別の遂行者(Actor)及び遵守者を定義する。また、各遵守統制に対する測定指標を定義する。
本明細書では、統制要素をこのように分割/定義して構築したDBを‘NVAMタイプの統制DB’と言い、このNVAMタイプの統制DBに基づいてITRMSを構築し、これを通して組織の情報技術に対するリスク管理を全般的に行うことを特徴とする。
上記のように、本発明によれば、既存の政策書及び法律、国際/国内標準書等のような全ての規範書に対する遂行者を明確に指定及び測定できるようになるので(KPI、KRIを統制項目別に割当/定義するので)、組織の政策履行度及び成熟度を実質的に増進させることができる。
また、本発明は、各使用者の類型別に、自分に該当する規定及び指針情報(統制情報)を、常に最新の状態で使用(入力・修正・削除)できるように支援する。
また、本発明は、規範及び政策の使用者及び遂行者(Actor)類型別(一般使用者、一般使用者部署のセキュリティ担当者、サーバー担当者、ネットワーク担当者、応用システム開発担当者、データベース担当者、品質保証担当者、外注開発プロジェクト担当者、全社セキュリティ管理担当者、全社ITセキュリティ担当者、監査人、IT監査人等〔図15に例示した使用者類型及び遂行者リスト参照〕)に、自分が認知及び遵守すべきセキュリティ関連条項と統制要素だけを区分して照会及び遵守できるようになるので、品質/サービス経営及び情報保護経営の最も重要な要素である統制(品質/セキュリティ/サービス)マインドの拡散と理解度を急速に増進させることができる。
また、本発明は、これまで死角地帯であった管理的、物理的セキュリティに対する定型化されたリスク分析技法の統合適用が可能である。
また、本発明は、個別的に管理されてきた各種情報技術資源に対するセキュリティ管理を全社的に統合して管理することができる。
また、本発明は、ISO 27001、ISO 9000、ISO 14000の認証支援及び認証レベル維持を自動化して管理することによって、人的、物的資源の効率的な運営が画期的に向上される。
また、本発明は、持続的にセキュリティ関連コンサルティングの結果(脅威シナリオDB)を最新の状態で維持でき、コンサルティングの効率性を極大化することができる。また、セキュリティ管理プロセスを持続的に改善し得る改善体系の構築(CMM 5 level支援)を支援する。
また、本発明は、企業及び組織内に散在した政策書、指針書、標準書、手続書などの統制関連情報を一貫した原則の下で分類し、体系的にDB化して管理することができる。
以下、本発明の望ましい実施例を添付図面を参照しながら詳しく説明する。添付図面において、同一の構成要素については可及的同一の符号を使用していることに留意されたい。また、本発明の要旨を不明瞭にする恐れがある公知の機能及び構成に対する詳細な説明は省略する。
図1は、本発明の一実施例によるITリスクマネジメントシステムに対するシステム構成図である。ここで図1は、ISO 27001で定義しているISMS(Information Security Management System)要件(Requirements)に基づいてリスク管理を行うためのシステムの構成例を示している。図1によれば、本発明の一実施例によるITリスクマネジメントシステム100は、統制マスターDB110、ポリシー管理部120、リスクシナリオ管理部130、レベル管理部140、リスク対策部150及び統制作業管理部160を含む。
統制マスターDB110は、統制政策を統制可能な最小単位である統制要素に(例えば、原子的(atomic)に)分解した後、分解された統制要素のそれぞれから一つの統制項目(例えば、名詞(Noun))、一つの統制行為(例えば、動詞(Verb))、統制別遂行者(Actor)(担当者)及び遵守者(責任者)を定義して保存する。即ち、統制マスターDB110は、NVAMタイプの統制DBである。
このように、原子的(Atomic)に分解された各種統制要素から、誰が何をすべきかを明確に把握することができる。従って、統制政策をNVAMタイプに転換するために、統制マスターDB110管理部(図示省略)は、優先的に統制条項を単文に分解した後、その各統制を分類する。ここで、宣言統制は宣言的な性格の統制で、遵守統制は統制と関連した人々が遵守しなければならない統制であり、上記のようにNVAMタイプに転換して管理するのは遵守統制である。即ち、上記宣言統制は自体的に意味を有する形態であり、遵守統制は後述される原則と手続を経てNVAMタイプで定義される形態である。従って、統制マスターDB110管理部は、上記分解された単文が宣言統制であるか遵守統制であるかを確認した後、宣言統制の場合は単文形態でDBに保存し、遵守統制の場合はNVAMタイプで定義してDBに保存する。
このように統制政策を分解した一例が、図11に示されている。図11は、情報保護分野の国際規格であるISO 27001の統制政策を単文に分解した例を示している。図11によれば、複文で作成されたISO 27001の保護政策(a)、資産管理(b)及び接近統制政策(c)が、それぞれ2つの単文に分解されていることが分かる。
一方、上記遵守統制をNVAMタイプで定義するための原則と手続は、次の通りである。
1.統制は、単文(一つの主語、一つの目的語、一つの動詞)に分解されなければならない。
2.遵守統制は、統制を履行又は遵守しなければならない一人の遂行者(Actor)を有しなければならない。
3.遵守統制は、一つの統制項目(名詞形態:Noun Type)(例えば、パスワード)を有しなければならない。
4.遵守統制は、一つの統制行為(動詞形態:Verb Type)(例えば、標準化、教育、遵守、報告など)を有しなければならない。
5.統制行為(ISO 9000、ISO 14000、ISO 27001及びCMMなどでは、“プロセス”と称する)は、管理生命周期を構成する要素である。かかる統制行為(プロセス)は、統制対策の管理周期(例えば、Plan→Do→Check→Act)で大別される。このような管理生命周期は、レベル管理部140で統制行為を分析する時に参照する。従って、統制対策管理周期に対しては、レベル管理部140を説明する部分で具体的に言及することにする。
6.各統制項目は、測定可能でなければならない。即ち、上記の手続を経たNVAMタイプの統制行為は、PDCA管理周期によって成熟度(Maturity)を測定することができ、また、遵守可否を管理するために履行度を測定することができる。従って、成熟度測定統制項目と履行度測定項目とに分類して、統制項目を測定することができる。
7.このように定義された統制項目を逆方向(reverse)に定義する場合、脆弱点となる。例えば、必要な統制が存在しないか、必要な程度に理解及び遵守されない状態であるため、統制定義に否定詞(無い、存在しない、不在、欠如など)を付加(又は、添加)するか、完全に履行されない状態(例えば、不十分、不備など)を叙述すれば脆弱点となるのである。
8.各統制項目は、適用可能性を考慮しなければならない。全ての統制項目を同時に全ての人に適用することは不可能なことである。従って、統制政策を樹立する場合、NVAMタイプで構築された統制に対し、そのリスク度と統制費用を考慮して、優先順位を区分する必要がある。従って、組織が現時点で必ず履行又は遵守すべき統制項目を選択して適用することができる。
かかる特性を有する遵守統制を管理する統制マスターDB110を利用した各装置の動作を説明すれば、次の通りである。
まず、ポリシー管理部120は、統制マスターDB110で定義された統制要素を管理する。特に、ポリシー管理部120は、統制マスターDB110に基づいて遂行者類型別/資産類型別/政策類型別の統制要素の照会及び管理、国際規格(例えば、ISO 27001、ISO 9000、ISO 14000など)及び自体規格の細部的な統制要素を検索することが望ましい。また、ポリシー管理部120は、統制マスターDB110に基いて各統制要素の施行日及び改定日に対する統制別バージョン(version)管理、自体規定と国際規格との連関性を示すSOA(Service of Applicability)生成及び照会管理、各統制別の必要書式及び様式の連関関係管理(文書及び記録管理)を行う。
このようなポリシー管理部120の画面例が、図18に例示されている。図18は、本発明の一実施例によるNVAMタイプDBに基づいたITRMSの多様な政策及び統制検索画面の例を示した図である。上記各事項は、図18に例示された画面から検証が可能である。
リスクシナリオ管理部130は、統制マスターDB110で定義された統制要素を逆方向に定義して脆弱点を抽出し、その脆弱点と統制要素、情報資産及び脅威との間の相関関係を明示する。
特に、リスクシナリオ管理部130は、統制要素と脆弱点との相関関係の正確度を確保するために、最下位レベルの統制要素と脆弱点との1:1の関係を設定する。また、リスクシナリオ管理部130は、資産類型別に脅威別脆弱点に対するリスク度を算定し、リスク度の高い脆弱点に対する統制対策の既存レベルを把握して、リスク緩和のために除去しなければならない脆弱点と、これに対する統制対策を自動マッチングする。
レベル管理部140は、統制要素のうち統制行為を管理生命周期によって時系列的に配列し、それぞれの統制行為の存否を判断することによって、組織の統制行為の成熟度を測定し、設定された遵守統制に対する各組織構成員の統制履行度を測定する。特に、レベル管理部140は、計画、履行、検討及び改善を含む管理生命周期(PDCA)によって上記統制行為を時系列的に配列する。
ここで、上記計画は、政策標準化(Standardization)、担当者の役割及び責任(Roles and Responsibilities)、資源の割当(resourcing)、教育及びトレーニング(Education and Training)、そして、自動化支援道具の割当(system and logging)を含み、上記履行(Do)は、計画段階で定義され委任された統制対策のコンプライアンス(compliance)及び統制行為の記録及びログ(record and logging)を含み、上記検討(Check)は、検討(review)、評価(assessment)、分析(analysis)、測定(measurement)、報告及び監査を含む。また、上記改善(Act)は、リスク分析(risk analysis)、報告された問題点に対する解決代案の選択(alternative control selection)、統制費用の算定(control cost assignment)、保証レベル決定(degree of acceptance decision)、機会費用の算定(opportunity cost assignment)、そして、政策及びプロセスの改善(policy and process improvement)を含む。
リスク対策部150は、統制改善類型に対する意思決定を支援する。特に、リスク対策部150は、統制マスターDB110に基づきリスクを分析して、リスク度の高い脆弱点に対する統制要素を識別し、識別された統制要素に対する統制費用に基づき該当統制要素を行うときの機会費用を自動に算定した後、機会費用の高い統制要素から統制を実施できるように意思決定を支援する。また、リスク対策部150は、上記統制改善類型を短期/長期及び緊急/通常に区分し、作業管理のための統制改善指示とプロジェクト性統制改善指示とを分類して支援する。
統制作業管理部160は、上記統制保証レベル及び統制改善類型によって、統制に対する作業を指示及び管理する。特に、統制作業管理部160は、統制マスターDB110に基いて遂行者及び統制項目別に作業指示をした後、それに対する作業完了率を追跡して、まだ行われていない統制に対しては再作業指示をする。また、統制作業管理部160は各部署別の作業履行率を分析する。
図2は、本発明の一実施例によるITリスクマネジメント方法に対する処理流れ図である。図2によれば、図1のITリスクマネジメントシステム100を利用したITリスクマネジメント方法は、次の通りである。まず、本発明は、図1に示されたような統制マスターDB(図1の“110”)を構築する(S100)。その具体的な処理過程の例は、図3に例示されている。
そして、組織の統制成熟度現況に対して分析した後(S200)、組織が管理すべき情報資産を識別して、その情報資産に対する重要度を評価する(S300)。
このように、組織の統制成熟度分析及び情報資産の重要度評価が完了すれば、上記ITリスクマネジメントシステム100は、上記構築された統制マスターDBから脆弱点を抽出し、その脆弱点と統制要素、情報資産及び脅威との間の相関関係に基づいてリスクを評価する(S400)。ここで、脆弱点の抽出は、統制マスターDBで定義された統制要素を逆方向に定義することによって可能である。
そして、リスク評価過程(S400)で評価されたリスク度を基準にリスクの統制保証レベルを決定し、リスクを緩和するための統制要素を選択し、選択された統制要素に対するリスク対策計画を樹立した後、政策を改定するリスク対策過程を行う(S500)。
また、上記リスク対策計画に対する経営者の経営検討を実施し、内部統制構造と国際/国内標準との適用性に関する報告書を生成し、統制施行のための使用者教育を実施する統制履行過程を行う(S600)。
上記のような統制の履行が完了すれば、統制マスターDBに各統制別の測定指標を設定し、統制効果及びレベル測定を実施し、内部監査と使用者部署の自己診断を実施するモニタリング過程を行い(S700)、そのモニタリング結果及びリスク対策結果による脆弱点の除去と統制の改善及び履行度の向上のための作業を指示し、その履行結果を報告する作業管理過程を行う(S800)。
図3は、図2のITリスクマネジメント方法の統制マスターDB構築過程に対する一例を示した流れ図である。図3によれば、統制マスターDBを構築するために、まず、統制政策を意味を有する最小単位の統制要素に分解する(S105)。ここで、分解段階(S105)は、“形態素分析”によって上記統制政策を分解することが望ましい。“形態素”とは、一定の音声と意味や機能を持つ単語の最小単位をいう。即ち、形態素は、これ以上に別個の意味や機能に分離出来ない最小限の言語要素である。
このように、各種の統制政策を分解した例が、図12〜図14に示されている。図12は本発明の一実施例によってパスワード管理規定をNVAMタイプに分解した例を示した図で、図13は本発明の一実施例によって特定会社のパスワード管理政策条項をNVAMタイプに分解してDBタイプで定義した例を示した図で、図14は本発明の一実施例によって基盤保護法をNVAMタイプに分解した例を示した図である。
即ち、図12は上記パスワード管理規定を5つの項目(例えば、行為者、条件節、統制項目、統制行為及び適用範囲)に分離した例を示しており、図13はテキスト形態で構成された既存の規定をNVAMタイプに分解した例を示しており、図14は上記基盤保護法の分解前の状態と、その基盤保護法を行為者(Actor)、統制項目(Noun type)及び統制行為(Verb type)に分解した例を一つの表として示している。
一方、図15は本発明の一実施例によって抽出された使用者類型と遂行者(Actor)リストの例を、図16は本発明の一実施例によって統制行為を管理生命周期(PDCA)で分解した例とこれに基づいた成熟度測定の例を、図17は本発明の一実施例によってNVAMタイプに分解された統制要素別の測定指標の定義例を、それぞれ示している。
図12〜図17を参照するに、本発明の実施例によって各政策を分解した例を把握することができる。
一方、上記のように統制政策を統制要素に分解する作業が完了したら、それぞれの統制要素にコードを付与した後(S110)、上記それぞれの統制要素に対して行為者を抽出する(S115)。
そして、上記統制要素が統制項目であるか否かを判断して(S120)、統制項目である場合(即ち、統制項目を有する遵守統制の場合)は、統制対策を抽出し(S125)、その統制項目に対する測定可能方法(例えば、自動測定又は手作業など)を利用して統制項目を測定する(S130、S135、S140)。例えば、統制項目が手作業で測定可能な場合は、手作業による測定を行い(S135)、自動測定が可能な場合は自動化測定を行う(S140)。また、統制行為を抽出する(S145)。
一方、上記判断(S120)の結果、統制項目でない場合(即ち、統制項目を有しない宣言統制の場合)は、その分解された単文状態を利用して定義及び宣言をする(S150)。
そして、上記一連の過程(S125〜S150)で得られた統制項目及び統制行為を含む統制要素を含む統制マスターDBを構築する(S155)。
図4は、図2のITリスクマネジメント方法の現況分析過程(S200)に対する一例を示した流れ図である。図4によれば、上記現況分析過程(S200)は、情報セキュリティ管理システム(ISMS)の情報セキュリティ範囲を選定する段階(S205)、上記過程(S100)で生成された統制マスターDBを利用して上記選定された情報セキュリティ範囲に対する政策を定義する段階(即ち、NVAM ISMS政策定義段階;S210)、政策保護現況を調べる段階(S215)及び上記現況調査の結果に基づいてリスク評価方法を決定する段階(S220)を含む。
図5は、図2のITリスクマネジメント方法の資産評価過程(S300)に対する一例を示した流れ図である。図5によれば、上記資産評価過程(S300)は、資産現況を集合するためのワークショップを行う段階(S305)、その結果集合された資産現況を分析して資産を識別する段階(S310)、識別された各資産に対するモデリング及びグループ化を行う段階(S315)、及び上記各資産に対する重要度を評価する段階(S320)を含む。
上記資産の重要度を決定するための方法の例が、図24に例示されている。図24は本発明の一実施例による資産重要度決定方法の例を示した図であり、同図によれば、本発明は各項目別に質問及び答弁類型を設定し、それに応じた答弁内容によって資産の重要度を決定する。
また、資産を正確に評価するためには、上記過程(S100)で生成された統制マスターDBで定義された統制要素を管理する政策管理段階(図示省略)をさらに含むことが望ましい。上記“政策管理段階”は、図1に示されたポリシー管理部120で行われるものであり、その具体的な対策内容は、ポリシー管理部120の動作例と類似している。
図6は、図2のITリスクマネジメント方法のリスク評価過程(S400)に対する一例を示した流れ図である。図6によれば、上記リスク評価過程(S400)は、上記過程(S100)で生成された統制マスターDB110で定義された統制要素を利用して、NAVM脅威シナリオを構成する(S405)。このために、上記統制要素を逆方向に定義して脆弱点を抽出し、その脆弱点と統制要素、情報資産及び脅威との間の相関関係に基いてシナリオを構成するのが望ましい。特に、上記段階(S405)では、統制要素と脆弱点との相関関係の正確度を確保するために、最下位レベルの統制要素と脆弱点との1:1の関係を設定するのが望ましい。また、上記段階(S405)は、リスク緩和のために除去すべき脆弱点とこれに対する統制対策とを自動マッチングするのが望ましい。
上記のように、脅威シナリオの構成が完了したら、本発明のITリスクマネジメントシステム100は、その脅威に対する影響度を評価し(S410)、上記脅威の発生可能性を評価した後(S415)、上記脅威発生時のリスク度を評価する(S420)。
ここで、上記リスク度評価段階(S420)は、資産類型別に脅威別脆弱点に対するリスク度を算定し、リスク度の高い脆弱点に対する統制対策の既存レベルを把握するのが望ましい。
図7は、図2のITリスクマネジメント方法のリスク対策過程(S500)に対する一例を示した流れ図である。図7によれば上記リスク対策過程(S500)は、上記リスク度を基準に緊急/優先改善、通常改善、リスク観察、リスク回避を含む保証レベルを算定する(S505)。ここで上記段階(S505)は、上記統制要素のうち統制行為を管理生命周期によって時系列的に配列する段階;それぞれの統制行為の存否を判断する段階;上記統制行為の存否によって組織の統制行為の成熟度を測定する段階;及び、設定された遵守統制に対する各組織構成員の統制履行を測定する段階;を含むことが望ましい。特に、上記統制行為の時系列的配列段階は、計画、履行、検討及び改善を含む管理生命周期によって上記統制行為を時系列的に配列するのが望ましい。上記管理生命周期に対しては、図1を参照した説明の際に言及した通りである。
このように保証レベルの算定が完了したら、本発明のITリスクマネジメントシステムは、上記保証レベルによって該当リスクを緩和するための統制要素を選択する(S510)。このために、上記ITリスクマネジメントシステムは、上記統制データベースに基いてリスクを分析し、リスク度の高い脆弱点を有する統制要素を選択するのが望ましい。
また、ITリスクマネジメントシステムは、予め設定された統制改善類型に応じて上記選択された統制要素に対するリスク対策計画を樹立する(S515)。このために、上記ITリスクマネジメントシステムは、上記統制改善類型を短期/長期及び緊急/通常に区分し、作業管理のための統制改善指示とプロジェクト性統制改善指示とを分類して支援する段階を含むことが望ましい。
このようにリスク対策計画を樹立したITリスクマネジメントシステムは、リスク対策の結果に応じてセキュリティ政策及びプロセス手続を改定する(S520)。
図8は、図2のITリスクマネジメント方法の統制履行過程(S600)に対する一例を示した流れ図である。図8によれば、上記統制履行過程(S600)は、まず経営方式を検討した後、その経営方式に基づいて統制を具現する(S605)。そして、適用性に関する報告書(SOA)を生成した後(S610)、それに基づき使用者教育を実施することによって(S615)、使用者が
上記統制を履行(logging)するようにする(S620)。このために、本発明のITリスクマネジメントシステムは、統制要素に対して、直接所要人員、プロジェクト費用を含む統制費用を利用した機会費用を自動に算定した後、機会費用の高い統制要素から統制を実施できるように意思決定を支援することが望ましい。
上記統制を履行(logging)するようにする(S620)。このために、本発明のITリスクマネジメントシステムは、統制要素に対して、直接所要人員、プロジェクト費用を含む統制費用を利用した機会費用を自動に算定した後、機会費用の高い統制要素から統制を実施できるように意思決定を支援することが望ましい。
図9は、図2のITリスクマネジメント方法のモニタリング過程(S700)に対する一例を示した流れ図である。図9によれば、上記モニタリング過程(S700)は、上記統制要素のうち重点的に管理すべき統制項目に対して核心リスク指標(KRI)を導出し(S705)、その核心リスク指標を利用して統制効果及びレベルを測定した後(S710)、内部監査(S715)及び国際認証審査(S720)を行うことが望ましい。
図10は、図2のITリスクマネジメント方法の作業管理過程(S800)に対する一例を示した流れ図である。図10によれば、上記作業管理過程(S800)は、審査結果を検討した後(S805)、その結果に基づき是正措置計画を樹立して(S810)、是正及び改善措置を行うこと(S815)が望ましい。
このために、本発明のITリスクマネジメントシステムは、遂行者別の作業指示をシステムを通して伝達し、統制項目別に作業指示に対する作業完了率を追跡した後、上記追跡結果を利用して部署別の作業履行率を分析し、上記追跡の結果、まだ行われていない統制項目に対しては再作業を指示するようにする、一連の処理過程を行うことが望ましい。
このために、本発明のITリスクマネジメントシステムは、遂行者別の作業指示をシステムを通して伝達し、統制項目別に作業指示に対する作業完了率を追跡した後、上記追跡結果を利用して部署別の作業履行率を分析し、上記追跡の結果、まだ行われていない統制項目に対しては再作業を指示するようにする、一連の処理過程を行うことが望ましい。
図19〜図23は、本発明の一実施例によるITリスクマネジメントシステムの処理手続による画面の例を示している。即ち、図19は本発明の一実施例によるNVAMタイプDBに基づいたITRMSのポリシー管理部の統制詳細項目検索画面の例を、図20は本発明の一実施例によるITRMSの資産重要度決定画面の例を、図21は本発明の一実施例によるNVAMタイプDBに基づいた脅威シナリオ照会画面の例を、図22は本発明の一実施例によって算定されたリスク度に基づき、ITRMSで保証レベル(DOA:Degree of Acceptance)の決定、機会費用の算定及び改善統制類型の決定を行うための画面の例を、そして、図23は本発明の一実施例によるNVAMタイプDBに基づいたITRMSのリスク対策後の作業管理画面の例を、それぞれ示している。
このような本発明のシステム及び方法は、次のような特徴がある。
1.本発明は、情報資産の統合リスク管理を行う。
既存のセキュリティソリューションは、技術的な脆弱点と統制に集中されている。しかし、本発明は、既存のソリューションが管理する情報技術資産(例えば、応用サーバー資産、ネットワークなど)の以外にも情報資産(例えば、電子情報、紙文書情報、移動式保存媒体資産、ファイルサーバー資産、PC資産、位置資産など)を管理する。構築された情報資産に対し、全ての統制分野を統合してリスク分析を実施した後、その結果によって資産に対する脆弱点及び統制対策の管理が行えるように支援する。これは、全ての統制をNVAMタイプでDBとして構築したからこそ可能なのである。例えば、ISO 27001の11個のドメイン全体に対する統合リスク分析及びリスク管理を行うことができる。これは、未だ試みられたことのない統合技術である。即ち、全ての統制は、統制の意味を有する文章で構成されており、このような統制の定義上、模倣性を解決して明確に(NVAMタイプで定義)して統制DBとして構築することで、全ての統制の統合管理が可能になる。
現在の技術的統合セキュリティツール(ESM、TRMなど)は、ISO 27001の一つの統制(A.12.Information systems acquisition, development and maintenance/情報システムの購入、開発及びメンテナンス−A.12.6.Technical Vulnerability Management/技術脆弱点の管理)に局限されたリスク分析だけが可能な状態である。しかし本発明は、NVAMタイプで定義された統制要素を逆方向に定義すれば、脆弱点が自動に生成される。こうして生成された脆弱点に基づき脅威シナリオの正確度を向上させ、これを通してリスク分析を実施することにより、管理/物理/技術的セキュリティ、統制管理、品質経営、情報技術サービス経営に対する統合リスク分析及び管理が可能である。即ち、本発明は、統制要素を逆方向に定義することによって脆弱点を生成できるので、信頼性のある脅威シナリオDBの構築が可能なため、統合セキュリティリスク管理が可能である。
2.本発明は統制レベル(モニタリング)管理を行う。
本発明は、まず、上記にて言及したNVAMタイプの統制DBを通して統制要素を管理することによって、各統制要素を原子的に分割し測定可能な状態で定義するため、最小単位統制(leaf level control)別の測定が可能となる。従って、統制要素標準化定義率、統制要素R&R(Roles and Responsibility)割当率、統制要素教育施行率、統制要素履行及び遵守率、統制履行結果報告率などをそれぞれ測定することができ、これは各組織のセキュリティ管理レベルの成熟度を測定するための土台となる。また、統制項目の成熟度以外にも各統制を遵守しなければならない各組織員の履行レベル(目標対比実際遵守率)を測定できるので、成熟度と履行度を共に測定して規範及び統制(情報保護、品質経営など)の成熟度レベルと履行度レベルを共に測定管理することができる。このような統制レベルの管理は、図16に例示されている。
3.本発明は、KRI概念を導入している。
組織は、数多くの脆弱点と統制対策に対する選択と集中をしなければならないが、本発明は統制要素のうち重点的な管理を要する(リスク度の高い)統制項目に対するKRI(核心リスク指標)を定義及び管理することによって、重要な資産に加えられる重大な脆弱点を集中的に管理し得るように支援する。各統制項目別のKPI及びKRIを定義した例は、図17に示されている。
4.本発明は、脅威シナリオDBを構築する。
脆弱点と統制対策とが連動(Correlation)する、資産vs脅威vs脆弱点vs統制対策の連関関係を脅威シナリオDBと言うが、本発明はこれをNVAMタイプで構築してシステムに適用することによって、脅威シナリオDBの完成度及び正確度を高めることができる。また、NVAMタイプで定義された統制要素を逆方向に定義して、成熟度関連の脆弱点と履行度関連の脆弱点を生成できるので、リスク分析の基本データとなる脅威シナリオの正確度と、脅威vs脆弱点vs統制間の連動関係の正確度を確保することができる。これにより、使用者に、現在の資産に加えられる脅威の把握、同脅威と関連した脆弱点の識別、各脆弱点別に行われている既存統制対策の識別を連動して提供することによって、正確なリスク分析のための土台を提供することができる。
一方、図25〜図27は、本発明の一実施例によるITリスクマネジメントシステムを利用したCSO(最高セキュリティ管理者)のビュー画面の例を示した図である。図25は全社の情報資産現況を示すCSOビューの例を、図26は全社の技術セキュリティリスク対策現況を示すCSOビューの例を、そして、図27は全社の管理セキュリティリスク対策現況を示すCSOビューの例を、それぞれ図示している。
以上では、本発明の特定の望ましい実施例について図示及び説明したが、本発明は上述した実施例に限定されるものではなく、本発明の属する技術分野における通常の知識を有する者ならば、特許請求の範囲に記載された本発明の要旨を逸脱しない範囲内で多様な変形実施が可能である。
100:ITリスクマネジメントシステム
110:統制マスターDB
120:ポリシー管理部
130:リスクシナリオ管理部
140:レベル管理部
150:リスク対策部
160:統制作業管理部
110:統制マスターDB
120:ポリシー管理部
130:リスクシナリオ管理部
140:レベル管理部
150:リスク対策部
160:統制作業管理部
Claims (1)
- ITリスクマネジメント方法において、
統制マスターデータベース部に、統制ポリシーを統制可能な最小単位に分解した後、分解された統制要素のそれぞれから一つの統制項目、一つの統制行為、統制別の遂行者(担当者又は使用者)及び遵守者(責任者)を定義して保存する統制マスターデータベース構築過程;
ポリシー管理部が、組織の現在の統制成熟度について分析する現況分析過程;
リスクシナリオ管理部が、組織が管理すべき情報資産を識別して、その情報資産に対する重要度を評価する資産評価過程;
レベル管理部が、上記統制マスターデータベース部で定義された統制要素を逆方向に定義して脆弱点(vulnerability)を抽出し、その脆弱点と統制要素、情報資産及び脅威との間の相関関係に基いてリスクを評価するリスク評価過程;
リスク対策部が、上記リスク評価過程で評価されたリスク度を基準にリスクの統制保証レベルを決定し、リスクを緩和するための統制要素を選択し、選択された統制要素に対するリスク対策計画を樹立した後にポリシーを改定するリスク対策過程;及び、
統計作業管理部が、上記リスク対策計画に対する経営者の経営検討を実施し、内部統制構造と国際/国内規格に規定された統制構造との適用性に関する報告書を生成し、統制遂行のための使用者教育を実施する統制コンプライアンス過程;
を含むことを特徴とするITリスクマネジメント方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20060035213 | 2006-04-19 | ||
| KR1020060046033A KR100752677B1 (ko) | 2006-04-19 | 2006-05-23 | 정보기술 위험관리시스템 및 그 방법 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007016797A Division JP2007287132A (ja) | 2006-04-19 | 2007-01-26 | 情報技術危険管理システム及びその方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2011018361A true JP2011018361A (ja) | 2011-01-27 |
Family
ID=38615568
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010211371A Withdrawn JP2011018361A (ja) | 2006-04-19 | 2010-09-21 | 情報技術危機管理システム及びその方法 |
| JP2010211370A Withdrawn JP2011018360A (ja) | 2006-04-19 | 2010-09-21 | 情報技術危機管理システム及びその方法 |
| JP2012228641A Pending JP2013050969A (ja) | 2006-04-19 | 2012-10-16 | Itリスクマネジメントシステム及び該システムを使用したitリスクマネジメント方法 |
Family Applications After (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010211370A Withdrawn JP2011018360A (ja) | 2006-04-19 | 2010-09-21 | 情報技術危機管理システム及びその方法 |
| JP2012228641A Pending JP2013050969A (ja) | 2006-04-19 | 2012-10-16 | Itリスクマネジメントシステム及び該システムを使用したitリスクマネジメント方法 |
Country Status (2)
| Country | Link |
|---|---|
| JP (3) | JP2011018361A (ja) |
| KR (1) | KR100752677B1 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014132455A (ja) * | 2012-12-28 | 2014-07-17 | Eni Spa | 産業施設のセキュリティのためのリスク評価及びシステム |
| JP2016218964A (ja) * | 2015-05-26 | 2016-12-22 | 日本電信電話株式会社 | 脅威分析支援方法、脅威分析支援装置、及び脅威分析支援プログラム |
| CN109165818A (zh) * | 2018-08-02 | 2019-01-08 | 国网湖北省电力有限公司电力科学研究院 | 一种用于电气设备风险评估的负点计算方法 |
| KR20220091248A (ko) * | 2020-12-23 | 2022-06-30 | 사단법인 금융보안원 | 보안 취약점 관리 시스템과 방법 및 그 기록매체 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101008148B1 (ko) * | 2008-02-15 | 2011-01-13 | 주식회사 포스코 | 정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법 |
| KR101090759B1 (ko) | 2009-05-21 | 2011-12-08 | 포이스트(주) | Cmmi 기반 프로젝트 관리 방법 |
| CN103699934B (zh) * | 2013-12-06 | 2017-02-22 | 国家电网公司 | 电力系统安全稳定紧急控制指令未执行的补救方法 |
| KR101664830B1 (ko) | 2014-07-22 | 2016-10-13 | 주식회사지란지교에스앤씨 | 규정 관리 시스템 및 방법 |
| CN104881992B (zh) * | 2015-06-12 | 2017-06-16 | 天津大学 | 基于多智能体仿真的城市公共交通政策分析平台 |
| CN105207746B (zh) * | 2015-10-08 | 2018-06-26 | 江苏天智互联科技股份有限公司 | 基于pdca模型的通信系统及其通信方法 |
| KR101862919B1 (ko) * | 2016-05-20 | 2018-07-05 | 에스케이 주식회사 | It 서비스 구축 사업의 리스크 관리 방법 및 시스템 |
| CN106168776B (zh) * | 2016-06-17 | 2018-09-11 | 武汉龙净环保工程有限公司 | 烟气湿法脱硫超净排放自启停控制方法及系统 |
| KR102055893B1 (ko) * | 2017-07-19 | 2019-12-16 | 에스2정보 주식회사 | 보안감사 대응 시스템 |
| KR101931525B1 (ko) | 2018-05-02 | 2018-12-21 | 박정권 | 정보 보호를 위한 운영 관리 시스템 |
| KR102351326B1 (ko) * | 2019-06-25 | 2022-01-14 | 주식회사 지에이치소프트 | 통합 경영 시스템 |
| WO2021015343A1 (ko) * | 2019-07-24 | 2021-01-28 | 주식회사 마이트 | 정보 보호를 위한 운영 관리 시스템 |
| KR102164203B1 (ko) | 2020-04-03 | 2020-10-13 | 주식회사 이지시큐 | 정보보호 위험분석 자동화 시스템 및 그 동작 방법 |
| KR102422267B1 (ko) * | 2020-09-02 | 2022-07-18 | (주)시큐리티캠프 | 통제평가관리시스템 |
| KR102233698B1 (ko) | 2020-09-29 | 2021-03-30 | 주식회사 이지시큐 | 기밀성, 무결성, 가용성에 기반하여 정보보호 관련 위험등급을 설정하는 방법 및 그 시스템 |
| KR102233695B1 (ko) | 2020-09-29 | 2021-03-30 | 주식회사 이지시큐 | 정보보호 위험분석을 수행하는 정보통신 시스템 |
| KR102232883B1 (ko) | 2020-09-29 | 2021-03-26 | 주식회사 이지시큐 | 정보보호 관리체계 인증을 위한 인공지능 시스템 |
| KR102233694B1 (ko) | 2020-09-29 | 2021-03-30 | 주식회사 이지시큐 | 비용절감 및 효과적인 인증관리를 제공하는 정보보호 시스템 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6912502B1 (en) * | 1999-12-30 | 2005-06-28 | Genworth Financial, Inc., | System and method for compliance management |
| KR100399371B1 (ko) * | 2001-02-08 | 2003-09-26 | 주식회사 아이앤아이오 | 기업 정보 통합 관리시스템 및 그 운영 방법 |
| KR20040011858A (ko) * | 2002-07-31 | 2004-02-11 | 컨설팅하우스 주식회사 | 실시간 정보보안 위험분석 시스템 및 그 방법 |
| KR20040011863A (ko) * | 2002-07-31 | 2004-02-11 | 컨설팅하우스 주식회사 | 실시간 정보보안 위험관리 시스템 및 그 방법 |
| KR20050093196A (ko) * | 2004-03-18 | 2005-09-23 | 한재호 | 정보자산에 대한 실시간 위험지수 산정 방법 및 시스템 |
-
2006
- 2006-05-23 KR KR1020060046033A patent/KR100752677B1/ko not_active IP Right Cessation
-
2010
- 2010-09-21 JP JP2010211371A patent/JP2011018361A/ja not_active Withdrawn
- 2010-09-21 JP JP2010211370A patent/JP2011018360A/ja not_active Withdrawn
-
2012
- 2012-10-16 JP JP2012228641A patent/JP2013050969A/ja active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014132455A (ja) * | 2012-12-28 | 2014-07-17 | Eni Spa | 産業施設のセキュリティのためのリスク評価及びシステム |
| JP2016218964A (ja) * | 2015-05-26 | 2016-12-22 | 日本電信電話株式会社 | 脅威分析支援方法、脅威分析支援装置、及び脅威分析支援プログラム |
| CN109165818A (zh) * | 2018-08-02 | 2019-01-08 | 国网湖北省电力有限公司电力科学研究院 | 一种用于电气设备风险评估的负点计算方法 |
| CN109165818B (zh) * | 2018-08-02 | 2022-02-08 | 国网湖北省电力有限公司电力科学研究院 | 一种用于电气设备风险评估的负点计算方法 |
| KR20220091248A (ko) * | 2020-12-23 | 2022-06-30 | 사단법인 금융보안원 | 보안 취약점 관리 시스템과 방법 및 그 기록매체 |
| KR102439817B1 (ko) | 2020-12-23 | 2022-09-02 | 사단법인 금융보안원 | 보안 취약점 관리 시스템과 방법 및 그 기록매체 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2011018360A (ja) | 2011-01-27 |
| JP2013050969A (ja) | 2013-03-14 |
| KR100752677B1 (ko) | 2007-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100752677B1 (ko) | 정보기술 위험관리시스템 및 그 방법 | |
| US11748095B2 (en) | Automation of task identification in a software lifecycle | |
| US20100114628A1 (en) | Validating Compliance in Enterprise Operations Based on Provenance Data | |
| US20100058114A1 (en) | Systems and methods for automated management of compliance of a target asset to predetermined requirements | |
| US20050065807A1 (en) | Systems and methods for optimizing business processes, complying with regulations, and identifying threat and vulnerabilty risks for an enterprise | |
| Becker et al. | Decision criteria in digital preservation: What to measure and how | |
| US20100050264A1 (en) | Spreadsheet risk reconnaissance network for automatically detecting risk conditions in spreadsheet files within an organization | |
| Pacheco et al. | A proposed model for reuse of software requirements in requirements catalog | |
| US8478788B1 (en) | Centralized information technology resources analysis system | |
| US10404526B2 (en) | Method and system for generating recommendations associated with client process execution in an organization | |
| US11283840B2 (en) | Usage-tracking of information security (InfoSec) entities for security assurance | |
| US11868489B2 (en) | Method and system for enhancing data privacy of an industrial system or electric power system | |
| Winkler et al. | A model-driven framework for process-centric business continuity management | |
| US20100049745A1 (en) | Method of implementing an organization's policy on spreadsheet documents monitored using a spreadsheet risk reconnaissance network | |
| US20220368728A1 (en) | Automated Risk Assessment Module with Real-Time Compliance Monitoring | |
| US20100049565A1 (en) | Method of computing spreadsheet risk within a spreadsheet risk reconnaissance network employing a research agent installed on one or more spreadsheet file servers | |
| Dokuchaev et al. | Analysis of Data Risk Management Methods for Personal Data Information Systems | |
| WO2010031699A1 (en) | Governing service identification in a service oriented architecture ('soa') governance model | |
| JP2007287132A (ja) | 情報技術危険管理システム及びその方法 | |
| KR100524649B1 (ko) | 정보 자산의 위험 분석 시스템 | |
| Bhujang et al. | A Comprehensive Solution for Risk Management in software development projects | |
| US20100050230A1 (en) | Method of inspecting spreadsheet files managed within a spreadsheet risk reconnaissance network | |
| Tsakalakis et al. | A taxonomy of explanations to support Explainability-by-Design | |
| CN116401714B (zh) | 安全信息获取方法、装置、设备及介质 | |
| Saleem et al. | An empirical study of security requirements in planning bug fixes for an open source software project |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110916 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120417 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120713 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120719 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120810 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120815 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120914 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120920 |
|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20121017 |