JP2011018361A - 情報技術危機管理システム及びその方法 - Google Patents
情報技術危機管理システム及びその方法 Download PDFInfo
- Publication number
- JP2011018361A JP2011018361A JP2010211371A JP2010211371A JP2011018361A JP 2011018361 A JP2011018361 A JP 2011018361A JP 2010211371 A JP2010211371 A JP 2010211371A JP 2010211371 A JP2010211371 A JP 2010211371A JP 2011018361 A JP2011018361 A JP 2011018361A
- Authority
- JP
- Japan
- Prior art keywords
- control
- risk
- management
- policy
- level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/26—Government or public services
- G06Q50/265—Personal security, identity or safety
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
Abstract
【解決手段】統制政策を最小単位に分解後、それぞれの統制要素から一つの統制項目、統制行為、統制別遂行者及び順守者を定義して保存する統制データベース構築過程、組織の統制成熟度現況に対して分析する現況分析過程、組織が管理すべき情報資産を識別し、重要度を評価する資産評価過程、統制要素を逆方向に定義して脆弱点を抽出し、統制要素、情報資産及び脅威との間の相関関係に基いて危険を評価する危険評価過程、危険度を基準に危険の統制保証水準を決定して危険を緩和するための統制要素を選択し、危険処理計画を樹立した後、政策を改定する危険処理過程及び、上記危険処理計画に対する経営者の経営検討を実施し、内部統制構造と国際/国内標準との適用性に関する報告書を生成して、統制施行のための使用者教育を実施する統制履行過程を含む。
【選択図】図1
Description
上記統制を履行(logging)するようにする(S620)。このために、本発明のITリスクマネジメントシステムは、統制要素に対して、直接所要人員、プロジェクト費用を含む統制費用を利用した機会費用を自動に算定した後、機会費用の高い統制要素から統制を実施できるように意思決定を支援することが望ましい。
このために、本発明のITリスクマネジメントシステムは、遂行者別の作業指示をシステムを通して伝達し、統制項目別に作業指示に対する作業完了率を追跡した後、上記追跡結果を利用して部署別の作業履行率を分析し、上記追跡の結果、まだ行われていない統制項目に対しては再作業を指示するようにする、一連の処理過程を行うことが望ましい。
110:統制マスターDB
120:ポリシー管理部
130:リスクシナリオ管理部
140:レベル管理部
150:リスク対策部
160:統制作業管理部
Claims (1)
- ITリスクマネジメント方法において、
統制マスターデータベース部に、統制ポリシーを統制可能な最小単位に分解した後、分解された統制要素のそれぞれから一つの統制項目、一つの統制行為、統制別の遂行者(担当者又は使用者)及び遵守者(責任者)を定義して保存する統制マスターデータベース構築過程;
ポリシー管理部が、組織の現在の統制成熟度について分析する現況分析過程;
リスクシナリオ管理部が、組織が管理すべき情報資産を識別して、その情報資産に対する重要度を評価する資産評価過程;
レベル管理部が、上記統制マスターデータベース部で定義された統制要素を逆方向に定義して脆弱点(vulnerability)を抽出し、その脆弱点と統制要素、情報資産及び脅威との間の相関関係に基いてリスクを評価するリスク評価過程;
リスク対策部が、上記リスク評価過程で評価されたリスク度を基準にリスクの統制保証レベルを決定し、リスクを緩和するための統制要素を選択し、選択された統制要素に対するリスク対策計画を樹立した後にポリシーを改定するリスク対策過程;及び、
統計作業管理部が、上記リスク対策計画に対する経営者の経営検討を実施し、内部統制構造と国際/国内規格に規定された統制構造との適用性に関する報告書を生成し、統制遂行のための使用者教育を実施する統制コンプライアンス過程;
を含むことを特徴とするITリスクマネジメント方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20060035213 | 2006-04-19 | ||
KR1020060046033A KR100752677B1 (ko) | 2006-04-19 | 2006-05-23 | 정보기술 위험관리시스템 및 그 방법 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007016797A Division JP2007287132A (ja) | 2006-04-19 | 2007-01-26 | 情報技術危険管理システム及びその方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011018361A true JP2011018361A (ja) | 2011-01-27 |
Family
ID=38615568
Family Applications (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010211371A Withdrawn JP2011018361A (ja) | 2006-04-19 | 2010-09-21 | 情報技術危機管理システム及びその方法 |
JP2010211370A Withdrawn JP2011018360A (ja) | 2006-04-19 | 2010-09-21 | 情報技術危機管理システム及びその方法 |
JP2012228641A Pending JP2013050969A (ja) | 2006-04-19 | 2012-10-16 | Itリスクマネジメントシステム及び該システムを使用したitリスクマネジメント方法 |
Family Applications After (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010211370A Withdrawn JP2011018360A (ja) | 2006-04-19 | 2010-09-21 | 情報技術危機管理システム及びその方法 |
JP2012228641A Pending JP2013050969A (ja) | 2006-04-19 | 2012-10-16 | Itリスクマネジメントシステム及び該システムを使用したitリスクマネジメント方法 |
Country Status (2)
Country | Link |
---|---|
JP (3) | JP2011018361A (ja) |
KR (1) | KR100752677B1 (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014132455A (ja) * | 2012-12-28 | 2014-07-17 | Eni Spa | 産業施設のセキュリティのためのリスク評価及びシステム |
JP2016218964A (ja) * | 2015-05-26 | 2016-12-22 | 日本電信電話株式会社 | 脅威分析支援方法、脅威分析支援装置、及び脅威分析支援プログラム |
CN109165818A (zh) * | 2018-08-02 | 2019-01-08 | 国网湖北省电力有限公司电力科学研究院 | 一种用于电气设备风险评估的负点计算方法 |
KR20220091248A (ko) * | 2020-12-23 | 2022-06-30 | 사단법인 금융보안원 | 보안 취약점 관리 시스템과 방법 및 그 기록매체 |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101008148B1 (ko) * | 2008-02-15 | 2011-01-13 | 주식회사 포스코 | 정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법 |
KR101090759B1 (ko) | 2009-05-21 | 2011-12-08 | 포이스트(주) | Cmmi 기반 프로젝트 관리 방법 |
CN103699934B (zh) * | 2013-12-06 | 2017-02-22 | 国家电网公司 | 电力系统安全稳定紧急控制指令未执行的补救方法 |
KR101664830B1 (ko) | 2014-07-22 | 2016-10-13 | 주식회사지란지교에스앤씨 | 규정 관리 시스템 및 방법 |
CN104881992B (zh) * | 2015-06-12 | 2017-06-16 | 天津大学 | 基于多智能体仿真的城市公共交通政策分析平台 |
CN105207746B (zh) * | 2015-10-08 | 2018-06-26 | 江苏天智互联科技股份有限公司 | 基于pdca模型的通信系统及其通信方法 |
KR101862919B1 (ko) * | 2016-05-20 | 2018-07-05 | 에스케이 주식회사 | It 서비스 구축 사업의 리스크 관리 방법 및 시스템 |
CN106168776B (zh) * | 2016-06-17 | 2018-09-11 | 武汉龙净环保工程有限公司 | 烟气湿法脱硫超净排放自启停控制方法及系统 |
KR102055893B1 (ko) * | 2017-07-19 | 2019-12-16 | 에스2정보 주식회사 | 보안감사 대응 시스템 |
KR101931525B1 (ko) | 2018-05-02 | 2018-12-21 | 박정권 | 정보 보호를 위한 운영 관리 시스템 |
KR102351326B1 (ko) * | 2019-06-25 | 2022-01-14 | 주식회사 지에이치소프트 | 통합 경영 시스템 |
WO2021015343A1 (ko) * | 2019-07-24 | 2021-01-28 | 주식회사 마이트 | 정보 보호를 위한 운영 관리 시스템 |
KR102164203B1 (ko) | 2020-04-03 | 2020-10-13 | 주식회사 이지시큐 | 정보보호 위험분석 자동화 시스템 및 그 동작 방법 |
KR102422267B1 (ko) * | 2020-09-02 | 2022-07-18 | (주)시큐리티캠프 | 통제평가관리시스템 |
KR102233698B1 (ko) | 2020-09-29 | 2021-03-30 | 주식회사 이지시큐 | 기밀성, 무결성, 가용성에 기반하여 정보보호 관련 위험등급을 설정하는 방법 및 그 시스템 |
KR102233695B1 (ko) | 2020-09-29 | 2021-03-30 | 주식회사 이지시큐 | 정보보호 위험분석을 수행하는 정보통신 시스템 |
KR102232883B1 (ko) | 2020-09-29 | 2021-03-26 | 주식회사 이지시큐 | 정보보호 관리체계 인증을 위한 인공지능 시스템 |
KR102233694B1 (ko) | 2020-09-29 | 2021-03-30 | 주식회사 이지시큐 | 비용절감 및 효과적인 인증관리를 제공하는 정보보호 시스템 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6912502B1 (en) * | 1999-12-30 | 2005-06-28 | Genworth Financial, Inc., | System and method for compliance management |
KR100399371B1 (ko) * | 2001-02-08 | 2003-09-26 | 주식회사 아이앤아이오 | 기업 정보 통합 관리시스템 및 그 운영 방법 |
KR20040011858A (ko) * | 2002-07-31 | 2004-02-11 | 컨설팅하우스 주식회사 | 실시간 정보보안 위험분석 시스템 및 그 방법 |
KR20040011863A (ko) * | 2002-07-31 | 2004-02-11 | 컨설팅하우스 주식회사 | 실시간 정보보안 위험관리 시스템 및 그 방법 |
KR20050093196A (ko) * | 2004-03-18 | 2005-09-23 | 한재호 | 정보자산에 대한 실시간 위험지수 산정 방법 및 시스템 |
-
2006
- 2006-05-23 KR KR1020060046033A patent/KR100752677B1/ko not_active IP Right Cessation
-
2010
- 2010-09-21 JP JP2010211371A patent/JP2011018361A/ja not_active Withdrawn
- 2010-09-21 JP JP2010211370A patent/JP2011018360A/ja not_active Withdrawn
-
2012
- 2012-10-16 JP JP2012228641A patent/JP2013050969A/ja active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014132455A (ja) * | 2012-12-28 | 2014-07-17 | Eni Spa | 産業施設のセキュリティのためのリスク評価及びシステム |
JP2016218964A (ja) * | 2015-05-26 | 2016-12-22 | 日本電信電話株式会社 | 脅威分析支援方法、脅威分析支援装置、及び脅威分析支援プログラム |
CN109165818A (zh) * | 2018-08-02 | 2019-01-08 | 国网湖北省电力有限公司电力科学研究院 | 一种用于电气设备风险评估的负点计算方法 |
CN109165818B (zh) * | 2018-08-02 | 2022-02-08 | 国网湖北省电力有限公司电力科学研究院 | 一种用于电气设备风险评估的负点计算方法 |
KR20220091248A (ko) * | 2020-12-23 | 2022-06-30 | 사단법인 금융보안원 | 보안 취약점 관리 시스템과 방법 및 그 기록매체 |
KR102439817B1 (ko) | 2020-12-23 | 2022-09-02 | 사단법인 금융보안원 | 보안 취약점 관리 시스템과 방법 및 그 기록매체 |
Also Published As
Publication number | Publication date |
---|---|
JP2011018360A (ja) | 2011-01-27 |
JP2013050969A (ja) | 2013-03-14 |
KR100752677B1 (ko) | 2007-08-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100752677B1 (ko) | 정보기술 위험관리시스템 및 그 방법 | |
US11748095B2 (en) | Automation of task identification in a software lifecycle | |
US20100114628A1 (en) | Validating Compliance in Enterprise Operations Based on Provenance Data | |
US20100058114A1 (en) | Systems and methods for automated management of compliance of a target asset to predetermined requirements | |
US20050065807A1 (en) | Systems and methods for optimizing business processes, complying with regulations, and identifying threat and vulnerabilty risks for an enterprise | |
Becker et al. | Decision criteria in digital preservation: What to measure and how | |
US20100050264A1 (en) | Spreadsheet risk reconnaissance network for automatically detecting risk conditions in spreadsheet files within an organization | |
Pacheco et al. | A proposed model for reuse of software requirements in requirements catalog | |
US8478788B1 (en) | Centralized information technology resources analysis system | |
US10404526B2 (en) | Method and system for generating recommendations associated with client process execution in an organization | |
US11283840B2 (en) | Usage-tracking of information security (InfoSec) entities for security assurance | |
US11868489B2 (en) | Method and system for enhancing data privacy of an industrial system or electric power system | |
Winkler et al. | A model-driven framework for process-centric business continuity management | |
US20100049745A1 (en) | Method of implementing an organization's policy on spreadsheet documents monitored using a spreadsheet risk reconnaissance network | |
US20220368728A1 (en) | Automated Risk Assessment Module with Real-Time Compliance Monitoring | |
US20100049565A1 (en) | Method of computing spreadsheet risk within a spreadsheet risk reconnaissance network employing a research agent installed on one or more spreadsheet file servers | |
Dokuchaev et al. | Analysis of Data Risk Management Methods for Personal Data Information Systems | |
WO2010031699A1 (en) | Governing service identification in a service oriented architecture ('soa') governance model | |
JP2007287132A (ja) | 情報技術危険管理システム及びその方法 | |
KR100524649B1 (ko) | 정보 자산의 위험 분석 시스템 | |
Bhujang et al. | A Comprehensive Solution for Risk Management in software development projects | |
US20100050230A1 (en) | Method of inspecting spreadsheet files managed within a spreadsheet risk reconnaissance network | |
Tsakalakis et al. | A taxonomy of explanations to support Explainability-by-Design | |
CN116401714B (zh) | 安全信息获取方法、装置、设备及介质 | |
Saleem et al. | An empirical study of security requirements in planning bug fixes for an open source software project |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110916 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120417 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120713 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120719 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120810 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120815 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120914 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120920 |
|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20121017 |