KR100752677B1 - 정보기술 위험관리시스템 및 그 방법 - Google Patents

정보기술 위험관리시스템 및 그 방법 Download PDF

Info

Publication number
KR100752677B1
KR100752677B1 KR1020060046033A KR20060046033A KR100752677B1 KR 100752677 B1 KR100752677 B1 KR 100752677B1 KR 1020060046033 A KR1020060046033 A KR 1020060046033A KR 20060046033 A KR20060046033 A KR 20060046033A KR 100752677 B1 KR100752677 B1 KR 100752677B1
Authority
KR
South Korea
Prior art keywords
control
risk
management
information technology
policy
Prior art date
Application number
KR1020060046033A
Other languages
English (en)
Inventor
이형원
Original Assignee
㈜ 메타리스크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ㈜ 메타리스크 filed Critical ㈜ 메타리스크
Priority to JP2007016797A priority Critical patent/JP2007287132A/ja
Application granted granted Critical
Publication of KR100752677B1 publication Critical patent/KR100752677B1/ko
Priority to JP2010211371A priority patent/JP2011018361A/ja
Priority to JP2010211370A priority patent/JP2011018360A/ja
Priority to JP2012228641A priority patent/JP2013050969A/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • G06Q50/26Government or public services
    • G06Q50/265Personal security, identity or safety
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling

Abstract

본 발명은 정보기술 위험관리시스템 및 그 방법에 관한 것으로서, 본 발명은 통제정책을 통제 가능한 최소단위로 분해한 후 그 분해된 통제요소들 각각으로부터 하나의 통제항목, 하나의 통제행위, 통제별 수행자 및 준수자를 정의하여 저장하는 통제 데이터베이스 구축과정; 조직의 통제 성숙도 현황에 대하여 분석하는 현황분석과정; 조직이 관리해야 할 정보 자산을 식별하고 그 정보자산에 대한 중요도를 평가하는 자산평가과정; 상기 통제 데이터베이스에서 정의된 통제요소를 역방향으로 정의하여 취약점을 추출하고, 그 취약점과 통제요소, 정보자산 및 위협간의 상관관계를 바탕으로 위험을 평가하는 위험평가과정; 상기 위험평가과정에서 평가된 위험도를 기준으로 위험의 통제보증수준을 결정하고 위험을 완화하기 위한 통제 요소를 선택하며 선택된 통제 요소에 대한 위험 처리 계획을 수립한 후 정책을 개정하는 위험처리과정; 및 상기 위험 처리 계획에 대한 경영자의 경영 검토를 실시하고 내부 통제 구조와 국제/국내 표준과의 적용성에 관한 보고서를 생성하며, 통제 시행을 위한 사용자 교육을 실시하는 통제 이행과정을 포함하는 것을 특징으로 한다. 따라서 본 발명은 컨설팅의 효율성을 극대화 할 수 있다.
통제정책, 통제항목, 분해, NVAM 타입, 위협시나리오, 정보기술, 위험관리

Description

정보기술 위험관리시스템 및 그 방법{INFORMATION TECHNOLOGY RISK MANAGEMENT SYSTEM AND METHOD THE SAME}
도 1은 본 발명의 일실시 예에 따른 정보기술 위험관리 시스템에 대한 시스템 구성도,
도 2는 본 발명의 일실시 예에 따른 정보기술 위험관리 방법에 대한 처리 흐름도,
도 3은 도 2에 예시된 정보기술 위험관리 방법의 통제 마스터 DB 구축과정에 대한 일 예를 도시한 흐름도,
도 4는 도 2에 예시된 정보기술 위험관리 방법의 현황 분석 과정에 대한 일 예를 도시한 흐름도,
도 5는 도 2에 예시된 정보기술 위험관리 방법의 자산 평가 과정에 대한 일 예를 도시한 흐름도,
도 6은 도 2에 예시된 정보기술 위험관리 방법의 위험 평가 과정에 대한 일 예를 도시한 흐름도,
도 7은 도 2에 예시된 정보기술 위험관리 방법의 위험 처리 과정에 대한 일 예를 도시한 흐름도,
도 8은 도 2에 예시된 정보기술 위험관리 방법의 통제 이행 과정에 대한 일 예를 도시한 흐름도,
도 9는 도 2에 예시된 정보기술 위험관리 방법의 모니터링 과정에 대한 일 예를 도시한 흐름도,
도 10은 도 2에 예시된 정보기술 위험관리 방법의 작업 관리 과정에 대한 일 예를 도시한 흐름도,
도 11은 본 발명의 일실시 예에 따라 한국 정보 보호 진흥원에서 고시한 정보 보호 인증 기준의 일부 조항을 분해한 예를 도시한 도면,
도 12는 본 발명의 일실시 예에 따라 비밀번호 관리 규정을 NVAM 타입으로 분해한 예를 도시한 도면,
도 13은 본 발명의 일실시 예에 따라 특정회사의 비밀번호관리정책 조항을 NVAM 타입으로 분해하여 DB 타입으로 정의한 예를 도시한 도면,
도 14는 본 발명의 일실시 예에 따라 기반보호법을 NVAM 타입으로 분해한 예를 도시한 도면,
도 15는 본 발명의 일실시 예에 따라 추출된 사용자 유형과 수행자(Actor) 리스트를 도시한 도면,
도 16은 본 발명의 일실시 예에 따라 통제행위를 관리생명주기(PDCA)로 분해한 예와 이를 통한 성숙도 측정 예를 도시한 도면,
도 17은 본 발명의 일실시 예에 따라 NVAM 타입으로 분해된 통제요소별 측정지표 정의 예를 도시한 도면,
도 18은 본 발명의 일실시 예에 따른 NVAM 타입 DB를 바탕으로한 ITRMS의 다 양한 정책 및 통제 검색 화면의 예를 도시한 도면,
도 19는 본 발명의 일실시 예에 따른 NVAM 타입 DB를 바탕으로한 ITRMS의 정책관리부 통제 상세항목 검색 화면의 예를 도시한 도면,
도 20은 본 발명의 일실시 예에 따른 ITRMS의 자산중요도 결정 화면의 예를 도시한 도면,
도 21은 본 발명의 일실시 예에 따른 NVAM 타입 DB를 바탕으로 위협시나리오 조회 화면의 예를 도시한 도면,
도 22는 본 발명의 일실시 예에 따라 산정된 위험도를 바탕으로 ITRMS 에서 보증수준(DOA : Degree of Acceptance) 결정, 기회비용 산정 및 개선통제유형 결정을 위한 화면의 예를 도시한 도면,
도 23은 본 발명의 일실시에 따른 NVAM 타입 DB를 바탕으로한 ITRMS의 위험처리 후 작업관리 화면의 예를 도시한 도면,
도 24는 본 발명의 일실시 예에 따른 자산중요도 결정 방법의 예를 도시한 도면,
도 25 내지 도 27은 본 발명의 일실시 예에 따른 ITRMS를 이용한 CSO(최고 보안 관리자) 보기 화면의 예를 도시한 도면들.
본 발명은 정보기술 위험관리시스템 및 그 방법에 관한 것으로서, 특히 컨설 팅의 효율성을 극대화하는 정보기술 위험관리 시스템 및 그 방법에 관한 것이다.
일반적으로 대다수의 조직들은 준수하고자 하는 또는 준수해야 할 수 많은 통제를 정책서 및 규정서의 형태로 보유하고 있다. 또한 상기 조직들은 국내 및 국제 규격(ISO9000, ISO14000, ISO27001 등)을 인증받기 위하여 수많은 표준, 지침, 절차서들을 양산하고 있다. 그러나 조직들은 원칙 없이 정의된 구성항목(업무규칙 및 통제항목)들로 정의된 하드카피 형태의 문서(예컨대, 정책서, 규정서 및 절차서 등)를 보관/관리하고 있다.
예를 들어 조직들은 상기 정책서, 규정서 및 절차서들을 관습적인 복문형태의 문장으로 정의하여 하드카피 형태로 보관/관리하고 있다. 이로 인해 정책서, 규정서 및 절차서들의 유효성과 준거성(Compliance)이 저하되며, 통제(또는 정책)와 이행이 분리되는 결과가 발생하고 있다. 즉, 조직 내의 모든 사용자들이 모호하면서도 방대한 지침과 규정들을 사용하고 적용하기 위해 많은 시간과 자원을 낭비하고 있으며, 실질적으로 정책(통제)은 존재하지만 이를 준수하지 않는 현상에 봉착하고 있는 것이다.
이와 같이 관습적인 복문 형태의 문장으로 정의하여 보관/관리하기는 조직의 정책서, 규정서 및 절차서들 뿐만 아니라 국내외 표준 및 법령들도 마찬가지이다. 즉, 상기 국내외 표준 및 법령들도 이러한 전제 조건을 무시하고 통제항목을 나열하고 있다. 이로 인해 통제항목의 가독성, 인지도, 이행가능성, 측정가능성 및 완성도가 떨어지는 결과를 초래하고 있다. 예를 들어 통제 항목(법률 및 정책서에서는 “조”, “항”이라 함)을 구성함에 있어 복수개의 수행자와 복수개의 통제항목 과 통제행위로 구성하여 이를 해석하기가 용이하지 않다. 따라서 보다 명확하고 엄밀해야 할 법령, 정책 및 국제표준 등에서도 상기의 문제점이 발생한다.
따라서 본 발명은 상기의 문제점을 해결하기 위해 통제의 가독성, 준거성, 효율성과 효과성, 측정가능성을 현실화 하고, 정책의 실행가능성을 극대화하기 위한 정보기술 위험관리 시스템 및 그 방법을 제공하고자 한다.
또한 본 발명은 정책/지침/규정/규범/표준/법령(이하 "통제"라 함.)을 NVAM(Noun-Verb-Atomic-Measurable) Type으로 분해 및 정의하여 DB화함으로써, 표준화된 정책 정보를 제공하는 정보기술 위험관리 시스템 및 그 방법을 제공하고자 한다.
따라서 본 발명은 실질적으로는 적은 비용으로 ISO27001은 물론 ISO9000, ISO14000 등의 인증을 받음과 동시에 그 수준을 지속적으로 유지하고, 프로세스 성숙도를 향상시킬 수 있도록 하는 정보기술 위험관리 시스템을 제공하고자 한다.
상기 목적을 달성하기 위해 본 발명에서 제공하는 정보기술 위험관리 시스템은 통제정책을 통제 가능한 최소단위로 분해한 후 그 분해된 통제요소들 각각으로부터 하나의 통제항목, 하나의 통제행위, 통제별 수행자 및 준수자를 정의하여 저장하는 통제 데이터베이스부; 상기 통제 데이터베이스부에서 정의된 통제요소를 관리하는 정책관리부; 상기 통제 데이터베이스부에서 정의된 통제요소를 역방향으로 정의하여 취약점을 추출하고, 그 취약점과 통제요소, 정보자산 및 위협간의 상관관계를 명시하는 위협 시나리오 관리부; 상기 통제요소 중 통제행위를 관리생명주기에 따라 시계열적으로 배열하고 각각의 통제행위의 존재여부를 판단함으로써 조직의 통제행위 성숙도(maturity)를 측정하고, 설정된 준수통제에 대한 조직 구성원들의 통제이행도(compliance)를 측정하는 수준 관리부; 상기 수준 관리부에서 측정된 통제보증수준을 이용하여 통제개선유형에 대한 의사결정을 지원하는 위험 처리부; 및 상기 통제보증수준 및 통제개선유형에 따라 통제에 대한 작업을 지시하고 관리하는 통제작업관리부를 포함하는 것을 특징으로 한다.
이 때 상기 정책관리부는 상기 통제 데이터베이스부를 바탕으로 수행자 유형별/자산유형별/정책유형별 통제요소 조회 및 관리를 수행하는 것이 바람직하다.
또한 상기 정책관리부는 상기 통제 데이터베이스부를 바탕으로 국제규격 및 자체규격의 세부 통제 요소를 검색하는 것이 바람직하다.
또한 상기 정책관리부는 상기 통제 데이터베이스부를 바탕으로 각 통제 요소의 시행일자 및 개정일자에 대한 통제 요소별 버전을 관리하는 것이 바람직하다.
또한 상기 정책관리부는 상기 통제 데이터베이스부를 바탕으로 자체 규정과 국제 규격과의 연관성을 보여주는 SOA(Service Of Applicability)의 생성 및 조회 관리를 수행하는 것이 바람직하다.
또한 상기 정책관리부는 상기 통제 데이터베이스부를 바탕으로 통제 요소별로 필요한 서식 및 양식의 연관관계를 관리하는 것이 바람직하다.
또한 상기 위험 시나리오 관리부는 통제 요소와 취약점간 상관관계의 정확도를 확보하기 위해 최하위 레벨(leaf level)의 통제 요소와 취약점과의 1:1 관계를 설정하는 것이 바람직하다.
또한 상기 위험 시나리오 관리부는 자산 유형별로 위협별 취약점에 대한 위험도를 계산하여 위험도가 높은 취약점에 대한 통제대책의 기존통제 수준을 파악하는 것이 바람직하다.
또한 상기 위험 시나리오 관리부는 위험완화를 위하여 제거해야 할 취약점과 이에 대한 통제 대책을 자동 매칭하는 것이 바람직하다.
특히 위협은 존재하지만 필요한 통제가 없는 경우나 통제가 실행되지 않은 경우에 취약점이 존재한다고 할 수 있으므로, 상기 위험 시나리오 관리부는 통제요소의 정의시 취약점의 추가 사항을 반영하는 것이 바람직하다.
또한 상기 수준관리부는 계획(Plan), 이행(Do), 검토(Check) 및 개선(Act)을 포함하는 관리생명주기(PDCA)에 따라 상기 통제행위를 시계열적으로 배열하는 것이 바람직하다. 이 때 상기 계획(Plan)은 정책표준화, 담당자의 지정 및 권한 위임, 자원의 할당, 교육 및 전파 그리고 자동화지원도구의 할당을 포함하는 것이 바람직하다. 이 때 상기 이행(Do)은 계획단계에서 정의되고 위임된 통제대책의 준수 및 통제행위의 기록을 포함하는 것이 바람직하고, 상기 검토(Check)는 검토, 평가, 분석, 측정, 보고 및 감사를 포함하는 것이 바람직하다. 또한 상기 개선(Act)은 위험분석, 보고된 문제점에 대한 해결대안의 선택, 통제비용의 계산, 보증수준결정, 기회비용 계산 그리고 정책 및 프로세스 개선을 포함하는 것이 바람직하다.
또한 상기 위험처리부는 상기 통제 데이터베이스부를 바탕으로 위험을 분석하여 위험도가 높은 취약점에 대한 통제요소를 식별하고, 그 식별된 통제요소에 대한 통제비용에 의거하여 해당 통제요소 수행 시 기회비용을 자동으로 산정한 후 기회비용이 높은 통제요소부터 통제를 실시할 수 있도록 의사 결정을 지원하는 것이 바람직하다.
또한 상기 위험처리부는 상기 통제개선유형을 단기/장기 및 긴급/통상으로 구분하여 작업관리를 위한 통제개선지시와 프로젝트성 통제개선지시를 분류하여 지원하는 것이 바람직하다.
또한 상기 통제작업관리부는 상기 통제 데이터베이스부를 바탕으로 수행자 및 통제항목별로 작업지시를 한 후 그에 대한 작업 완료율을 추적하고, 미수행된 통제에 대하여 재작업지시를 하는 것이 바람직하다.
또한 상기 통제작업관리부는 각 부서별 작업 이행률을 분석하는 것이 바람직하다.
한편 상기 목적을 달성하기 위해 본 발명에서 제공하는 정보 기술 위험 관리 방법은 통제정책을 통제 가능한 최소단위로 분해한 후 그 분해된 통제요소들 각각으로부터 하나의 통제항목, 하나의 통제행위, 통제별 수행자 및 준수자를 정의하여 저장하는 통제 데이터베이스 구축과정; 조직의 통제 성숙도 현황에 대하여 분석하는 현황분석과정; 조직이 관리해야 할 정보 자산을 식별하고 그 정보자산에 대한 중요도를 평가하는 자산평가과정; 상기 통제 데이터베이스에서 정의된 통제요소를 역방향으로 정의하여 취약점을 추출하고, 그 취약점과 통제요소, 정보자산 및 위협간의 상관관계를 바탕으로 위험을 평가하는 위험평가과정; 상기 위험평가과정에서 평가된 위험도를 기준으로 위험의 통제보증수준을 결정하고 위험을 완화하기 위한 통제 요소를 선택하며 선택된 통제 요소에 대한 위험 처리 계획을 수립한 후 정책을 개정하는 위험처리과정; 및 상기 위험 처리 계획에 대한 경영자의 경영 검토를 실시하고 내부 통제 구조와 국제/국내 표준과의 적용성에 관한 보고서를 생성하며, 통제 시행을 위한 사용자 교육을 실시하는 통제 이행과정을 포함하는 것을 특징으로 한다.
특히 상기 방법은 상기 통제 데이터베이스에 각 통제별 측정지표를 설정하고 통제 효과 및 수준측정을 실시하며, 내부 감사와 사용자 부서의 자기진단을 실시하는 모니터링과정을 더 포함하고, 상기 모니터링과정은 상기 통제요소들 중 중점적으로 관리해야 할 통제항목에 대하여 핵심위험지표를 정의 및 관리하는 것이 바람직하다.
또한 상기 방법은 상기 모니터링 결과 및 위험처리 결과에 따른 취약점 제거와 통제개선 및 이행도 향상을 위한 작업을 지시하고 그 이행결과를 보고하는 작업관리 과정을 더 포함하고, 상기 작업관리 과정은 수행자별 작업지시를 시스템을 통하여 전달하는 단계; 통제항목별로 작업지시에 대한 작업 완료율을 추적하는 단계; 상기 추적결과를 이용하여 부서별 작업이행율을 분석하는 단계; 및 상기 추적결과 미수행된 통제항목에 대하여 재작업을 지시하는 단계를 포함하는 것이 바람직하다.
또한 상기 통제 데이터베이스 구축과정은 통제정책을 의미 있는 최소 단위의 통제요소로 분해하는 단계; 상기 통제요소들 각각에 코드를 부여하는 단계; 상기 통제요소들 각각에 대한 행위자를 추출하는 단계; 상기 통제요소가 통제항목을 가지는 준수통제인 경우 통제대책을 추출하는 단계; 통제항목을 측정하는 단계; 통제행위를 추출하는 단계; 및 상기 통제항목 및 통제행위를 포함하는 통제요소를 상기 통제 데이터베이스에 등록하는 단계를 포함하는 것이 바람직하다.
또한 상기 분해단계는 형태소 분석에 의해 상기 통제정책을 분해하는 것이 바람직하다.
또한 상기 현황분석과정은 정보 보안 관리 시스템(ISMS)의 정보보안 범위를 선정하는 단계; 상기 통제 데이터베이스를 이용하여 상기 선정된 정보보안 범위에 대한 정책을 정의하는 단계; 정책 보호 현황을 조사하는 단계; 및 상기 현황 조사 결과에 의거하여 위험평가 방법을 결정하는 단계를 포함하는 것이 바람직하다.
또한 상기 자산평가과정은 자산 현황을 취합하여 자산을 식별하는 단계; 상기 식별된 자산들에 대한 모델링 및 그룹화를 수행하는 단계; 및 상기 자산들에 대한 중요도를 평가하는 단계를 포함하는 것이 바람직하다.
또한 상기 자산평가과정은 상기 통제 데이터베이스에서 정의된 통제요소를 관리하는 정책관리단계를 더 포함하는 것이 바람직하다.
또한 상기 정책관리단계는 상기 통제 데이터베이스를 바탕으로 수행자 유형별/자산유형별/정책유형별 통제요소 조회 및 관리를 수행하는 것이 바람직하다.
또한 상기 정책관리단계는 상기 통제 데이터베이스를 바탕으로 국제규격의 세부 통제 요소를 검색하는 것이 바람직하다.
또한 상기 정책관리단계는 상기 통제 데이터베이스를 바탕으로 각 통제 요소의 시행일자 및 개정일자에 대한 통제 요소별 버전을 관리하는 것이 바람직하다.
또한 상기 정책관리단계는 상기 통제 데이터베이스를 바탕으로 자체 규정과 국제 규격과의 연관성을 보여주는 SOA(Service Of Applicability)의 생성 및 조회 관리를 수행하는 것이 바람직하다.
또한 상기 정책관리단계는 상기 통제 데이터베이스를 바탕으로 통제 요소별로 필요한 서식 및 양식의 연관관계를 관리하는 것이 바람직하다.
또한 상기 위험평가과정은 상기 통제 데이터베이스에서 정의된 통제요소를 역방향으로 정의하여 취약점을 추출하고, 그 취약점과 통제요소, 정보자산 및 위협간의 상관관계를 바탕으로 시나리오를 구성하는 단계; 상기 위협에 대한 영향도를 평가하는 단계; 상기 위협의 발생 가능성을 평가하는 단계; 및 상기 위협 발생시 위험도를 평가하는 단계를 포함하는 것이 바람직하다.
또한 상기 시나리오 구성단계는 통제 요소와 취약점간 상관관계의 정확도를 확보하기 위해 최하위 레벨(leaf level)의 통제 요소와 취약점과의 1:1 관계를 설정하는 것이 바람직하다.
또한 상기 시나리오 구성단계는 위험완화를 위하여 제거해야 할 취약점과 이에 대한 통제 대책을 자동 매칭하는 것이 바람직하다.
또한 상기 위험도 평가 단계는 자산 유형별로 위협별 취약점에 대한 위험도를 계산하여 위험도가 높은 취약점에 대한 통제대책의 기존통제 수준(예컨대, 성숙도 수준과 이행도 수준)을 파악하는 것이 바람직하다.
또한 상기 위험처리과정은 상기 위험도를 기준으로 긴급/우선개선, 통상개선, 위험관찰, 위험회피를 포함하는 보증수준을 산정하는 통제 보증수준산정 단계; 상기 보증수준에 따라 해당 위험을 완화하기 위한 통제요소를 선택하는 단계; 미리 설정된 통제 개선 유형에 따라 상기 선택된 통제 요소에 대한 위험 처리 계획을 수립하는 단계; 및 위험 처리 결과에 따라 보안정책 및 프로세스 절차를 개정하는 단계를 포함하는 것이 바람직하다.
또한 상기 보증수준산정단계는 상기 통제요소 중 통제행위를 관리생명주기에 따라 시계열적으로 배열하는 단계; 각각의 통제행위의 존재여부를 판단하는 단계; 상기 통제행위의 존재여부에 따라 조직의 통제행위 성숙도를 측정하는 단계; 및 설정된 준수통제에 대한 조직구성원들의 통제이행을 측정하는 단계를 포함하는 것이 바람직하다.
또한 상기 통제행위의 시계열적 배열단계는 계획(Plan), 이행(Do), 검토(Check) 및 개선(Act)을 포함하는 관리생명주기(PDCA)에 따라 상기 통제행위를 시계열적으로 배열하는 것이 바람직하다.
또한 상기 통제요소 선택 단계는 상기 통제 데이터베이스를 바탕으로 위험을 분석하여 위험도가 높은 취약점을 갖는 통제요소를 선택하는 것이 바람직하다.
또한 상기 위험처리 계획 수립단계는 상기 통제 개선 유형을 단기/장기 및 긴급/통상으로 구분하여 의사 결정을 지원하는 단계를 더 포함하는 것이 바람직하다.
또한 상기 통제이행과정은 통제요소에 대하여, 직접 소요인력, 프로젝트 비용을 포함하는 통제비용을 이용한 기회비용을 자동으로 산정하는 단계; 및 기회비용이 높은 통제요소부터 통제를 실시할 수 있도록 의사결정을 지원하는 단계를 더 포함하는 것이 바람직하다.
상기와 같이 본 발명은 정보기술관련 통제요소(예컨대, 정책, 지침, 규정, 표준, 절차 및 규범 등)를 일정한 원칙에 따라 의미를 가지는(통제 가능한) 최소단위로 분해(Atomic)한 후, 그 통제 요소를 하나의 명사(Noun : 통제항목)에 하나의 동사(Verb : 통제행위)가 대응하도록 분할/정의하고, 통제별 수행자(Actor) 및 준수자를 정의한다. 또한 각 준수통제에 대한 측정지표를 정의한다.
본 명세서에서는 통제 요소들을 이와 같이 분할/정의하여 구축한 DB를 NVAM 타입 통제 DB라 하고, 그 NVAM 타입 통제 DB를 바탕으로 ITRMS(IT Risk Management System : 정보기술 위험관리시스템)를 구축하며, 이를 통해 조직의 정보기술에 대한 위험관리를 전반적으로 수행하는 것을 특징으로 한다.
이하, 본 발명의 바람직한 실시 예들을 첨부한 도면을 참조하여 상세히 설명한다. 이 때 첨부한 도면들 중 동일한 구성요소들은 가능한 한 어느 곳에서든지 동일한 부호들로 나타내고 있음에 유의해야 한다. 또한 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략한다.
도 1은 본 발명의 일실시 예에 따른 정보기술 위험관리 시스템에 대한 시스템 구성도이다. 이 때 도 1은 ISO 27001에서 정의하고 있는 ISMS(Information Security Management System) 요건(Requirements)을 바탕으로 위험관리를 하기 위한 시스템의 구성 예를 보여준다. 도 1을 참조하면 본 발명의 일실시 예에 따른 정보기술 위험관리 시스템(100)은 통제 마스터 DB(110), 정책관리부(120), 위험 시나리오 관리부(130), 수준 관리부(140), 위험 처리부(150) 및 통제작업 관리부(160) 를 포함한다.
통제 마스터 DB(110)는 통제정책을 통제 가능한 최소단위로(예컨대, 원자적(atomic)으로) 분해한 후 그 분해된 통제요소들 각각으로부터 하나의 통제항목(예컨대, 명사(Noun)), 하나의 통제행위(예컨대, 동사(Verb)), 통제별 수행자(Actor) 및 준수자를 정의하여 저장한다. 즉 통제 마스터 DB(110)는 NVAM 타입 통제 DB이다.
이와 같이 원자적(Atomic)으로 분해된 각종 통제요소들에 의해 누가 무엇을 해야하는지를 명확히 파악할 수 있다. 따라서 통제정책을 NVAM 타입으로 전환하기 위해 통제 마스터 DB(110) 관리부(미도시)는 우선적으로 통제조항들을 단문으로 분해한 후 그 통제들을 분류한다. 이 때 선언통제는 선언적 성격의 통제이고, 준수통제는 통제와 관련된 사람들이 준수해야 하는 통제로서, 상기와 같이 NVAM 타입으로 전환하여 관리하는 것은 준수통제이다. 즉 상기 선언통제는 자체적으로 의미를 가지는 형태이고, 준수통제는 후술될 원칙과 절차를 거쳐 NVAM 타입으로 정의되는 형태이다. 따라서 통제 마스터 DB(110) 관리부는 상기 분해된 단문이 선언통제인지 준수통제인지를 확인한 후 선언통제인 경우 단문형태로 DB에 저장하고, 준수통제는 NVAM 타입으로 정의하여 DB에 저장한다.
이와 같이 통제정책을 분해한 일예가 도 11에 예시되어 있다. 도 11은 정보보호분야 국제 규격인 ISO 27001의 통제정책을 단문으로 분해한 예를 도시하고 있다. 도 11을 참조하면 복문으로 작성된 ISO 27001의 보호정책(a), 자산관리(b) 및 접근 통제 정책(c)이 각각 2개의 단문으로 분해된 것을 알 수 있다.
한편 상기 준수 통제를 NVAM 타입으로 정의하기 위한 원칙과 절차는 다음과 같다.
1. 통제는 단문(하나의 주어, 하나의 목적어, 하나의 동사)으로 분해되어야 한다.
2. 준수통제는 통제를 이행하거나 준수해야하는 하나의 수행자(Actor)를 가져야 한다.
3. 준수통제는 하나의 통제항목(명사형태 : Noun Type)(예컨대, 비밀번호)을 가져야 한다.
4. 준수통제는 하나의 통제행위(동사형태 : Verb Type)(예컨대, 표준화, 교육, 준수, 보고 등)를 가져야 한다.
5. 통제행위(ISO9000, ISO14000, ISO27001및 CMM 등에서는 “프로세스”라 칭함)는 관리생명주기를 구성하는 요소이다. 이러한 통제행위(프로세스)는 통제대책의 관리주기(예컨대, Plan → Do → Check → Act)로 대별된다. 이러한 관리생명주기는 수준관리부(140)에서 통제 행위를 분석할 때 참조한다. 따라서 통제대책관리주기에 대하여는 수준관리부(140)에 대한 설명시 구체적으로 언급할 것이다.
6. 각 통제항목은 측정 가능해야 한다. 즉, 상기의 절차를 거친 NVAM 타입의 통제행위는 PDCA 관리주기에 따라 성숙도(Maturity)를 측정할 수 있으며, 또한 준수여부를 관리하기 위해 이행도를 측정할 수 있다. 따라서 성숙도 측정 통제항목과 이행도 측정항목으로 분류하여 통제항목을 측정할 수 있게 된다.
7. 이렇게 정의된 통제항목을 역방향(reverse)으로 정의할 경우 취약점이 된다. 예를 들어 필요한 통제가 존재하지 않거나, 필요한 정도로 이해되지 않고 준수되지 않는 상태이므로, 통제정의에 부정사(없음, 존재하지 않음, 부재, 결여 등)를 부가(또는 첨가)하거나 완전히 이행되지 않는 상태(예컨대, 미흡, 미비 등)를 서술하면 취약점이 되는 것이다.
8. 각 통제항목은 적용가능성을 고려하여야 한다. 모든 통제항목을 동시에 모든 사람에게 적용하는 것은 불가능한 일이다. 따라서 통제정책을 수립할 경우, NVAM 타입으로 구축된 통제에 대하여 그 위험도와 통제비용을 고려하여 우선순위를 구분할 필요가 있다. 따라서 조직이 현시점에서 반드시 이행하거나 준수해야 하는 통제항목을 선택하여 적용할 수 있다.
이와 같은 특성을 갖는 준수 통제를 관리하는 통제마스터 DB(110)를 이용한 각 장치들의 동작을 설명하면 다음과 같다.
먼저 정책관리부(120)는 통제 마스터 DB(110)에서 정의된 통제요소를 관리한다. 특히 정책관리부(120)는 통제 마스터 DB(110)를 바탕으로 수행자 유형별/자산유형별/정책유형별 통제요소 조회 및 관리, 국제규격(예컨대, ISO 27001, ISO 9000, ISO 14000 등) 및 자체규격의 세부 통제 요소를 검색하는 것이 바람직하다. 또한 정책 관리부(120)는 통제 마스터 DB(110)를 바탕으로 각 통제요소의 시행일자 및 개정일자에 대한 통제별 버전(version) 관리, 자체 규정과 국제규격과의 연관성을 보여주는 SOA(Service of Applicability) 생성 및 조회 관리, 각 통제별 필요한 서식 및 양식의 연관관계 관리(문서 및 기록 관리)를 수행한다.
이러한 정책관리부(120)의 화면 예가 도 18에 예시되어 있다. 도 18은 본 발명의 일실시 예에 따른 NVAM 타입 DB를 바탕으로 한 ITRMS의 다양한 정책 및 통제 검색 화면의 예를 도시한 도면으로서, 상기 사항들은 도 18에 예시된 화면을 통해 검증 가능하다.
위협 시나리오 관리부(130)는 통제 마스터 DB(110)에서 정의된 통제요소를 역방향으로 정의하여 취약점을 추출하고, 그 취약점과 통제요소, 정보자산 및 위협간의 상관관계를 명시한다.
특히 위협 시나리오 관리부(130)는 통제 요소와 취약점간 상관관계의 정확도를 확보하기 위해 최하위 레벨(leaf level)의 통제 요소와 취약점과의 1:1 관계를 설정한다. 또한 위협 시나리오 관리부(130)는 자산 유형별로 위협별 취약점에 대한 위험도를 계산하여 위험도가 높은 취약점에 대한 통제대책의 기존 수준을 파악하고, 위험완화를 위하여 제거해야 할 취약점과 이에 대한 통제 대책을 자동 매칭한다.
수준 관리부(140)는 통제요소 중 통제행위를 관리생명주기에 따라 시계열적으로 배열하고 각각의 통제행위의 존재여부를 판단함으로써 조직의 통제행위 성숙도(maturity)를 측정하고, 설정된 준수통제에 대한 조직 구성원들의 통제이행도(compliance)를 측정한다. 특히 수준관리부(140)는 계획(Plan), 이행(Do), 검토(Check) 및 개선(Act)을 포함하는 관리생명주기(PDCA)에 따라 상기 통제행위를 시계열적으로 배열한다.
이 때 상기 계획(Plan)은 정책표준화(Standardization), 담당자의 지정 및 권한 위임(Roles and Responsibilities), 자원의 할당(resourcing), 교육 및 전파 (Education and Training) 그리고 자동화지원도구의 할당(system and logging)을 포함하고, 상기 이행(Do)은 계획단계에서 정의되고 위임된 통제대책의 준수(compliance) 및 통제행위의 기록(record and logging)을 포함하고, 상기 검토(Check)는 검토(review), 평가(assessment), 분석(analysis), 측정(measurement), 보고 및 감사를 포함한다. 또한 상기 개선(Act)은 위험분석(risk analysis), 보고된 문제점에 대한 해결대안의 선택(alternative control selection), 통제비용의 계산(control cost assignment), 보증수준결정(degree of acceptance decision), 기회비용 계산(opportunity cost assignment)그리고 정책 및 프로세스 개선(policy and process improvement)을 포함한다.
위험 처리부(150)는 통제개선유형에 대한 의사결정을 지원한다. 특히 위험처리부(150)는 통제 마스터 DB(110)를 바탕으로 위험을 분석하여 위험도가 높은 취약점에 대한 통제요소를 식별하고, 그 식별된 통제요소에 대한 통제비용에 의거하여 해당 통제요소 수행 시 기회비용을 자동으로 산정한 후 기회비용이 높은 통제요소부터 통제를 실시할 수 있도록 의사 결정을 지원한다. 또한 위험처리부(150)는 상기 통제개선유형을 단기/장기 및 긴급/통상으로 구분하여 작업관리를 위한 통제개선지시와 프로젝트성 통제개선지시를 분류하여 지원한다.
통제작업 관리부(160)는 상기 통제보증수준 및 통제개선유형에 따라 통제에 대한 작업을 지시하고 관리한다. 특히 통제작업관리부(160)는 통제 마스터 DB(110)를 바탕으로 수행자 및 통제항목별로 작업지시를 한 후 그에 대한 작업 완료율을 추적하고, 미수행된 통제에 대하여 재작업지시를 한다. 또한 통제작업관리부(160) 는 각 부서별 작업이행율을 분석한다.
도 2는 본 발명의 일실시 예에 따른 정보기술 위험관리 방법에 대한 처리 흐름도이다. 도 2를 참조하면 도 1에 예시된 바와 같은 정보기술 위험관리 시스템(100)을 이용한 정보기술 위험관리 방법은 다음과 같다. 먼저, 본 발명은 도 1에 예시된 바와 같은 통제 마스터 DB(도 1의 ‘110’)를 구축한다(S100). 이를 위한 보다 구체적인 처리 과정의 예는 도 3에 예시되어 있다.
그리고 조직의 통제 성숙도 현황에 대하여 분석한 후(S200) 조직이 관리해야 할 정보 자산을 식별하고 그 정보자산에 대한 중요도를 평가한다(S300).
이와 같이 조직의 통제 성숙도 분석 및 정보자산의 중요도 평가가 완료되었으면 상기 정보기술 위험관리 시스템(100)은 상기 구축된 통제 마스터 DB로부터 취약점을 추출하고 그 취약점과 통제요소, 정보자산 및 위협간의 상관관계를 바탕으로 위험을 평가한다(S400). 이 때 취약점 추출은 통제 마스터 DB에서 정의된 통제요소를 역방향으로 정의함으로써 가능하다.
그리고 위험평가과정(S400)에서 평가된 위험도를 기준으로 위험의 통제보증수준을 결정하고 위험을 완화하기 위한 통제 요소를 선택하며 선택된 통제 요소에 대한 위험 처리 계획을 수립한 후 정책을 개정하는 위험처리과정을 수행한다(S500).
또한 상기 위험 처리 계획에 대한 경영자의 경영 검토를 실시하고 내부 통제 구조와 국제/국내 표준과의 적용성 보고서를 생성하며, 통제 시행을 위한 사용자 교육을 실시하는 통제 이행과정을 수행한다(S600).
이와 같이 통제 이행을 하였으면, 통제 마스터 DB에 각 통제별 측정지표를 설정하고 통제 효과 및 수준측정을 실시하며, 내부 감사와 사용자 부서의 자기진단을 실시하는 모니터링과정을 수행하고(S700), 그 모니터링 결과 및 위험처리 결과에 따른 취약점 제거와 통제개선 및 이행도 향상을 위한 작업을 지시하고 그 이행결과를 보고하는 작업관리 과정을 수행한다(S800).
도 3은 도 2에 예시된 정보기술 위험관리 방법의 통제 마스터 DB 구축과정에 대한 일 예를 도시한 흐름도이다. 도 3을 참조하면 통제 마스터 DB를 구축하기 위해 먼저 통제정책을 의미 있는 최소 단위의 통제요소로 분해한다(S105). 이 때 분해단계(S105)는 ‘형태소 분석’에 의해 상기 통제정책을 분해하는 것이 바람직하다. ‘형태소’란 일정한 음성과 뜻이나 기능을 가진 가장 작은 말의 단위를 말한다. 즉 형태소는 더 이상 별개의 의미나 기능으로 분리할 수 없는 최소한의 언어 요소인 것이다.
이와 같이 각종 통제 정책들을 분해한 예가 도 12 내지 도 14에 예시되어 있다. 도 12는 본 발명의 일실시 예에 따라 비밀번호 관리 규정을 NVAM 타입으로 분해한 예를 도시한 도면이고, 도 13은 본 발명의 일실시 예에 따라 특정회사의 비밀번호관리정책 조항을 NVAM 타입으로 분해하여 DB 타입으로 정의한 예를 도시한 도면이고, 도 14는 본 발명의 일실시 예에 따라 기반보호법을 NVAM 타입으로 분해한 예를 도시한 도면이다.
즉, 도 12는 상기 비밀번호 관리 규정을 5가지 항목(예컨대, 행위자, 조건절, 통제항목, 통제행위 및 적용 범위)으로 분리한 예를 도시하고, 도 13은 텍스트 형태로 구성된 기존의 규정들을 NVAM 타입으로 분해한 예를 도시하고, 도 14는 상기 기반보호법의 분해전 상태와, 그 기반보호법을 행위자(Actor), 통제항목(Noun type) 및 통제행위(Verb type)으로 분해한 예를 하나의 표로서 예시하고 있다.
한편 도 15는 본 발명의 일실시 예에 따라 추출된 사용자 유형과 수행자(Actor) 리스트의 예를 도시하고, 도 16은 본 발명의 일실시 예에 따라 통제행위를 관리생명주기(PDCA)로 분해한 예와 이를 통한 성숙도 측정 예를 도시하고, 도 17은 본 발명의 일실시 예에 따라 NVAM 타입으로 분해된 통제요소별 측정지표 정의 예를 도시하고 있다.
도 12 내지 도 17을 참조하면 본 발명의 실시 예에 따라 각 정책들을 분해한 예를 알 수 있다.
한편 상기와 같이 통제 정책들을 통제요소로 분해하였으면 그 통제요소들 각각에 코드를 부여한 후(S110), 상기 통제요소들 각각에 대해 행위자를 추출한다(S115).
그리고 상기 통제요소가 통제항목인 지의 여부를 판단하여(S120), 통제항목인 경우(즉, 통제항목을 가지는 준수통제인 경우) 통제대책을 추출하고(S125), 그 통제항목에 대한 측정 가능 방법(예컨대, 자동 측정 또는 수작업 등)을 이용하여 통제항목을 측정한다(S130, S135, S140). 예를 들어 통제항목이 수작업으로 측정 가능한 경우 수작업 측정을 하고(S135), 자동 측정이 가능한 경우 자동화 측정을 한다(S140). 또한 통제행위를 추출한다(S145).
한편 상기 판단(S120) 결과 통제항목이 아닌 경우(즉, 통제항목을 가지지 않는 선언통제인 경우) 그 분해된 단문 상태를 이용하여 정의 및 선언을 한다(S150).
그리고 상기 일련의 과정(S125 내지 S150)을 통해 얻어진 통제항목 및 통제행위를 포함하는 통제요소를 포함하는 통제 마스터 DB를 구축한다(S155).
도 4는 도 2에 예시된 정보기술 위험관리 방법의 현황 분석 과정(S200)에 대한 일 예를 도시한 흐름도이다. 도 4를 참조하면 상기 현황 분석 과정(S200)은 정보 보안 관리 시스템(ISMS)의 정보보안 범위를 선정하는 단계(S205), 상기 과정(S100)에서 생성된 통제 마스터 DB를 이용하여 상기 선정된 정보보안 범위에 대한 정책을 정의하는 단계(즉, NVAM ISMS 정책 정의 단계)(S210), 정책 보호 현황을 조사하는 단계(S215) 및 상기 현황 조사 결과에 의거하여 위험평가 방법을 결정하는 단계(S220)를 포함한다.
도 5는 도 2에 예시된 정보기술 위험관리 방법의 자산 평가 과정(S300)에 대한 일 예를 도시한 흐름도이다. 도 5를 참조하면 상기 자산 평가 과정(S300)은 자산 현황을 취합하기 위한 워크-샵을 수행하는 단계(S305), 그 결과로 취합된 자산 현황을 분석하여 자산을 식별하는 단계(S310), 식별된 자산들에 대한 모델링 및 그룹화를 수행하는 단계(S315) 및 상기 자산들에 대한 중요도를 평가하는 단계(S320)를 포함한다.
이 때 자산 중요도를 결정하기 위한 방법의 예가 도 24에 예시되어 있다. 도 24는 본 발명의 일실시 예에 따른 자산 중요도 결정 방법의 예를 도시한 도면으로서, 도 24를 참조하면 본 발명은 각 항목별로 질문 및 답변유형을 설정하고, 그에 따른 답변 내용에 따라 자산의 중요도를 결정한다.
또한 자산을 정확하게 평가하기 위해서는 상기 과정(S100)에서 생성된 통제 마스터 DB에서 정의된 통제요소를 관리하는 정책관리단계(미도시)를 더 포함하는 것이 바람직하다. 상기 ‘정책관리단계’는 도 1에 예시된 정책관리부(120)에서 수행되는 것으로서, 그 구체적인 처리 내용은 정책관리부(120)의 동작 예와 유사하다.
도 6은 도 2에 예시된 정보기술 위험관리 방법의 위험 평가 과정(S400)에 대한 일 예를 도시한 흐름도이다. 도 6을 참조하면 상기 위험평가과정(S400)은 상기 과정(S100)에서 생성된 통제 마스터 DB(110)에서 정의된 통제요소를 이용하여 NAVM 위협 시나리오를 구성한다(S405). 이를 위해 상기 통제요소를 역방향으로 정의하여 취약점을 추출하고, 그 취약점과 통제요소, 정보자산 및 위협간의 상관관계를 바탕으로 시나리오를 구성하는 것이 바람직하다. 특히 상기 단계(S405)에서는 통제 요소와 취약점간 상관관계의 정확도를 확보하기 위해 최하위 레벨(leaf level)의 통제 요소와 취약점과의 1:1 관계를 설정하는 것이 바람직하다. 또한 상기 단계(S405)는 위험완화를 위하여 제거해야 할 취약점과 이에 대한 통제 대책을 자동 매칭하는 것이 바람직하다.
이와 같이 위협 시나리오를 구성하였으면 본 발명의 정보기술 위험관리 시스템(100)은 그 위협에 대한 영향도를 평가하고(S410), 상기 위협의 발생 가능성을 평가한 후(S415) 상기 위협 발생시 위험도를 평가한다(S420).
이 때 상기 위험도 평가 단계(S420)는 자산 유형별로 위협별 취약점에 대한 위험도를 계산하여 위험도가 높은 취약점에 대한 통제대책의 기존 수준을 파악하는 것이 바람직하다.
도 7은 도 2에 예시된 정보기술 위험관리 방법의 위험 처리 과정(S500)에 대한 일 예를 도시한 흐름도이다. 도 7을 참조하면 상기 위험 처리 과정(S500)은 상기 위험도를 기준으로 긴급/우선개선, 통상개선, 위험관찰, 위험회피를 포함하는 보증수준을 산정한다(S505). 이 때 상기 단계(S505)는 상기 통제요소 중 통제행위를 관리생명주기에 따라 시계열적으로 배열하는 단계; 각각의 통제행위의 존재여부를 판단하는 단계; 상기 통제행위의 존재여부에 따라 조직의 통제행위 성숙도를 측정하는 단계; 및 설정된 준수통제에 대한 조직구성원들의 통제이행을 측정하는 단계를 포함하는 것이 바람직하다. 특히 상기 통제행위의 시계열적 배열단계는 계획(Plan), 이행(Do), 검토(Check) 및 개선(Act)을 포함하는 관리생명주기(PDCA)에 따라 상기 통제행위를 시계열적으로 배열하는 것이 바람직하다. 이 때 상기 관리생명주기에 대하여는 도 1을 참조한 설명시 언급한 바와 같다.
이와 같이 보증수준을 산정하였으면 본 발명의 정보기술 위험관리 시스템은 상기 보증수준에 따라 해당 위험을 완화하기 위한 통제요소를 선택한다(S510). 이를 위해 상기 정보기술 위험관리 시스템은 상기 통제 데이터베이스를 바탕으로 위험을 분석하여 위험도가 높은 취약점을 갖는 통제요소를 선택하는 것이 바람직하다.
또한 정보기술 위험관리 시스템은 미리 설정된 통제 개선 유형에 따라 상기 선택된 통제 요소에 대한 위험 처리 계획을 수립한다(S515). 이를 위해 상기 정보기술 위험관리 시스템은 상기 통제 개선 유형을 단기/장기 및 긴급/통상으로 구분하여 작업관리를 위한 통제개선지시와 프로젝트성 통제개선지시를 분류하여 지원하 는 단계를 포함하는 것이 바람직하다.
이와 같이 위험처리 계획을 수립한 정보기술 위험관리 시스템은 위험 처리 결과에 따라 보안정책 및 프로세스 절차를 개정한다(S520).
도 8은 도 2에 예시된 정보기술 위험관리 방법의 통제 이행 과정(S600)에 대한 일 예를 도시한 흐름도이다. 도 8을 참조하면 상기 통제 이행 과정(S600)은 먼저 경영 방식 검토 후 그 경영 방식에 의거하여 통제를 구현한다(S605). 그리고 적용성에 관한 보고서(SOA)를 생성한 후(S610) 그에 따라 사용자 교육을 실시함으로써(S615) 사용자들이 상기 통제를 이행(logging)하도록 한다(S620). 이를 위해 본 발명의 정보기술 위험관리 시스템은 통제요소에 대하여, 직접 소요인력, 프로젝트 비용을 포함하는 통제비용을 이용한 기회비용을 자동으로 산정한 후 기회비용이 높은 통제요소부터 통제를 실시할 수 있도록 의사결정을 지원하는 것이 바람직하다.
도 9는 도 2에 예시된 정보기술 위험관리 방법의 모니터링 과정(S700)에 대한 일 예를 도시한 흐름도이다.
도 9를 참조하면 상기 모니터링 과정(S700)은 상기 통제요소들 중 중점적으로 관리해야 할 통제항목에 대하여 핵심위험지표(KRI)를 도출하고(S705), 그 핵심위험지표를 이용하여 통제효과 및 수준을 측정한 후(S710) 내부 감사(S715) 및 국제인증심사(S720)를 수행하는 것이 바람직하다.
도 10은 도 2에 예시된 정보기술 위험관리 방법의 작업 관리 과정(S800)에 대한 일 예를 도시한 흐름도이다.
도 10을 참조하면 상기 작업관리 과정(S800)은 심사 결과를 검토한 후(S805) 그 결과에 의거하여 시정조치 계획을 수립하고(S810) 시정 및 개선 조치를 수행하는 것(S815)이 바람직하다. 이를 위해 본 발명의 정보기술 위험관리 시스템은 수행자별 작업지시를 시스템을 통하여 전달하고, 통제항목별로 작업지시에 대한 작업 완료율을 추적한 후 상기 추적결과를 이용하여 부서별 작업이행율을 분석하고 상기 추적결과 미수행된 통제항목에 대하여 재작업을 지시하도록 하는 일련의 처리 과정을 수행하는 것이 바람직하다.
도 19 내지 도 23은 본 발명의 일실시 예에 따른 정보기술 위험관리 시스템의 처리 절차에 따른 화면 예를 도시하고 있다. 즉 도 19는 본 발명의 일실시 예에 따른 NVAM 타입 DB를 바탕으로한 ITRMS의 정책관리부 통제 상세항목 검색 화면의 예를 도시하고, 도 20은 본 발명의 일실시 예에 따른 ITRMS의 자산 중요도 결정 화면의 예를 도시하고, 도 21은 본 발명의 일실시 예에 따른 NVAM 타입 DB를 바탕으로 위협시나리오 조회 화면의 예를 도시하고, 도 22는 본 발명의 일실시 예에 따라 산정된 위험도를 바탕으로 ITRMS 에서 보증수준(DOA : Degree of Acceptance) 결정, 기회비용 산정 및 개선통제유형 결정을 행하기 위한 화면의 예를 도시하고, 도 23은 본 발명의 일실시에 따른 NVAM 타입 DB를 바탕으로한 ITRMS의 위험처리 후의 작업관리 화면의 예를 도시하고 있다.
이와 같은 본 발명의 시스템 및 방법은 다음과 같은 특징이 있다.
1. 본 발명은 정보자산의 통합위험관리를 수행한다.
기존의 보안솔루션들은 기술적인 취약점과 통제에 집중되어 있다. 그러나 본 발명은 기존의 솔루션이 관리하는 정보기술자산(예컨대, 응용서버자산, 네트워크 등) 이외에도 정보자산(예컨대, 전자정보, 종이문서정보, 이동식저장매체자산, 파일서버자산, PC자산, 위치자산 등)을 관리한다.. 구축된 정보자산에 대하여 모든 통제분야를 통합하여 위험분석을 실시하고 이 결과에 의거 자산에 대한 취약점 및 통제대책 관리를 수행할 수 있도록 지원한다. 이는 모든 통제를 NVAM 타입으로 DB로 구축하였기 때문에 가능하다. 예를 들면 ISO27001의 11개 도메인 전체에 대한 통합 위험분석 및 위험관리를 수행할 수 있다. 이는 아직까지 시도된 적이 없는 통합기술이다. 즉, 모든 통제는 통제의 의미를 가지는 문장으로 구성되어 있으며, 이러한 통제의 정의상 모호성을 해결하여 명확히(NVAM 타입으로 정의)하여 통제 DB로 구축함으로써, 모든 통제를 통합하여 관리할 수 있게 된다.
현재의 기술적 통합 보안툴(ESM, TRM 등)은 ISO27001의 한 통제(A.12. Information systems acquisition, development and maintenance/정보시스템 구입, 개발 및 유지보수 - A.12.6. Technical Vulnerability Management/ 기술취약점 관리)에 국한된 위험분석만 가능한 상태이다. 하지만 본 발명은 NVAM 타입으로 정의된 통제요소들을 역방향으로 정의하면 취약점이 자동 생성된다. 이렇게 생성된 취약점을 바탕으로 위협시나리오의 정확도를 향상시키며 이를 통해서 위험분석을 실시함으로써 관리/물리/기술적 보안, 통제관리, 품질경영, 정보기술서비스경영에 대한 통합 위험분석 및 관리가 가능하다. 즉 본 발명은 통제요소를 역방향으로 정의함으로써 취약점을 생성할 수 있으므로, 신뢰성 있는 위협시나리오 DB구축이 가능하기 때문에 통합 보안 위험관리가 가능하다.
2. 본 발명은 통제수준(모니터링)관리를 수행한다.
본 발명은 우선 앞에서 언급한 NVAM 타입의 통제DB를 통하여 통제요소를 관리함으로써, 각 통제요소를 원자적으로 분할하고 측정 가능한 상태로 정의하기 때문에, 최소단위통제(leaf level control)별 측정이 가능해 진다. 따라서 통제요소 표준화 정의율, 통제요소 R&R(Roles and Responsibility) 할당율, 통제요소 교육시행율, 통제요소 이행 및 준수율, 통제이행결과 보고율 등을 각각 측정할 수 있으며, 이는 각 조직의 보안관리수준의 성숙도를 측정할 수 있는 바탕이 된다. 또한 통제항목의 성숙도 이외에도 각 통제를 준수해야 할 조직원들의 이행수준(목표대비 실제 준수율)을 측정할 수 있으므로 성숙도와 이행도를 같이 측정하여 규범 및 통제(정보보호, 품질경영 등)의 성숙도 수준과 이행도 수준을 같이 측정관리 할 수 있다. 이러한 통제수준관리는 도 16의 예에서 보여주고 있다.
3. 본 발명은 KRI개념을 도입하고 있다.
조직은 수많은 취약점과 통제대책에 대한 선택과 집중을 하여야 하는데, 본 발명은 통제요소 중 중점적으로 관리해야할(위험도가 높은) 통제항목에 대한 KRI(핵심위험지표)를 정의 및 관리함으로써 중요한 자산에 가해지는 중대한 취약점을 집중적으로 관리할 수 있도록 지원한다. 여기서 각 통제항목별 KPI 및 KRI를 정의한 예시는 도 17에서 보여주고 있다.
4. 본 발명은 위협시나리오 DB를 구축한다.
취약점과 통제대책이 연동(Correlation)하는 자산 vs 위협 vs 취약점 vs 통제대책의 연관관계를 위협시나리오 DB라 하며, 본 발명은 이를 NVAM 타입으로 구축하여 시스템에 적용함으로써, 위협시나리오DB의 완성도와 정확도를 높힐 수 있다. 또한 NVAM 타입으로 정의된 통제요소를 역방향으로 정의하여 성숙도 관련 취약점과 이행도 관련 취약점을 생성할 수 있으므로 위험분석의 기본 데이터가 되는 위협시나리오의 정확도와 위협 vs 취약점 vs 통제간 연동관계의 정확도를 확보하게 된다. 이에 따라 사용자에게 현재 자산에 가해지는 위협의 파악, 동 위협과 관련된 취약점 식별, 각 취약점별 수행되고 있는 기존통제대책의 식별을 연동하여 제공함으로써 위험분석을 정확히 수행할 수 있는 발판을 제공할 수 있게 된다.
한편, 도 25 내지 도 27은 본 발명의 일실시 예에 따른 정보기술 위험관리 시스템을 이용한 CSO(최고 보안 관리자) 보기 화면의 예를 도시한 도면들이다. 특히, 도 25는 전사 정보자산 현황을 보여주는 CSO 뷰의 예를 도시하고, 도 26은 전사의 기술보안 위험 처리 현황을 보여주는 CSO 뷰의 예를 도시하고, 도 27은 전사의 관리보안 위험 처리 현황을 보여주는 CSO 뷰의 예를 도시하고 있다.
이상에서는 본 발명에서 특정의 바람직한 실시 예에 대하여 도시하고 또한 설명하였다. 그러나 본 발명은 상술한 실시 예에 한정되지 아니하며, 특허 청구의 범위에 기재된 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 실시가 가능할 것이다.
상기한 바와 같이 본 발명에 의하면 기존 정책서 및 법률, 국제/국내 표준서 등과 같은 모든 규범서에 대한 수행자를 명확히 지정하고, 측정 가능하게 되므로(KPI, KRI를 통제 항목별로 할당/정의 하므로) 조직의 정책 이행도와 성숙도를 실질적으로 증진시킬 수 있다.
또한 본 발명은 각 사용자 유형별로 자신에게 해당되는 규정 및 지침 정보(통제정보)를 항상 최신의 상태로 사용(입력ㆍ수정ㆍ삭제)할 수 있도록 지원한다.
또한 본 발명은 규범 및 정책의 사용자 및 수행자(Actor) 유형별(일반사용자, 일반사용자부서 보안담당자, 서버담당자, 네트워크담당자, 응용시스템개발담당자, 데이터베이스담당자, 품질보증담당자, 외주개발프로젝트담당자, 전사보안관리담당자, 전사 IT 보안담당자, 감사인, IT감사인 등[도 15에 예시한 사용자 유형 및 수행자 리스트 참조])로 자신이 인지하고 준수해야 하는 보안관련 조항과 통제요소만 구분하여 조회 및 준수할 수 있게 됨으로써, 품질/서비스경영 및 정보보호경영의 가장 중요한 요소인 통제(품질/보안/서비스) 마인드 확산과 이해도를 급속도로 증진시킬 수 있다.
또한 본 발명은 지금까지 사각지대였던 관리적, 물리적 보안에 대한 정형화된 위험분석기법의 통합 적용이 가능하다.
또한 본 발명은 개별적으로 관리되던 각종 정보기술자원에 대한 보안관리를 전사차원에서 통합적으로 관리할 수 있다.
또한 본 발명은 ISO 27001, ISO 9000, ISO 14000인증지원 및 인증 수준 유지를 자동화하여 관리함으로써 인적,물적 자원의 효율적 운영이 획기적으로 향상된다.
또한 본 발명은 지속적으로 보안관련 컨설팅 결과(위협시나리오 DB)를 최신의 상태로 유지할 수 있으며, 컨설팅의 효율성을 극대화 할 수 있다. 또한 보안관 리 프로세스를 지속적으로 개선할 수 있는 개선체계 구축(CMM 5 level 지원)을 지원한다.
또한 본 발명은 기업 및 조직 내에 산재한 정책서, 지침서, 표준서, 절차서 등의 통제관련 정보를 일관된 원칙하에 분류하여 체계적으로 DB화하고 관리할 수 있다.

Claims (47)

  1. 정보기술 위험관리 시스템에 있어서,
    통제정책을 통제 가능한 최소단위로 분해한 후 그 분해된 통제요소들 각각으로부터 하나의 통제항목, 하나의 통제행위, 통제별 수행자 및 준수자를 정의하여 저장하는 통제 데이터베이스부;
    상기 통제 데이터베이스부에서 정의된 통제요소를 관리하는 정책관리부;
    상기 통제 데이터베이스부에서 정의된 통제요소를 역방향으로 정의하여 취약점을 추출하고, 그 취약점과 통제요소, 정보자산 및 위협간의 상관관계를 명시하는 위험 시나리오 관리부;
    상기 통제요소 중 통제행위를 관리생명주기에 따라 시계열적으로 배열하고 각각의 통제행위의 존재여부를 판단함으로써 조직의 통제행위 성숙도(maturity)를 측정하고, 설정된 준수통제에 대한 조직 구성원들의 통제이행도(compliance)를 측정하는 수준 관리부;
    상기 수준 관리부에서 측정된 통제보증수준을 이용하여 통제개선유형에 대한 의사결정을 지원하는 위험 처리부; 및
    상기 통제보증수준 및 통제개선유형에 따라 통제에 대한 작업을 지시하고 관리하는 통제작업관리부를 포함하는 것을 특징으로 하는 정보기술 위험관리 시스템.
  2. 제1항에 있어서, 상기 정책관리부는
    상기 통제 데이터베이스부를 바탕으로 수행자 유형별/자산유형별/정책유형별 통제요소 조회 및 관리를 수행하는 것을 특징으로 하는 정보기술 위험관리 시스템.
  3. 제1항에 있어서, 상기 정책관리부는
    상기 통제 데이터베이스부를 바탕으로 국제규격 및 자체규격의 세부 통제 요소를 검색하는 것을 특징으로 하는 정보기술 위험관리 시스템.
  4. 제1항에 있어서, 상기 정책관리부는
    상기 통제 데이터베이스부를 바탕으로 각 통제 요소의 시행일자 및 개정일자에 대한 통제 요소별 버전을 관리하는 것을 특징으로 하는 정보기술 위험관리 시스템.
  5. 제1항에 있어서, 상기 정책관리부는
    상기 통제 데이터베이스부를 바탕으로 자체 규정과 국제 규격과의 연관성을 보여주는 SOA(Service Of Applicability)의 생성 및 조회 관리를 수행하는 것을 특징으로 하는 정보기술 위험관리 시스템.
  6. 제1항에 있어서, 상기 정책관리부는
    상기 통제 데이터베이스부를 바탕으로 통제 요소별로 필요한 서식 및 양식의 연관관계를 관리하는 것을 특징으로 하는 정보기술 위험관리 시스템.
  7. 제1항에 있어서, 상기 위험 시나리오 관리부는
    통제 요소와 취약점간 상관관계의 정확도를 확보하기 위해 최하위 레벨(leaf level)의 통제 요소와 취약점과의 1:1 관계를 설정하는 것을 특징으로 하는 정보기술 위험관리 시스템.
  8. 제1항에 있어서, 상기 위험 시나리오 관리부는
    자산 유형별로 위협별 취약점에 대한 위험도를 계산하여 위험도가 높은 취약점에 대한 통제대책의 기존 수준을 파악하는 것을 특징으로 하는 정보 기술 위험 관리 시스템.
  9. 제1항에 있어서, 상기 위험 시나리오 관리부는
    위험완화를 위하여 제거해야 할 취약점과 이에 대한 통제 대책을 자동 매칭하는 것을 특징으로 하는 정보 기술 위험 관리 시스템.
  10. 제1항에 있어서, 상기 수준관리부는
    계획(Plan), 이행(Do), 검토(Check) 및 개선(Act)을 포함하는 관리생명주기(PDCA)에 따라 상기 통제행위를 시계열적으로 배열하는 것을 특징으로 하는 정보기술 위험 관리 시스템.
  11. 제10항에 있어서, 상기 계획(Plan)은
    정책표준화, 담당자의 지정 및 권한 위임, 자원의 할당, 교육 및 전파 그리고 자동화지원도구의 할당을 포함하는 것을 특징으로 하는 정보기술 위험관리 시스템.
  12. 제10항에 있어서, 상기 이행(Do)은
    계획단계에서 정의되고 위임된 통제대책의 준수 및 통제행위의 기록을 포함하는 것을 특징으로 하는 정보기술 위험관리 시스템.
  13. 제10항에 있어서, 상기 검토(Check)는
    검토, 평가, 분석, 측정, 보고 및 감사를 포함하는 것을 특징으로 하는 정보기술 위험관리 시스템.
  14. 제10항에 있어서, 상기 개선(Act)은
    위험분석, 보고된 문제점에 대한 해결대안의 선택, 통제비용의 계산, 보증수준결정, 기회비용 계산 그리고 정책 및 프로세스 개선을 포함하는 것을 특징으로 하는 정보기술 위험관리 시스템.
  15. 제1항에 있어서, 상기 위험처리부는
    상기 통제 데이터베이스부를 바탕으로 위험을 분석하여 위험도가 높은 취약점에 대한 통제요소를 식별하고, 그 식별된 통제요소에 대한 통제비용에 의거하여 해당 통제요소 수행 시 기회비용을 자동으로 산정한 후 기회비용이 높은 통제요소부터 통제를 실시할 수 있도록 의사 결정을 지원하는 것을 특징으로 하는 정보기술 위험관리 시스템.
  16. 제1항에 있어서, 상기 위험처리부는
    상기 통제개선유형을 단기/장기 및 긴급/통상으로 구분하여 작업관리를 위한 통제개선지시와 프로젝트성 통제개선지시를 분류하여 지원하는 것을 특징으로 하는 정보기술 위험관리 시스템.
  17. 제1항에 있어서, 상기 통제작업관리부는
    상기 통제 데이터베이스부를 바탕으로 수행자 및 통제항목별로 작업지시를 한 후 그에 대한 작업 완료율을 추적하고, 미수행된 통제에 대하여 재작업지시를 하는 것을 특징으로 하는 정보기술 위험관리 시스템.
  18. 제1항에 있어서, 상기 통제작업관리부는
    각 부서별 작업이행율을 분석하는 것을 특징으로 하는 정보기술 위험관리 시스템.
  19. 정보기술 위험관리 방법에 있어서,
    통제정책을 통제 가능한 최소단위로 분해한 후 그 분해된 통제요소들 각각으로부터 하나의 통제항목, 하나의 통제행위, 통제별 수행자 및 준수자를 정의하여 저장하는 통제 데이터베이스 구축과정;
    조직의 통제 성숙도 현황에 대하여 분석하는 현황분석과정;
    조직이 관리해야 할 정보 자산을 식별하고 그 정보자산에 대한 중요도를 평가하는 자산평가과정;
    상기 통제 데이터베이스에서 정의된 통제요소를 역방향으로 정의하여 취약점을 추출하고, 그 취약점과 통제요소, 정보자산 및 위협간의 상관관계를 바탕으로 위험을 평가하는 위험평가과정;
    상기 위험평가과정에서 평가된 위험도를 기준으로 위험의 통제보증수준을 결정하고 위험을 완화하기 위한 통제 요소를 선택하며 선택된 통제 요소에 대한 위험 처리 계획을 수립한 후 정책을 개정하는 위험처리과정; 및
    상기 위험 처리 계획에 대한 경영자의 경영 검토를 실시하고 내부 통제 구조와 국제/국내 표준과의 적용성 보고서를 생성하며, 통제 시행을 위한 사용자 교육을 실시하는 통제 이행과정을 포함하는 것을 특징으로 하는 정보기술 위험관리 방법.
  20. 제19항에 있어서,
    상기 통제 데이터베이스에 각 통제별 측정지표를 설정하고 통제 효과 및 수준측정을 실시하며, 내부 감사와 사용자 부서 자기진단을 실시하는 모니터링과정을 더 포함하는 것을 특징으로 하는 정보기술 위험관리 방법.
  21. 제20항에 있어서, 상기 모니터링과정은
    상기 통제요소들 중 중점적으로 관리해야 할 통제항목에 대하여 핵심위험지표를 정의 및 관리하는 것을 특징으로 하는 정보기술 위험관리 방법.
  22. 제19항에 있어서,
    상기 모니터링 결과 및 위험처리 결과에 따른 취약점 제거와 통제개선 및 이행도 향상을 위한 작업을 지시하고 그 이행결과를 보고하는 작업관리 과정을 더 포함하는 것을 특징으로 하는 정보기술 위험관리 방법.
  23. 제22항에 있어서, 상기 작업관리 과정은
    수행자별 작업지시를 시스템을 통하여 전달하는 단계;
    통제항목별로 작업지시에 대한 작업 완료율을 추적하는 단계;
    상기 추적결과를 이용하여 부서별 작업이행율을 분석하는 단계; 및
    상기 추적결과 미수행된 통제항목에 대하여 재작업을 지시하는 단계를 포함하는 것을 특징으로 하는 정보기술 위험관리 방법.
  24. 제19항에 있어서, 상기 통제 데이터베이스 구축과정은
    통제정책을 의미 있는 최소 단위의 통제요소로 분해하는 단계;
    상기 통제요소들 각각에 코드를 부여하는 단계;
    상기 통제요소들 각각에 대한 행위자를 추출하는 단계;
    상기 통제요소가 통제항목을 가지는 준수통제인 경우 통제대책을 추출하는 단계;
    통제항목을 측정하는 단계;
    통제행위를 추출하는 단계; 및
    상기 통제항목 및 통제행위를 포함하는 통제요소를 상기 통제 데이터베이스에 등록하는 단계를 포함하는 것을 특징으로 하는 정보기술 위험관리 방법.
  25. 제24항에 있어서, 상기 분해단계는
    형태소 분석에 의해 상기 통제정책을 분해하는 것을 특징으로 하는 정보기술 위험관리 방법.
  26. 제19항에 있어서, 상기 현황분석과정은
    정보 보안 관리 시스템(ISMS)의 정보보안 범위를 선정하는 단계;
    상기 통제 데이터베이스를 이용하여 상기 선정된 정보보안 범위에 대한 정책을 정의하는 단계;
    정책 보호 현황을 조사하는 단계; 및
    상기 현황 조사 결과에 의거하여 위험평가 방법을 결정하는 단계를 포함하는 것을 특징으로 하는 정보기술 위험관리 방법.
  27. 제19항에 있어서, 상기 자산평가과정은
    자산 현황을 취합하여 자산을 식별하는 단계;
    상기 식별된 자산들에 대한 모델링 및 그룹화를 수행하는 단계; 및
    상기 자산들에 대한 중요도를 평가하는 단계를 포함하는 것을 특징으로 하는 정보기술 위험관리 방법.
  28. 제19항에 있어서, 상기 자산평가과정은
    상기 통제 데이터베이스에서 정의된 통제요소를 관리하는 정책관리단계를 더 포함하는 것을 특징으로 하는 정보기술 위험관리 방법.
  29. 제28항에 있어서, 상기 정책관리단계는
    상기 통제 데이터베이스를 바탕으로 수행자 유형별/자산유형별/정책유형별 통제요소 조회 및 관리를 수행하는 것을 특징으로 하는 정보기술 위험관리 방법.
  30. 제28항에 있어서, 상기 정책관리단계는
    상기 통제 데이터베이스를 바탕으로 국제규격의 세부 통제 요소를 검색하는 것을 특징으로 하는 정보기술 위험관리 방법.
  31. 제28항에 있어서, 상기 정책관리단계는
    상기 통제 데이터베이스를 바탕으로 각 통제 요소의 시행일자 및 개정일자에 대한 통제 요소별 버전을 관리하는 것을 특징으로 하는 정보기술 위험관리 방법.
  32. 제28항에 있어서, 상기 정책관리단계는
    상기 통제 데이터베이스를 바탕으로 자체 규정과 국제 규격과의 연관성을 보여주는 SOA(Service Of Applicability)의 생성 및 조회 관리를 수행하는 것을 특징으로 하는 정보기술 위험관리 방법.
  33. 제28항에 있어서, 상기 정책관리단계는
    상기 통제 데이터베이스를 바탕으로 통제 요소별로 필요한 서식 및 양식의 연관관계를 관리하는 것을 특징으로 하는 정보기술 위험관리 방법.
  34. 제19항에 있어서, 상기 위험평가과정은
    상기 통제 데이터베이스에서 정의된 통제요소를 역방향으로 정의하여 취약점을 추출하고, 그 취약점과 통제요소, 정보자산 및 위협간의 상관관계를 바탕으로 시나리오를 구성하는 단계;
    상기 위협에 대한 영향도를 평가하는 단계;
    상기 위협의 발생 가능성을 평가하는 단계; 및
    상기 위협 발생시 위험도를 평가하는 단계를 포함하는 것을 특징으로 하는 정보기술 위험관리 방법.
  35. 제34항에 있어서, 상기 시나리오 구성단계는
    통제 요소와 취약점간 상관관계의 정확도를 확보하기 위해 최하위 레벨(leaf level)의 통제 요소와 취약점과의 1:1 관계를 설정하는 것을 특징으로 하는 정보기술 위험관리 방법.
  36. 제34항에 있어서, 상기 시나리오 구성단계는
    위험완화를 위하여 제거해야 할 취약점과 이에 대한 통제 대책을 자동 매칭하는 것을 특징으로 하는 정보 기술 위험 관리 방법.
  37. 제34항에 있어서, 상기 위험도 평가 단계는
    자산 유형별로 위협별 취약점에 대한 위험도를 계산하여 위험도가 높은 취약점에 대한 통제대책의 기존 수준을 파악하는 것을 특징으로 하는 정보기술 위험관리 방법.
  38. 제19항에 있어서, 상기 위험처리과정은
    상기 위험도를 기준으로 긴급/우선개선, 통상개선, 위험관찰, 위험회피를 포함하는 보증수준을 산정하는 통제 보증수준산정 단계;
    상기 보증수준에 따라 해당 위험을 완화하기 위한 통제요소를 선택하는 단계;
    미리 설정된 통제 개선 유형에 따라 상기 선택된 통제 요소에 대한 위험 처리 계획을 수립하는 단계; 및
    위험 처리 결과에 따라 보안정책 및 프로세스 절차를 개정하는 단계를 포함하는 것을 특징으로 하는 정보기술 위험관리 방법.
  39. 제38항에 있어서, 상기 보증수준산정단계는
    상기 통제요소 중 통제행위를 관리생명주기에 따라 시계열적으로 배열하는 단계;
    각각의 통제행위의 존재여부를 판단하는 단계;
    상기 통제행위의 존재여부에 따라 조직의 통제행위 성숙도를 측정하는 단계; 및
    설정된 준수통제에 대한 조직구성원들의 통제이행을 측정하는 단계를 포함하는 것을 특징으로 하는 정보기술 위험관리 방법.
  40. 제39항에 있어서, 상기 통제행위의 시계열적 배열단계는
    계획(Plan), 이행(Do), 검토(Check) 및 개선(Act)을 포함하는 관리생명주기(PDCA)에 따라 상기 통제행위를 시계열적으로 배열하는 것을 특징으로 하는 정보기술 위험 관리 방법.
  41. 제40항에 있어서, 상기 계획(Plan)은
    정책표준화, 담당자의 지정 및 권한 위임, 자원의 할당, 교육 및 전파 그리고 자동화지원도구의 할당을 포함하는 것을 특징으로 하는 정보기술 위험관리 방 법.
  42. 제40항에 있어서, 상기 이행(Do)은
    계획단계에서 정의되고 위임된 통제대책의 준수 및 통제행위의 기록을 포함하는 것을 특징으로 하는 정보기술 위험관리 방법.
  43. 제40항에 있어서, 상기 검토(Check)는
    검토, 평가, 분석, 측정, 보고 및 감사를 포함하는 것을 특징으로 하는 정보기술 위험관리 방법.
  44. 제40항에 있어서, 상기 개선(Act)은
    위험분석, 보고된 문제점에 대한 해결대안의 선택, 통제비용의 계산, 보증수준결정, 기회비용 계산 그리고 정책 및 프로세스 개선을 포함하는 것을 특징으로 하는 정보기술 위험관리 방법.
  45. 제38항에 있어서, 상기 통제요소 선택 단계는
    상기 통제 데이터베이스를 바탕으로 위험을 분석하여 위험도가 높은 취약점을 갖는 통제요소를 선택하는 것을 특징으로 하는 정보기술 위험관리 방법.
  46. 제38항에 있어서, 상기 위험처리 계획 수립단계는
    상기 통제 개선 유형을 단기/장기 및 긴급/통상으로 구분하여 작업관리를 위한 통제개선지시와 프로젝트성 통제개선지시를 분류하여 지원하는 단계를 더 포함하는 것을 특징으로 하는 정보기술 위험관리 방법.
  47. 제19항에 있어서, 상기 통제이행과정은
    통제요소에 대하여, 직접 소요인력, 프로젝트 비용을 포함하는 통제비용을 이용한 기회비용을 자동으로 산정하는 단계; 및
    기회비용이 높은 통제요소부터 통제를 실시할 수 있도록 의사결정을 지원하는 단계를 더 포함하는 것을 특징으로 하는 정보기술 위험관리 방법.
KR1020060046033A 2006-04-19 2006-05-23 정보기술 위험관리시스템 및 그 방법 KR100752677B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2007016797A JP2007287132A (ja) 2006-04-19 2007-01-26 情報技術危険管理システム及びその方法
JP2010211371A JP2011018361A (ja) 2006-04-19 2010-09-21 情報技術危機管理システム及びその方法
JP2010211370A JP2011018360A (ja) 2006-04-19 2010-09-21 情報技術危機管理システム及びその方法
JP2012228641A JP2013050969A (ja) 2006-04-19 2012-10-16 Itリスクマネジメントシステム及び該システムを使用したitリスクマネジメント方法

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020060035213 2006-04-19
KR20060035213 2006-04-19

Publications (1)

Publication Number Publication Date
KR100752677B1 true KR100752677B1 (ko) 2007-08-29

Family

ID=38615568

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060046033A KR100752677B1 (ko) 2006-04-19 2006-05-23 정보기술 위험관리시스템 및 그 방법

Country Status (2)

Country Link
JP (3) JP2011018361A (ko)
KR (1) KR100752677B1 (ko)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101008148B1 (ko) * 2008-02-15 2011-01-13 주식회사 포스코 정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법
KR101090759B1 (ko) 2009-05-21 2011-12-08 포이스트(주) Cmmi 기반 프로젝트 관리 방법
CN105207746A (zh) * 2015-10-08 2015-12-30 江苏天智互联科技股份有限公司 基于pdca模型的通信系统及其通信方法
KR20160011733A (ko) 2014-07-22 2016-02-02 주식회사지란지교에스앤씨 규정 관리 시스템 및 방법
KR101931525B1 (ko) 2018-05-02 2018-12-21 박정권 정보 보호를 위한 운영 관리 시스템
KR102055893B1 (ko) * 2017-07-19 2019-12-16 에스2정보 주식회사 보안감사 대응 시스템
KR102164203B1 (ko) 2020-04-03 2020-10-13 주식회사 이지시큐 정보보호 위험분석 자동화 시스템 및 그 동작 방법
WO2021015343A1 (ko) * 2019-07-24 2021-01-28 주식회사 마이트 정보 보호를 위한 운영 관리 시스템
KR102232883B1 (ko) 2020-09-29 2021-03-26 주식회사 이지시큐 정보보호 관리체계 인증을 위한 인공지능 시스템
KR102233695B1 (ko) 2020-09-29 2021-03-30 주식회사 이지시큐 정보보호 위험분석을 수행하는 정보통신 시스템
KR102233698B1 (ko) 2020-09-29 2021-03-30 주식회사 이지시큐 기밀성, 무결성, 가용성에 기반하여 정보보호 관련 위험등급을 설정하는 방법 및 그 시스템
KR102233694B1 (ko) 2020-09-29 2021-03-30 주식회사 이지시큐 비용절감 및 효과적인 인증관리를 제공하는 정보보호 시스템
WO2022050486A1 (ko) * 2020-09-02 2022-03-10 (주)시큐리티캠프 통제평가관리시스템

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ITMI20122255A1 (it) * 2012-12-28 2014-06-29 Eni Spa Metodo e sistema per la valutazione del rischio per la sicurezza di una installazione industriale
CN103699934B (zh) * 2013-12-06 2017-02-22 国家电网公司 电力系统安全稳定紧急控制指令未执行的补救方法
JP6392170B2 (ja) * 2015-05-26 2018-09-19 日本電信電話株式会社 脅威分析支援方法、脅威分析支援装置、及び脅威分析支援プログラム
CN104881992B (zh) * 2015-06-12 2017-06-16 天津大学 基于多智能体仿真的城市公共交通政策分析平台
KR101862919B1 (ko) * 2016-05-20 2018-07-05 에스케이 주식회사 It 서비스 구축 사업의 리스크 관리 방법 및 시스템
CN106168776B (zh) * 2016-06-17 2018-09-11 武汉龙净环保工程有限公司 烟气湿法脱硫超净排放自启停控制方法及系统
CN109165818B (zh) * 2018-08-02 2022-02-08 国网湖北省电力有限公司电力科学研究院 一种用于电气设备风险评估的负点计算方法
KR102351326B1 (ko) * 2019-06-25 2022-01-14 주식회사 지에이치소프트 통합 경영 시스템
KR102439817B1 (ko) * 2020-12-23 2022-09-02 사단법인 금융보안원 보안 취약점 관리 시스템과 방법 및 그 기록매체

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020066026A (ko) * 2001-02-08 2002-08-14 주식회사 아이앤아이오 기업 정보 통합 관리시스템 운영 체제 및 운영 방법
KR20040011858A (ko) * 2002-07-31 2004-02-11 컨설팅하우스 주식회사 실시간 정보보안 위험분석 시스템 및 그 방법
KR20040011863A (ko) * 2002-07-31 2004-02-11 컨설팅하우스 주식회사 실시간 정보보안 위험관리 시스템 및 그 방법
KR20050093196A (ko) * 2004-03-18 2005-09-23 한재호 정보자산에 대한 실시간 위험지수 산정 방법 및 시스템

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6912502B1 (en) * 1999-12-30 2005-06-28 Genworth Financial, Inc., System and method for compliance management

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020066026A (ko) * 2001-02-08 2002-08-14 주식회사 아이앤아이오 기업 정보 통합 관리시스템 운영 체제 및 운영 방법
KR20040011858A (ko) * 2002-07-31 2004-02-11 컨설팅하우스 주식회사 실시간 정보보안 위험분석 시스템 및 그 방법
KR20040011863A (ko) * 2002-07-31 2004-02-11 컨설팅하우스 주식회사 실시간 정보보안 위험관리 시스템 및 그 방법
KR20050093196A (ko) * 2004-03-18 2005-09-23 한재호 정보자산에 대한 실시간 위험지수 산정 방법 및 시스템

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101008148B1 (ko) * 2008-02-15 2011-01-13 주식회사 포스코 정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법
KR101090759B1 (ko) 2009-05-21 2011-12-08 포이스트(주) Cmmi 기반 프로젝트 관리 방법
KR20160011733A (ko) 2014-07-22 2016-02-02 주식회사지란지교에스앤씨 규정 관리 시스템 및 방법
CN105207746A (zh) * 2015-10-08 2015-12-30 江苏天智互联科技股份有限公司 基于pdca模型的通信系统及其通信方法
CN105207746B (zh) * 2015-10-08 2018-06-26 江苏天智互联科技股份有限公司 基于pdca模型的通信系统及其通信方法
KR102055893B1 (ko) * 2017-07-19 2019-12-16 에스2정보 주식회사 보안감사 대응 시스템
KR101931525B1 (ko) 2018-05-02 2018-12-21 박정권 정보 보호를 위한 운영 관리 시스템
WO2021015343A1 (ko) * 2019-07-24 2021-01-28 주식회사 마이트 정보 보호를 위한 운영 관리 시스템
KR102164203B1 (ko) 2020-04-03 2020-10-13 주식회사 이지시큐 정보보호 위험분석 자동화 시스템 및 그 동작 방법
WO2022050486A1 (ko) * 2020-09-02 2022-03-10 (주)시큐리티캠프 통제평가관리시스템
KR102232883B1 (ko) 2020-09-29 2021-03-26 주식회사 이지시큐 정보보호 관리체계 인증을 위한 인공지능 시스템
KR102233695B1 (ko) 2020-09-29 2021-03-30 주식회사 이지시큐 정보보호 위험분석을 수행하는 정보통신 시스템
KR102233698B1 (ko) 2020-09-29 2021-03-30 주식회사 이지시큐 기밀성, 무결성, 가용성에 기반하여 정보보호 관련 위험등급을 설정하는 방법 및 그 시스템
KR102233694B1 (ko) 2020-09-29 2021-03-30 주식회사 이지시큐 비용절감 및 효과적인 인증관리를 제공하는 정보보호 시스템

Also Published As

Publication number Publication date
JP2013050969A (ja) 2013-03-14
JP2011018361A (ja) 2011-01-27
JP2011018360A (ja) 2011-01-27

Similar Documents

Publication Publication Date Title
KR100752677B1 (ko) 정보기술 위험관리시스템 및 그 방법
US11748095B2 (en) Automation of task identification in a software lifecycle
KR100755000B1 (ko) 보안 위험 관리 시스템 및 방법
US11868489B2 (en) Method and system for enhancing data privacy of an industrial system or electric power system
US20100071028A1 (en) Governing Service Identification In A Service Oriented Architecture ('SOA') Governance Model
CN110020687A (zh) 基于操作人员态势感知画像的异常行为分析方法及装置
Dokuchaev et al. Analysis of Data Risk Management Methods for Personal Data Information Systems
WO2010031699A1 (en) Governing service identification in a service oriented architecture ('soa') governance model
CN109388949B (zh) 一种数据安全集中管控方法和系统
CN116846619A (zh) 一种自动化网络安全风险评估方法、系统及可读存储介质
JP2007287132A (ja) 情報技術危険管理システム及びその方法
KR100524649B1 (ko) 정보 자산의 위험 분석 시스템
KR100891345B1 (ko) 상이한 정보보호수준지표의 상호매핑을 지원하는 정보보호운영관리시스템 및 방법
Kelemen Systematic review on process mining and security
Wangen et al. A framework for estimating information security risk assessment method completeness: Core Unified Risk Framework
Rot Enterprise information technology security: risk management perspective
Kuzminykh et al. Information Security Risk Assessment. Encyclopedia 2021, 1, 602–617
CN116401714B (zh) 安全信息获取方法、装置、设备及介质
Lutsenko et al. Application of the Principle of Information Objects Description Formalization for the Design of Information Protection Systems
Osório Threat detection in SIEM considering risk assessment
Wang et al. Mining and predicting micro-process patterns of issue resolution for open source software projects
Tsakalakis et al. A taxonomy of explanations to support Explainability-by-Design
Kumar et al. Vulnerability Management of Open-Source Libraries
Secur A framework for estimating information security risk assessment method completeness
Riebe Values and Value Conflicts in the Context of OSINT Technologies for Cybersecurity Incident Response

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130215

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20131024

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20150109

Year of fee payment: 8

LAPS Lapse due to unpaid annual fee