KR100891345B1 - Information security managment system supporting inter-mapping between each different information security index and method thereof - Google Patents
Information security managment system supporting inter-mapping between each different information security index and method thereof Download PDFInfo
- Publication number
- KR100891345B1 KR100891345B1 KR1020080105454A KR20080105454A KR100891345B1 KR 100891345 B1 KR100891345 B1 KR 100891345B1 KR 1020080105454 A KR1020080105454 A KR 1020080105454A KR 20080105454 A KR20080105454 A KR 20080105454A KR 100891345 B1 KR100891345 B1 KR 100891345B1
- Authority
- KR
- South Korea
- Prior art keywords
- indicator
- information security
- mapping
- information
- index
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
Description
본 발명은 정보통신분야에서의 정보보호 수준을 평가할 수 있는 정보보호 수준지표의 연산기준으로 적용되는 다 수개의 정보보호 수준 지표중에서 사용자의 상황에 따라서 자신의 상황에 맞도록 각각의 항목을 선택하고, 다 수개의 정보보호 수준지표에서 추출 및 설정할 수 있는 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리시스템 및 그 방법에 관한 것이다. The present invention selects each item according to the user's situation from among a plurality of information protection level indicators which are applied as the calculation criteria of the information protection level indicators for evaluating the information security level in the information and communication field. The present invention relates to an information security operation management system and method that supports mutual mapping of different information security level indicators that can be extracted and set from multiple information security level indicators.
일반적으로 정보시스템에 대한 위험 관리는 정량적인 방법이나 정성적인 방법을 사용하는데 서로 다른 장단점을 가지고 있다. 정성적인방법은 평가자의 주관적인 관점이 많이 작용하며 평가 관점에 따라 많은 차이가 발생 할 수 있으며, 정량적인 방법은 자산을 식별하고 자산의 가치를 산정하는 작업이 쉽지 않다. 그리고 기존의 위험 관리 기법은 대부분 수기식으로 사용함에 따라 인력이 많이 소요되면서 상당한 시간을 소요함에도 불구하고 최적의 보호대책이 수립되었는지를 판단할 기준이 없다. 특히 정보통신 기반시설은 자산의 규모가 매우 크고 타시설과 연동을 하므로 자산 가치를 산정한다는 것이 매우 어려운 것이 사실이다.In general, risk management for information systems has different advantages and disadvantages in using quantitative or qualitative methods. In the qualitative method, the subjective view of the evaluator works a lot, and there can be a lot of differences depending on the evaluation point. And most of the existing risk management techniques are handwritten, so there is no criterion to determine whether the optimal protection measures have been established despite the considerable amount of time spent in manpower. In particular, it is very difficult to estimate asset value because information and communication infrastructure is very large and interlocks with other facilities.
현재의 위험 관리(분석) 프로세스는 단위 자산에 대한 식별 및 자산 가액을 계산하고 위협과 취약성을 분석한후 위험도를 계산하는 것이 주류를 이루고 있으며, 사실상의 표준 모델로 자리하고 있다. 그런데 이러한 위험관리에서의 평가활동들은, 자산 가액, 자산 수준, 위협 수준, 취약성 수준, 대책비용 산정에 있어 매우 주관적인 관점이 많이 작용하므로, 정보자산의 가치를 평가하는데 있어 그 신뢰성 한계를 갖고 있다.The current risk management (analysis) process is mainstream, identifying the unit assets, calculating their asset value, analyzing threats and vulnerabilities, and calculating their risk, becoming the de facto standard model. However, the evaluation activities in risk management have a very subjective point of view in estimating asset value, asset level, threat level, vulnerability level, and countermeasure cost, and therefore, have limited reliability in evaluating the value of information assets.
한편, 정보보호에 대한 기본 생각에 있어 경영자들은 비용 대비 효과를 요구하는 바, 보호대책을 세울 때와 세우지 않았을 때를 비교하여 얼마나 피해를 줄일 수 있느냐에 많은 관심을 갖고 있다.On the other hand, in the basic idea of information security, managers demand a cost-effective effect, and they are interested in how much damage can be reduced compared to when the protection measures are taken and not established.
또한, 기존의 보안 위험 관리 시스템은 1명의 평가책임자가 모든 결과를 정리하도록 되어 있다. 이에 따라, 다른 평가자들이 어떤 의견을 제시하였는지 알지 못하며, 여러 평가자의 의견이 무시되는 경향이 있다. 따라서, 평가자의 모두가 선택하고 결정할 수 있도록 하나의 위험 관리 엔진서버에서 각종 자료를 제공하고 평가 결과전체를 관리할 수 있도록 하는 방안이 요구된다. 이렇게 되면, 소수 평가에 대한 내용도 차후에 검토할 수 있게 되는 것이다. 또한, 정보통신 기반시설의 경우에는 한곳에 위치하고 있지 않고 여러 지역에 산재되어 있으므로, 평가자들이 한 곳에 모여서 의견을 개진할 수 없는 경우가 발생하여 전체적인 평가 결과를 수집하는데 한계가 있다.In addition, the existing security risk management system requires one evaluator to organize all the results. As a result, they do not know what the other evaluators have given, and the opinions of various evaluators tend to be ignored. Therefore, there is a need for a method of providing various data in one risk management engine server and managing the entire evaluation result so that all of the evaluators can select and decide. In this case, the contents of the minority evaluation can be reviewed later. In addition, in the case of information and communication infrastructure, it is not located in one place but is scattered in several regions. Therefore, evaluators may not be able to gather and express opinions in one place, and thus there is a limit in collecting the overall evaluation results.
아울러 종래에는 상기와 같은 위험 분석을 수행하는데 있어 기존 기술들은 다음과 같은 문제점을 가지고 있다. 첫째, 위험분석은 접근하는 방법에 따라 정성적인 방법과 정량적인 방법으로 나뉘게 되는데, 2개의 방법을 동시 에 처리하기에는 많은 인력과 비용이 소요되는 문제점이 있다.In addition, conventional techniques in performing the risk analysis as described above has the following problems. First, risk analysis is divided into qualitative and quantitative methods according to the approach, which requires a lot of manpower and cost to process both methods simultaneously.
둘째, 위험분석의 결과를 바탕으로 보호계획을 세우기 위해서는 정보보호 솔루션을 수립해야 하는데, 보호계획의 수립을 위한 수준지표가 제시되어야 한다. 그리고 정보의 위험관리를 위한 수준지표는 ISO27001이 있고, 국내 자체적으로는 국가정보원에 제시한 국가사이버안전메뉴얼 평시안전점검 체크리스트와 한국정보보호진흥원에서 인증하는 정보보호관리체계(정보보호관리체계(ISMS))라는 국내표준이 있다. 따라서 최적의 솔루션을 선택 또는 제작하기 위해서는 상기와 같은 표준중에서 어느 하나를 수준지표로 하여 위험지수를 산출하게 된다. 그러나 상술한 바와 같이 정보보호의 위험지수를 산출하기 위한 표준이 상기와 같이 국제표준과 국내표준으로 나뉘어 있으며, 이는 각 나라별, 기관별, 또는 사용자별로 서로 다른 표준에 의한 수준지표가 적용되고 있는 실정이다. Second, to establish a protection plan based on the results of risk analysis, an information security solution should be established, and level indicators for establishing a protection plan should be presented. Level indicators for risk management of information are ISO27001, and the national cyber safety manual checklist presented to the National Intelligence Service and the information security management system certified by the Korea Information Security Agency (Information Security Management System) There is a national standard called ISMS). Therefore, in order to select or manufacture the optimal solution, the risk index is calculated using any one of the above standards as the level indicator. However, as mentioned above, the standard for calculating the risk index of information protection is divided into the international standard and the domestic standard as described above. This is the fact that the level indicators by different standards are applied to each country, institution or user. to be.
또한 이와 같은 정보보호의 솔루션업체에서는 범용으로 적용가능한 정보보호 솔루션을 제공된 바 없어 사용자에 따라서 서로 다른 수준지표에 적합한 보안솔루션을 제공해야 되기 때문에 각 주문자별 생산에 의해 제작될 수 밖에 없어 제작비용 및 시간이 많이 소요되는 문제점이 있다. In addition, the solution provider of information security does not provide a universally applicable information security solution, and according to the user, it is necessary to provide a security solution suitable for different level indicators. There is a problem that takes a lot of time.
본 발명은 상기와 같은 종래의 문제점을 해결하고자 안출된 것으로서, 상세하게는 본 발명의 목적은 서로 다른 정보보호 수준지표를 데이타 베이스화하여 사용자의 상황에 따라서 서로 다른 정보보호 수준지표에서 자사의 상황에 맞는 수준지표만 맵핑하여 사용자의 정의에 의해서 구축된 사용자정의 정보보호 지표에 따른 정보보호 평가치를 산출할 수 있는 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리시스템 및 그 방법을 제공함에 있다. The present invention has been made to solve the above-mentioned conventional problems, and in detail, the object of the present invention is to make a database of different information security level indicators to the situation of the user in different information security level indicators according to the user's situation. The present invention provides an information security operation management system and method for supporting the mutual mapping of different information security level indicators, which can calculate information security evaluation values according to the user-defined information security indicators by mapping only the level indicators. .
또한 본 발명의 다른 목적은 자산, 취약점, 위협, 위험도를 종합하여 분석하는 위험도 분석결과와 적어도 하나 이상의 정보보호 지표들간의 세부적인 연관성을 분석하여 개별 지표간의 매핑방안을 제시하므로 국 내외 정보보호지표 및 개별조직의 지표를 동시에 적용하여 위험분석과정에서의 결과치를 각각의 지표별 평가치로서 출력할 수 있는 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리시스템 및 방법을 제공함에 있다. In addition, another object of the present invention is to analyze the detailed relationship between the risk analysis results and the at least one information security indicators by analyzing the assets, vulnerabilities, threats, risks, so as to propose a mapping plan between the individual indicators domestic and foreign information security indicators In addition, the present invention provides an information security operation management system and method that supports mutual mapping of different information security level indicators that can simultaneously apply the indicators of individual organizations and output the results of the risk analysis process as evaluation values for each indicator.
또한 본 발명의 또 다른 목적은 각 개별지표에 따른 평가결과를 동시에 적용 및 개별적으로 확인가능하도록 각 지표간의 평가결과에 대한 변환방법을 제공하므로서 상시적으로 정보보호 위험평가를 자체 수행가능하도록 하는 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리시스템 및 그 방법을 제공함에 있다. In addition, another object of the present invention is to provide a method of converting the evaluation results between each indicator so that the evaluation results according to each individual indicator can be simultaneously applied and individually identified. The present invention provides an information security operation management system and method for supporting information security level index mapping.
본 발명은 상기와 같은 목적을 달성하기 위하여 하기와 같은 실시예를 포함한다. The present invention includes the following examples in order to achieve the above object.
본 발명의 제1실시예에 따르면, 본 발명의 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리시스템에 있어서, 사용자 PC, 데이타베이스나 서버를 포함하는 네트워크시스템, 개별 정보보호시스템을 포함하는 정보자산그룹의 취약성, 위협, 위험도를 분석하는 위험분석부재와; 적어도 하나 이상의 정보 자산에 대하여 국제 또는 국내인증기관에 의하여 제시된 정보보호 수준지표와, 상기 국제 또는 국내 인증기관에 의하여 제시된 적어도 하나 이상의 정보보호 수준지표에서 선택적으로 매핑된 사용자 정의지표를 저장하는 지표관리부재와; 입력부를 통하여 인가되는 선택신호에 의해 상기 지표관리부재에 저장되는 국제 또는 국내인증기관에서 제시된 적어도 하나 이상의 정보보호 수준지표 간을 상호 매핑시켜 상기 사용자 정의지표를 생성하는 지표연산부재를 포함하는 것을 특징으로 한다. According to a first embodiment of the present invention, there is provided an information security operation management system supporting different information security level indicator intermapping of the present invention, including a user PC, a network system including a database or a server, and an individual information protection system. A risk analysis member for analyzing the vulnerability, threat, and risk of the information asset group in question; Indicator management for storing at least one information asset level indicator presented by an international or domestic certification authority and a user-defined indicator selectively mapped from at least one information security level indicator presented by the international or domestic certification body. Absence; And an indicator calculating member generating the user-defined indicators by mutually mapping at least one information protection level indicator presented by an international or domestic certification authority stored in the indicator managing member by a selection signal applied through an input unit. It is done.
본 발명의 제2실시예에 따르면, 제1실시예에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리시스템에 있어서, 상기 지표연산부재는 상기 입력부에서 출력되는 선택신호에 따라서 상기 지표관리부재에 저장되는 적어도 하나 이상의 인증기관의 정보보호 수준지표 항목에서 대, 중, 소로 분류하고, 상기 소분류의 공통항목을 추출하여 매핑시켜 사용자 정의지표를 생성하는 지표매핑부와; 상기 위험분석부재에서 산출되는 자산에 대한 취약점과, 위협도와 위험도에 대한 데이타를 상기 사용자 정의지표 또는 상기 정보보호 수준지표중 어느 하나의 항목에 근거하여 위험지수를 일정수치로 표현하는 정보보호의 평가치를 디스플레이에 출력하는 지표결과출력부를 포함한다. According to a second embodiment of the present invention, in the information protection operation management system supporting mutual information protection level indicator mutual mapping according to the first embodiment, the indicator operating member is the indicator according to the selection signal output from the input unit. An index mapping unit for classifying the information protection level indicator items of at least one certification authority stored in the management member into large, medium, and small, and extracting and mapping common items of the small classification to generate user-defined indicators; Evaluation of information protection expressing the risk index as a certain value based on any one of the user-defined indicator or the information protection level indicator, and the vulnerability of the asset calculated by the risk analysis member and the data on the threat and the risk level. Indicator output unit for outputting the value to the display.
본 발명의 제3실시예에 따르면, 제2실시예에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리시스템에 있어서, 상기 지표관리부재는 국제규격의 정보보호 수준지표를 저장하는 국제규격지표DB와; 사용자의 선택에 의해 설정되는 국내의 공인기관에서 제안한 국내의 정보보호 수준지표가 적어도 하나 이상이 저장되는 적어도 하나 이상의 선택지표DB와; 상기 지표매핑부에서 상기 국제규격지표DB와 상기 선택지표DB에 저장된 정보보호 수준지표의 항목에 매핑되어 생성되는 사용자정의지표가 저장되는 사용자정의지표DB를 포함한다. According to a third embodiment of the present invention, in an information security operation management system supporting mutual information protection level indicator mutual mapping according to the second embodiment, the indicator management member is an international standard for storing information protection level indicators of international standards. Standard indicator DB; At least one selection indicator database in which at least one domestic information protection level indicator stored by a domestic accredited institution set by a user is stored; The index mapping unit includes a user-defined indicator DB that stores a user-defined indicator generated by mapping to the items of the information protection level indicator stored in the international standard indicator DB and the selection indicator DB.
본 발명의 제4실시예에 따르면, 제3실시예에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리시스템에 있어서, 상기 적어도 하나 이상의 선택지표DB는 사용자가 사내에서 자체적으로 규정한 사내수준지표가 포함되는 것을 특징으로 한다. According to a fourth embodiment of the present invention, in an information security operation management system supporting different information security level index mapping according to the third embodiment, the at least one selection indicator DB is defined by the user in-house. In-house level indicators are included.
본 발명의 제5실시예에 따르면, 제3실시예에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리시스템에 있어서, 상기 공인기관에서 제안한 정보보호 수준지표는 국가정보원의 사이버안전메뉴얼과, 한국정보보호진흥원의 정보보호관리체계(ISMS)를 포함하는 것을 특징으로 한다. According to a fifth embodiment of the present invention, in the information security operation management system supporting the mutual information mapping of different information protection level indicators according to the third embodiment, the information protection level indicator proposed by the authorized agency is the cyber security manual of the National Intelligence Service. And the Korea Information Security Agency's Information Security Management System (ISMS).
본 발명의 제6실시예에 따르면, 제3실시예에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리시스템에 있어서, 상기 국제규격의 정보보호 수준지표는 ISO27001 수준지표인 것을 특징으로 한다. According to a sixth embodiment of the present invention, in the information security operation management system supporting the mutual information mapping of different information security level indicators according to the third embodiment, the information security level indicator of the international standard is characterized in that the ISO27001 level indicator. do.
본 발명의 제7실시예에 따르면, 본 발명의 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리방법에 있어서, 자산으로 정의된 자산의 각 구성요소간에 취약성, 위협을 통하여 위험도를 계산하는 위험분석부재의 위험분석결과발생단계와; 설정된 정보보호 수준지표를 맵핑하여 사용자 정의지표를 설정하는 지표연산부재의 지표정의 단계와; 상기 위험도의 분석결과와 상기 지표 정의단계에서 설정된 상기 사용자 정의지표를 연결하여 정보보호의 평가결과를 일정 수치로서 연산하는 지표연산부재의 지표연산단계와; 상기 지표연산단계에서 연산된 정보보호 평가치를 출력하는 지표연산부재의 평가출력단계를 포함한다. According to a seventh embodiment of the present invention, in the information security operation management method that supports the mutual information mapping of different information security level indicators of the present invention, the risk is calculated through vulnerabilities and threats between each component of the asset defined as the asset. Generating a risk analysis result of the risk analysis member; An index definition step of the index calculation member for mapping the set information protection level index to set the user-defined index; An indicator calculation step of an indicator calculation member for linking the analysis result of the risk level with the user-defined indicator set in the indicator definition step to calculate an evaluation result of information protection as a predetermined value; And an evaluation output step of the indicator operation member for outputting the information protection evaluation value calculated in the indicator operation step.
본 발명의 제8실시예에 따르면, 제7실시예에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리방법에 있어서, 상기 지표연산부재의 지표정의단계는 입력부에서 선택된 신호에 따라서 사용자가 선택한 국제규격지표 또는 제1선택지표, 제2선택지표중에서 적어도 어느 하나 이상의 정보보호 평가를 위한 수준지표를 입력 및 등록하는 개별 정보보호 지표등록단계와; 상기 지표등록단계에서 등록된 수준지표간의 분류기준을 설정하여 매핑항목을 입력하는 매핑항목입력단계와; 상기 매핑항목 입력단계에서 입력된 분류기준에 따라서 서로 다른 정보보호 수준지표 간의 매핑관계를 설정하는 매핑관계설정단계와; 상기 매핑관계설정단계이후에 각 정보보호 수준지표간의 매핑관계 설정항목에서 연결테이블을 생성시켜 정보보호 수준지표들 간의 결과를 변환시키는 연결테이블생성단계를 포함한다. According to the eighth embodiment of the present invention, in the information security operation management method which supports the mutual information mapping of different information security level indicators according to the seventh embodiment, the index definition step of the index calculation member is performed according to a signal selected by the input unit. An individual information protection indicator registration step of inputting and registering at least one level indicator for evaluation of information protection from among the selected international standard indicators, the first selection indicator, or the second selection indicator; A mapping item input step of inputting a mapping item by setting a classification criterion between level indicators registered in the indicator registration step; A mapping relationship setting step of setting a mapping relationship between different information protection level indicators according to the classification criteria input in the mapping item input step; And a linking table generation step of converting a result between the information protection level indicators by generating a connection table in the mapping relationship setting item between the information protection level indicators after the mapping relationship setting step.
본 발명의 제9실시예에 따르면, 제8실시예에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리방법에 있어서, 상기 지표등록단계는 ISO27001, 한국정보보진흥원의 정보보호관리체계(ISMS), 국가정보원의 사이버정보메뉴얼중에서 적어도 어느 하나 이상을 포함하는 것을 특징으로 한다.According to a ninth embodiment of the present invention, in the information security operation management method supporting mutual information protection level index mapping according to the eighth embodiment, the indicator registration step is ISO27001, the information security management system of the Korea Information Security Agency. (ISMS), at least one or more of the cyber information manual of the National Intelligence Service.
본 발명의 제10실시예에 따르면, 제8실시예에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리방법에 있어서, 상기 지표등록단계는 사내에서 자체적으로 규정한 사내수준지표가 포함되는 것을 특징으로 한다. According to a tenth embodiment of the present invention, in the information security operation management method which supports the mutual information mapping of different information security level indicators according to the eighth embodiment, the indicator registration step includes an in-house level indicator defined by the company itself. It is characterized by.
본 발명의 제11실시예에 따르면, 제10실시예에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리방법에 있어서, 상기 매핑관계설정단계는 상기 입력부로부터 임의 선택된 선택신호에 의해서 상기 국제규격의 정보보호 수준지표 또는 국내규격의 정보보호 수준지표 중 선택된 하나 이상의 정보보호 수준지표의 소분류 항목에서 상기 사용자 정의지표의 소분류 항목으로 맵핑설정하는 것을 특징으로 한다. According to an eleventh embodiment of the present invention, in the information security operation management method which supports the mutual information mapping of different information protection level indicators according to the tenth embodiment, the mapping relationship setting step is performed by a selection signal selected arbitrarily from the input unit. Characterized in that the mapping is set from the small category of the at least one information security level indicator selected from the international standard information security level indicators or domestic standard information security level indicators.
본 발명의 제12실시예에 따르면, 제11실시예에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리방법에 있어서, 상기 연결테이블생성단계는, 상기 연결테이블생성단계는, 상기 사용자 정의지표에서 소분류로서 분류된 항목과 상기 국제규격의 정보보호 수준지표와 국내규격의 정보보호 수준지표에서 하나 이상의 항목과 서로 연결관계가 설정되도록 템플릿하는 것을 특징으로 한다. According to a twelfth embodiment of the present invention, in the information security operation management method which supports different information security level indicator mutual mapping according to the eleventh embodiment, the connection table generation step, the connection table generation step, the user A template classified as a sub-category in the definition index and the information security level indicator of the international standard and the information security level indicator of the domestic standard may be configured such that a connection relationship is established with each other.
본 발명의 제13실시예에 따르면, 제12실시예에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리방법에 있어서, 상기 지표연산단계는 상기 위험분석부재의 위험분석결과발생단계에서 출력된 위험도의 분석결과에 포함된 각각의 항목을 사용자 정의지표 또는 상기 지표등록단계에서 등록되는 공인인증기관의 정보보호 수준지표 중에서 선택된 어느 하나의 정보보호 수준지표에 의거한 정보보호 평가결과를 산출하는 것을 특징으로 한다. According to a thirteenth embodiment of the present invention, in the information security operation management method which supports the mutual information mapping of different information security level indicators according to the twelfth embodiment, the index calculation step is performed in a risk analysis result generation step of the risk analysis member. Calculate the information security evaluation result based on any one of the information security level indicators selected from the user-defined indicators or the information security level indicators of the accredited certification authority registered in the step of registering the indicators. Characterized in that.
따라서 본 발명은 서로 다른 정보보호 수준지표를 데이타베이스화하여 사용자의 상황에 따라서 서로 다른 정보보호 수준지표에서 자사의 상황에 맞는 수준지표만을 맵핑하여 서로 다른 위험관리 및 정보보호의 평가기준을 선택적으로 설정하므로 사용자의 상황이나 필요에 따라서 정의할 수 있는 정보보호의 수준지표를 연산할 수 있으므로 서로 다른 정보보호 수준지표를 하나의 솔루션을 통해 모두 적용가능한 효과가 있다. Accordingly, the present invention selectively sets the evaluation criteria for different risk management and information protection by mapping only the level indicators suitable for its situation from the different information protection level indicators according to the user's situation by making a database of different information security level indicators. Therefore, it is possible to calculate the level of information security that can be defined according to the user's situation or needs, so that different information security level indicators can be applied through one solution.
또한 본 발명은 자산, 취약점, 위협, 대책 기술을 결합한 하위수준의 위험분석과정과 정보보호 수준지표로서 위험을 분석하는 상위수준의 위험분석과정을 기술적으로 결합시킨 종합적인 정보통신 분야의 정보보안 위험관리시스템에서 각종 정보보호 수준지표들간의 세부적인 연관성을 분석하여 개별지표간의 매핑방안을 제시하여 국 내외 정보보호 수준지표 및 개별조직의 수준지표간 변환방법을 제공하므로서 상시적으로 정보보호 위험평가를 자체 수행가능하여 사용자의 경비절감 및 자체 상황에 맞는 위험관리의 수준지표를 세울수 있는 효과가 있다. In addition, the present invention provides a comprehensive information security risk in the field of information and communication, which combines a low-level risk analysis process that combines asset, vulnerability, threat, and countermeasure technologies and a high-level risk analysis process that analyzes risk as an information security level indicator. The management system analyzes the detailed relationships among various information security level indicators and suggests mapping methods between individual indicators to provide a method for converting between domestic and international information security level indicators and individual organization level indicators. As it can be carried out by itself, it is possible to set up the level indicator of risk management according to the user's expense reduction and its own situation.
이하에서는 본 발명에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리시스템 및 그 방법에 대한 바람직한 실시예를 첨부된 도면을 참조하여 상세히 설명한다. Hereinafter, with reference to the accompanying drawings, a preferred embodiment of an information security operation management system and method for supporting different information security level indicator intermapping according to the present invention will be described in detail.
도 1은 본 발명에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리시스템을 도시한 블럭도이다. 1 is a block diagram showing an information security operation management system that supports different information security level indicator intermapping according to the present invention.
도 1을 참조하면, 본 발명에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리시스템은 사내의 정보보호의 유출이나 손실에 대한 위험을 분석하는 위험분석부재(20)와, 정보분야의 위험지표의 산정을 위해 설정된 정보보호 수준지표중의 국제규격지표나 국내지표가 저장되는 지표관리부재(40)와, 상기 지표관리부재(40)에서 저장되는 각 수준지표의 항목에서 사용자가 선택적으로 분류하는 각 항목을 매핑시켜 사용자 정의지표를 생성하여 위험분석데이타와 비교하여 상기 위험관리지표를 연산하는 지표연산부재(30)와, 데이타의 입력 및 각종 명령어를 출력하는 입력부(10)와, 각각의 평가 결과를 화면에 출력하는 디스플레이(50)를 포함한다. Referring to FIG. 1, the information security operation management system supporting the mutual information protection level indexing mapping according to the present invention includes a
상기 위험분석부재(20)는 사내의 정보자산, 예를들면, 사용자 PC, 데이타베이스나 서버를 포함하는 네트워크시스템, 개별 정보보호시스템과 같은 유형, 무형의 정보자산을 평가 및 관리하는 자산관리부(21)와, 사내의 네트워크나 출입통제시스템과 같은 사내 보안시스템과 연구소와 각 부서별 출입시의 문서유출과 같은 사내의 취약점을 관리하는 취약점관리부(22)와, 사내에 위협이 되는 인위적인 테러나 자연재해에 따른 위협을 분석하는 위협관리부(23)와, 사고나 인위적인 공격에 의한 위험발생 사태를 분석하는 위험분석부(24)를 포함한다. The
상기 취약점관리부(22)는 위협에 대하여 구분 또는 자산에 대한 취약성을 분석한 데이타를 제공하며, 취약성은 진단도구 및 스캐너를 통하여 불필요한 서비스 및 접근 경로 등을 확인하고 취약성을 노출부분으로 상중하로 구분하여 나누며, 발견된 취약성을 바탕으로 모의 침투 시험을 해서 침투 가능성을 역시 상중하로 구분한다.The
상기 위험분석부(24)는 정보시스템의 위험도를 계산하하며, 상기 위험도 계산은 자산에 대한 위협과 자산에 대한 취약성을 토대로 계산하게 되며 모두 더한 결과 값을 위험도로 정한다. 여기서 바람직하게로는 상기 자연수 또는 위험도 별로 다 수개의 등급으로 분류되어 연산되며, 이를 위한 알고리즘은 이미 공지된 기술임에 따라 그 상세한 설명은 생략한다. 이와 같이 상기 위험분석부(24)는 상기 자산관리부(21)에 등록된 자산과 상기 자산에 대한 위협과 취약성을 토대로 위험도를 계산하여 그 결과를 산출한다. The
상기 위협관리부(23)는 바이러스, 웜, 해킹, 비의도적인 행위에 의한 피해가 발생될 수 있는 상황을 산정하여 각각의 항목마다 세부 항목을 선정하며 위협목록을 정의하여 제공한다. 이를 위하여 상기 위협관리부(23)는 여러 항목들을 구성하여 목록을 만들고 해당 자산에 대하여 위협목록을 선별하여 제공하도록 한다. 이는 많은 위협 목록들이 개개 자산에 대하여 전부 보여 지는 경우 평가자에게 혼란을 제공하기 때문이다. 예를 들어, 윈도우즈 시스템인 경우에는 윈도우즈와 관련된 위협만을 나타내는 것으로 보여준다. 해당 자산에 대한 위협이 선정되면 역시 5등급으로 구분하여 위협수준을 산정한다.The
상기 자산관리부(21)는 정보자산을 가지고 있는 매체의 수준을 가지고 평가하여 그 정보를 제공한다. 여기서 자산정보를 설명하자면,예를들면, 중요한 정보인 경우에는 성능 좋은 시스템에 저장관리하며 송수신시에 고속의 네트워크 시스템을 사용할 것이다. 낮은 등급의 정보인 경우에는 종이나 디스켓 등에 저장하면서 일부 서랍장 등에 보관할 것이다. 따라서, 상기 자산관리부(21)는 매체의 수준을 평가하 고 이에 대한 등급을 매기게 되므로 매체에 대한 상기 위협관리부(23) 및 취약점관리부(22)에서 위협 및 취약성을 분석함으로써 매체에 대한 정보보호 솔루션을 쉽게 구현하게 된다. The
여기서 매체라 함은 종이, 금고, 하드웨어등 사람들이 눈으로 보고 읽을 수 있는 장치를 의미하며, 전송에 따른 우편, 전화, 인터넷 등도 포함된다. 상기 자산관리부(21)는 이러한 주요정보를 관리하는 매체에 대하여 기밀성, 무결성, 가용성으로 구분하여 등급을 각각 나누고 결정한다. 이때, 상기 자산관리부(21)는 입력부(10)를 통하여 등급을 산정하는데 있어 필요한 기초자료들을 제공받는다. Here, the medium refers to a device that people can see and read, such as paper, safes, and hardware, and includes mail, telephone, and the Internet according to transmission. The
이와 같은 정보자산은 보안 위험 관리 시스템을 통하여 정보통신 기반시설에 대한 안전성을 확보하고 시설을 관리하는 관리자 및 운영자에게 일정한 규칙과 절차를 제공하게 됨으로써 해당기관과의 비교가 가능해지게 된다. 이를 위해서는 상기와 같은 위험도 및 안전성을 평가하기 위하여는 각 정보보안의 위험지수를 산출하여 그 결과를 정보보호 표준규격(정보보호 수준지표)에 의거하여 평가한다. 따라서 본 발명은 상기 지표관리부재(40)에 저장되는 국내외의 공인인증기관의 정보보호의 수준지표에 해당되는 국제규격지표와 국내규격지표에서 설정된 항목별 지수를 통해 정보보호 평가치를 산출하게 된다. 여기서 본 발명은 지표관리부재(40)를 통하여 종래와 달리 서로 다른 적어도 하나 이상의 수준지표를 저장하고 있으며 이를 통해 사용자의 상황에 맞는 사용자 정의 수준지표를 설정하고 이를 통해 정보보호의 위험도 및 안정성을 평가할 수 잇는 위험지수의 산출이 가능하다. 이에 대한 설명은 하기의 지표관리부재(40)와 지표연산부재(30)의 설명에서 개시된다. Such information assets can be compared with the relevant institutions by providing certain rules and procedures to the managers and operators who secure the safety of the information and communication infrastructure and manage the facilities through the security risk management system. To this end, in order to evaluate the risk and safety as described above, the risk index of each information security is calculated and the result is evaluated based on the information security standard specification (information protection level indicator). Therefore, the present invention is to calculate the information protection evaluation value through the index of the item set in the international standard indicators and domestic standard indicators corresponding to the level of information protection of domestic and international authorized certification authority stored in the indicator management member (40). Here, the present invention stores at least one or more different level indicators different from the prior art through the
상기 지표관리부재(40)는 국제규격의 정보보호 수준지표(이하 국제규격지표라 함)가 저장되는 국제규격지표DB(42)와, 국내규격의 정보보호 수준지표(이하 국내지표라 함)중에서 사용자가 설정한 제1선택지표가 저장되는 제1선택지표DB(43)와, 상기 국내지표 중에서 사용자가 설정한 제2선택지표가 저장되는 제2선택지표DB(44)와, 상기 국제규격지표와 제1선택지표와 제2선택지표를 매핑하여 사용자의 상황에 따라 설정하는 사용자 정의지표가 저장되는 사용자정의지표DB(41)를 포함한다. The
상기 국제규격지표DB(42)는 정보보호의 국제표준을 정한 정보보호 수준지표로서 ISO27001이 이에 해당된다. 상기 국제규격지표DB(42)는 위와 같은 국제규격지표외에 사용자의 상황이나 설정에 따라서 국내지표, 예를들면, 한국정보보호진흥원의 정보보호관리체계(ISMS), 국가정보원이 제안한 사이버 안전메뉴얼이 대체될 수 있다. The international
상기 제1선택지표DB(43)와 제2선택지표DB(44)는 사용자가 국내의 정보보호 수준지표중에서 어느 하나를 저장하게 되며, 예를들면, 상기 한국 정보보호 진흥원이나 국가정보원에서 제안한 정보보호 수준지표중 어느 하나가 바람직하나 이외에도 타국에서 제안되는 정보보호 수준지표를 설정함도 가능하며 이는 사용자의 선택에 의해 변경될 수 있다. The first
여기서 예를들면, 상기 제1선택지표DB(43)와 제2선택지표DB(44)는 상기에서 언급된 사이버안전메뉴얼이나 정보보호관리체계(ISMS)외에 추가로 기업체에서 규정한 사내의 정보보호 관리에 관한 수준지표를 저장함도 가능하며, 이를 위해서는 제3선택지표DB(도시되지 않음)를 증설함 역시 사용자 또는 설계자의 의도에 의해서 응용됨도 가능하다. Here, for example, the first
상기 사용자정의지표DB(41)는 상기 지표연산부재(30)의 제어에 의하여 상기 국제규격지표DB(42)와 제1선택지표DB(43)와 제2선택지표DB(44)에 각각 저장된 정보보호 수준지표에 포함된 항목을 매핑하여 사용자의 상황에 맞는 항목을 각각 매핑시켜 사용자가 각각의 상황에 따라서 객관적인 정보보호 수준지표를 수치로서 산출할 수 있도록 정의된 사용자가 설정한 정보보호 수준지표가 저장된다. The user-defined
여기서 상기 사용자 정의지표는, 예를들면, ISO27001과 정보보호관리체계(ISMS), 사이버매뉴얼중에 포함된 각각의 정보보호 항목을 대, 중, 소 항목으로 분류하고, 각각의 대분류와 중분류, 소분류에 따라서 사용자의 선택에 따라 매핑시키므로 서로 다른 정보보호 수준지표가 사용자의 설정에 따라 분류된 항목으로 출력되어 상기 위험분석부(24)에서 출력된 데이타와 비교되어 위험지수를 수치적으로 산출할 수 있는 근거로서 사용된다. 여기서 상기 사용자정의지표는 위에 언급된 수준지표외에 기업체에서 자체적으로 규정한 사내의 정보보호 수준지표를 포함하여 맵핑됨은 당연하다. In this case, the user-defined indicator is classified into large, medium, and small categories of information protection items included in, for example, ISO27001, Information Security Management System (ISMS), and cyber manual. Therefore, since it is mapped according to the user's selection, different information protection level indicators are output as items classified according to the user's setting, and the risk index can be numerically calculated by comparing with the data output from the
상기 지표연산부재(30)는 상기 국제규격지표DB(42)와 상기 제1선택지표DB(43) 및 제2선택지표DB(44)에 저장된 각각의 정보보호 수준지표를 상기 입력부(10)의 선택신호에 따라서 매핑시켜 상기 사용자정의지표DB(41)에 저장하는 지표매핑부(31)와, 상기 지표매핑부(31)에서 매핑된 사용자정의 지표 또는 상기 입력부(10)에서 입력되는 선택신호에 따라서 상기 국제규격지표DB(42)와 상기 제1선택지표DB(43) 및 제2선택지표DB(44)에 각각 저장된 지표중 어느 하나의 지표 항목을 기준으로 하여 상기 위험분석부(24)에서 분석된 데이타를 비교하여 정보보호 평가치를 산출하는 지표결과출력부(32)를 포함한다. The
상기 지표매핑부(31)는 상기 입력부(10)에서 출력되는 선택신호에 따라서 상기 국제규격지표DB(42)와 제1선택지표DB(43)와 제2선택지표DB(44)에 저장된 각각의 지표항목중에서 대, 중, 소로 분류하고, 각각의 분류에 따라서 상기 각 지표중에 포함된 항목을 선택하여 매핑시키므로 상기 사용자정의지표를 산출하여 상기 사용자정의지표DB(41)에 저장한다. 이와 같은 지표간의 매핑설명은 하기의 도 4 내지 도 10을 통해 후술한다. The
상기 지표결과 출력부(32)는 상기 위험분석부(24)에서 산출되는 자산에 대한 취약점과, 위협도와 위험도에 대한 데이타를 상기 사용자정의지표 또는 상기 규격지표중 어느 하나의 항목에 근거하여 정보보호의 평가치를 일정수치로 표현하는 정보보호 평가결과를 산출하여 그 결과를 상기 디스플레이(50)에 출력한다. The indicator
본 발명은 상기와 같은 구성을 포함하고 있으며, 이와 같은 각각의 구성을 이용하여 본 발명에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리방법을 하기에서 상세히 설명한다. The present invention includes the above-described configuration, and the information security operation management method for supporting the different information protection level indicator inter-mapping according to the present invention using each of these configurations will be described in detail below.
도 2는 본 발명에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리방법을 도시한 순서도이다. 2 is a flowchart illustrating an information security operation management method that supports different information security level index intermapping according to the present invention.
도 2를 참조하면, 자산으로 정의된 자산의 각 구성요소간에 취약성, 위협을 통하여 위험도를 계산하는 위험분석부재(20)의 위험분석결과발생단계(S10)와, 설정된 정보보호의 정보보호 수준지표를 맵핑하여 사용자 정의 정보보호 지표를 설정하는 지표연산부재(30)의 지표정의 단계(S20)와, 상기 위험도의 분석결과와 상기 지표 정의단계에서 설정된 지표를 연결하여 정보보호의 평가결과를 일정 수치로서 연산하는 지표연산부재(30)의 지표연산단계(S30)와, 상기 지표연산단계에서 연산된 정보보호 평가치를 출력하는 지표연산부재(30)의 평가출력단계(S40)를 포함한다. Referring to FIG. 2, a risk analysis result generation step (S10) of a
여기서 상기 위험분석결과발생단계(S10)는 상기 위험분석부재(20)에서 상기 자산관리부(21)에서 등록된 자산에 대한 취약점, 위협, 위험결과를 연계하여 자산의 위험도를 분석하여 그 결과를 출력하는 단계이다. Here, the risk analysis result generation step (S10) in the
여기서 상기 자산관리부(21)는, 예를들어, 정보를 저장하는 매체로서 서버, PC, 네트워크 장비 등 하드웨어, OS 및 기본 서비스와, 상기 매체의 운영프로그램 및 어플리케이션과, 상기 매체에 저장되는 데이터를 자산으로 등록시킨다. 그리고, 상기 취약점관리부(22)와 위협관리부(23)와 위험분석부(24)는 위와 같은 자산의 중요도(Criticality)를 기밀성, 무결성, 가용성 요소로 값을 표현하고, 데이터의 민감도(Sensitivity)는 기밀성 값을 계산할 때 반영하여 각각의 위협, 취약성, 위험도를 산출한다. 예를들면, 상기 위협관리부(23)는 위협원이 인간(해커, 사용자, 개발자, 시스템관리자)일 경우와 자연재해, 고장과 같은 인간이 아닌 다른 천재지변이나 환경에 의한 경우로 분류하여 각각의 등급 또는 일정수치로서 그 정도를 산출한다. Here, the
상기 취약점관리부(12)는 "자산별 위협이 실현될 수 있는 시스템상의 성질”라 정의하였고, 취약성 수준은 “자산별 위협이 실현될 수 있는 정도”라 정의하여 상기 자산관리부(21)에서 등록 자산에 대한 취약성을 일정 수치로 표현하였으며 그 기준이나 방법은 동업종에 종사하는 업자의 경우라면 공지된 기술로서 실행가능하 다. The vulnerability management unit 12 is defined as "the nature of the system that can realize the threat of each asset", the vulnerability level is defined as "the degree to which the threat of each asset can be realized" to the asset registered in the
상기 위험분석부(24)는 상기의 취약성, 위협의 분석된 결과를 바탕으로 전체 정보통신 기반시설에 대한 위험지수를 계산한다. 이와 같은 위험분석은 한번에 끝나는 것이 아니고 수시로 변하는 자산, 위협, 취약성의 변화에 따라 적시에 분석이 이루어지며, 위와 같은 위험도는 일정수치로 표현되어 출력된다. The
상기 지표연산부재(30)의 지표정의단계(S20)는 도 3을 참조하여 설명한다. The index defining step S20 of the
도 3은 본 발명에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리방법에서 지표연산부재의 지표정의단계를 도시한 순서도이다. FIG. 3 is a flowchart illustrating an index definition step of an index calculation member in an information security operation management method supporting mutual information protection level index intermapping according to the present invention.
도 3을 참조하면, 상기 지표연산부재(30)의 지표정의단계(S20)는 상기 지표연산부재(30)에서 상기 지표매핑부(31)를 구동시켜 상기 입력부(10)에서 선택된 신호에 따라서 상기 지표관리부재(40)에 사용자가 선택한 국제규격지표DB(42) 또는 제1선택지표DB(43), 제2선택지표DB(44)에 적어도 어느 하나 이상의 정보보호 평가를 위한 수준지표를 입력 및 등록하는 개별 정보보호 지표등록단계(S21)와, 상기 지표등록단계(S21)에서 등록된 지표간의 분류기준을 설정하여 매핑항목을 입력하는 매핑항목입력단계(S22)와, 상기 매핑항목 입력단계(S22)에서 입력된 분류기준에 따라서 서로 다른 정보보호 지표간의 매핑하는관계를 설정하는 매핑관계설정단계(S23)와, 각 지표간의 매핑관계 설정항목에서 연결테이블을 생성시켜 정보보호 숫준지표들간의 결과를 변환시키는 연결테이블생성단계(S24)를 포함한다. Referring to FIG. 3, the index defining step S20 of the
상기 지표등록단계(S21)는 상기 지표연산부재(30)에서 상기 입력부(10)에서 인가되는 입력신호에 따라서 상기 지표관리부재(40)에 정보보호개별지표를 저장 및 등록하는 단계이다. 즉, 사용자는 상기 입력부(10)를 통하여 상기 지표관리부재(40)에 상기 국제규격지표DB(42)와 제1선택지표DB(43), 제2선택지표DB(44)에 저장되는 수준지표의 선택 및 등록신호를 입력하면, 상기 지표관리부재(40)는 각각의 정보보호 지표DB(42, 43, 44)에 등록정보를 생성한다. 따라서 상기 지표관리부재(40)는 상기 입력부(10)의 선택 및 등록요청신호에 따라서 상기 국제규격지표DB(42)와 제1선택지표DB(43)와 제2선택지표DB(44)를 상기 지표관리부재(40)에 생성하고, 상기 입력부(10)를 통해 인가되는 각각의 지표를 저장한다. The indicator registration step (S21) is a step of storing and registering the individual information protection indicator in the
여기서 상기 국제규격지표DB(42)는, 예를들면, ISO27001(도 6참조), 제1선택지표DB(43)는 한국정보보진흥원의 정보보호관리체계(ISMS)(도 5참조), 제2선택지표DB(44)는 국가정보원의 사이버정보메뉴얼(도 4참조)을 각각 저장하였다. 아울러 상기 제1선택지표DB(43)와, 상기 제2선택지표DB(44)외에 추가로 다른 수준지표를 적용함도 가능하다. 예를들면, 사내의 정보보호 수준지표를 제3선택지표DB(도시되지 않음)에 등록시켜 후술되는 각각의 단계를 진행함도 본 발명의 응용예에 해당된다. Wherein the international
도 4는 국가정보원의 사이버정보메뉴얼을 도시한 것으로서 9개의 대분류에 253개의 세부점검항목으로 구성된다. 또한 상기 도 5의 한국정보보호 진흥원의 정보보호관리체계(ISMS)는 15개의 대분류와 300개가 넘는 세부점검항목으로 구성되며, 상기 도 6의 국제규격지표 ISO27001는 11개 대분류와 133개 소분류로 구성되 된다. 상기의 도 4 내지 도 6은 각각의 정보보호 수준지표의 일부를 도시한 것이며, 본 발명은 본 명세서에 언급된 정보보호 수준지표만을 적용하는 것이 아닌 타 국가 또는 타 기관의 정보보호 수준지표에도 모두 적용가능한 것으로 위에 기재된 지표는 발명의 이해를 위해 일예로서 설명하였다. 4 shows the cyber information manual of the National Intelligence Service, which consists of 253 detailed check items in nine major categories. In addition, the Information Security Management System (ISMS) of the Korea Information Security Agency of FIG. 5 is composed of 15 major categories and more than 300 detailed check items, and the international standard indicator ISO27001 of FIG. 6 is composed of 11 major categories and 133 small categories. Become. 4 to 6 illustrate a part of each level of information protection level, and the present invention is not only applicable to the level of information protection level mentioned in the present specification but also to information protection level indexes of other countries or other organizations. The indicators described above as applicable have been described as examples for the understanding of the invention.
상기 매핑항목입력단계(S22)는 상기 지표매핑부(31)에서 상기 입력부(10)의 선택신호에 따라서 상기 국제규격지표DB(42)와 상기 제1선택지표DB(43) 및 제2선택지표DB(44)에 저장된 각각의 지표항목중에서 매핑항목을 설정하도록 입력하는 단계이다. 여기서 상기 지표매핑부(31)는 매핑항목을 대분류와 중분류와 소분류로 분류하고, 각 지표간의 소분류중에서 공통항목을 선택하여 하기의 매핑관계를 설정한다. 즉, 상기 지표매핑부(31)는 도 4 내지 도 6에 도시된 바와 같이 각각의 정보보호 수준지표의 경우에는 서로 다른 대분류와 중분류 및 소분류로 구분되어 있으며, 각각의 소분류에 포함된 지표항목을 매핑하고 연결하기 위한 구분을 위해 대분류와 중분류, 소분류로 구분하여 매핑항목을 입력설정한다. The mapping item input step S22 is performed by the
상기 매핑관계설정단계(S23)는 상기 지표매핑부(31)에서 사용자의 상황에 따라 상기 국제규격지표DB(42)와 제1선택지표DB(43), 제2선택지표DB(44)에 저장된 소분류항목중에서 임의대로 선택하여 상기 사용자정의지표DB(41)에 저장되는 사용자정의 지표의 소분류 항목으로 맵핑설정하는 단계이다. 여기서 상기 지표매핑부(31)는 상기 매핑항목입력단계(S22)에서 분류되는 대분류, 중분류, 소분류에서 상기 입력부(10)에서 선택된 신호에 따라서 상기 국제규격지표DB(42)와 제1선택지표DB(43), 제2선택지표DB(44)에 저장된 각 정보보호 수준지표의 소분류항목에서 선택적으로 설정하여 사용자정의지표DB(41)에 설정되는 지표의 소분류 항목으로 맵핑한다. 이는 도 7에 도시된 바와 같은 테이블을 구성하며, 상기 디스플레이(50)에서는 도 8에 도시된 바와 같은 화면을 출력한다. The mapping relationship setting step S23 is stored in the international
도 7 및 도 8을 참조하면, 상기 사용자 정의 지표DB(41)에 저장되는 사용자 정의 정보보호 지표는 지표매핑부(31)에서 상기 입력부(10)의 선택신호에 따라서 각각 분류되는 대분류(101)와 중분류(102), 소분류(103)로 분류되며, 상기 소분류에 매핑되는 각각의 항목(104)은 상기 국제규격지표DB(42)와 상기 제1선택지표DB(43)와 제2선택지표DB(44)에 저장되는 각각의 지표에 각각 포함되는 소분류 항목중에 상기 입력부(10)에 의해 선택된 항목이 매핑설정된다. 7 and 8, the user-defined information protection indicators stored in the user-defined
상기 연결테이블생성단계(S24)는, 상기 지표매핑부(31)에서 상기 사용자 정의 정보보호 지표에서 소분류로서 분류된 각각의 항목간에 상호 연결관계를 설정하기 위한 템플릿을 실행하는 단계이다. 도 7과 도 8을 참조하면, 1.1.1의 소분류는 제1선택지표(정보보호관리체계(ISMS))항목 2개와 제1선택지표(NCSC)항목 2개, 국제규격지표(ISO27001) 항목 1개가 포함된다. 따라서 상기 지표매핑부(31)는 상기 소분류 1.1.1로서 분류되는 정보보안정책문서에 관한 정보보호 수준의 평가시에는 상기 국제규격지표DB(42)에 저장된 항목2개와 제1선택지표DB(43)에 저장된 항목과 제2선택지표DB(44)에 저장된 각 항목이 서로 연결관계가 설정되도록 템플릿한다. 따라서 상기 정보보안정책문서에 대한 평가시에는 사용자 정의지표를 통하여 설정된 수치로서의 평가결과가 출력됨과 동시에 상기 국제규격지표DB(42)에 저장된 국제규격의 정보보호 수준지표에서 설정된 수치로의 평가치 또는 상기 제1선택지표(정보보호관리체계(ISMS)) 또는 제2선택지표(사이버안전메뉴얼)에서 설정된 평가결과값이 각각 출력된다. 즉 본 발명은 이와 같은 사용자 정의지표의 설정으로 인하여 사용자가 설정한 바와 같은 수치로도 평가결과 값을 출력함도 가능하나, 상기 연결설정된 각각의 항목의 각 지표에서 설정되 평가결과치로서 변환시켜 출력함도 가능하다. In the connection table generation step S24, the
이와 같이 상기 지표연산부재(30)의 지표정의단계(S20)는 상기 지표관리부재(40)에서 상기 사용자정의지표DB(41)를 구축하며, 상기 국제규격지표DB(42)와 제1선택지표DB(43)와, 제2선택지표DB(44)에 저장된 각각의 항목과 매핑관계를 설정한다. As described above, the index defining step S20 of the
상기 지표연산부재(30)의 지표연산단계(S30)는 상기 위험분석부재(20)의 위험도의 분석결과에 포함된 각각의 항목을 상기 사용자 정의지표에 적용하여 정보보호 수준지표를 일정수치로서 표현의 평가치를 산출하는 단계이다. 여기서 상기 지표연산부재(30)는 상기 지표매핑부(31)를 통하여 상기 위험분석부재(20)에서 출력되는 위험도 분석결과에 포함된 각각의 항목을 상기 사용자 정의지표에 포함된 각각의 항목과 비교하며 이때 위험도 분석결과에 따른 사용자 정의지표 항목의 맵핑과 연결은 도 9 및 도 10에 도시된 바와 같다. In the index calculation step S30 of the
도 9는 본 발명에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리방법에서 위험도 분석결과와 지표항목의 연결관계를 도시한 블럭도이다. FIG. 9 is a block diagram illustrating a connection relationship between a risk analysis result and an index item in an information security operation management method supporting mutual information protection level index mapping according to the present invention.
도 9를 참조하면, 상기 지표매핑부(31)는 상기 위험도 분석결과에 포함된 각각의 항목, 예를들면, 시스템 취약점 점검과 침해대응현황, 네트워크 취약점 점검, 대책적용현황등 상기 위험분석부재(20)의 출력 분석결과치 항목에 대한 정보보호 수준지표를 평가할 수 있는 분류의 항목을 검색하여 이를 연결시킨다. 따라서 상기 지표매핑부(31)는 상기 사용자정의지표DB(41)에 저장된 항목에서, 예를들면, 6.2.5의 네트워크 연결정책에 대한 정보보호 수준지표 항목으로 연결시킨다. Referring to FIG. 9, the
도 10은 본 발명에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리방법에서 위험도 분석결과와 지표항목이 연결된 상태를 출력한 화면이다. 10 is a screen output of a state in which a risk analysis result and an index item are connected in an information security operation management method supporting mutual information protection level index mapping according to the present invention.
도 10을 참조하면, 상기 디스플레이(50)는 상측에 연결되는 사용자정의지표DB(41)의 항목을 출력하고 있으며 하측에는 상기 위험분석부재(20)에서 출력된 위험도 분석결과치를 출력한다. 아울러 도면에는 도시되지 않았으나, 상기 지표결과출력부(32)는 상기와 같은 위험도의 분석결과치는 상기 사용자정의지표DB(41)에 저장된 항목에 근거하여 일정 수치로서 표현되는 정보보호 평가치로서 출력한다. 이때. 상기 지표결과출력부(32)는 상기 사용자 정의지표로서 설정된 평가단위로서 표현함도 가능하나, 상기의 사용자 정의지표에 포함된 소분류의 각 항목별로 연결설정된 국제규격지표DB(42)와 제1선택지표DB(43)와 제2선택지표DB(44)에 저장된 각 지표별 평가치로서 출력됨도 가능하다. Referring to FIG. 10, the
여기서 상기 지표연산단계(S30)는 도 10에서 설명하였으며, 도 9는 6.2.5항에 대한 연결관계의 일예를 설명하기 위하여 도시하였으나, 도 10은 6.3.1항에 대한 연결테이블에 의한 결과를 출력한 일예를 도시한 것으로 서로 다른 항목을 출력하였으나 그 작용이나 과정은 동일한 것이다. Here, the index calculation step S30 has been described with reference to FIG. 10, and FIG. 9 is illustrated to explain an example of a connection relationship with respect to 6.2.5. FIG. 10 shows the result of the connection table with respect to 6.3.1. As an example of the output, different items were output, but the actions and processes are the same.
상기 지표연산부재(30)의 평가출력단계(S40)는 상기 지표결과출력부(32)에서 상기 맵핑결과와 지표연산결과를 상기 디스플레이(50)에 출력하는 단계이다. 여기서 상기 평가치는 상기와 같은 도 10의 화면에서 각각의 항목별 평가결과를 일정수 치로 표현하여 출력함이 바람직하다. In the evaluation output step S40 of the
따라서 상기 사용자가 상기 입력부(10)를 통하여 상기 위험분석부재(20)에서 출력된 위험도 분석결과에 따른 사용자 정의지표에 의한 정보보호 평가치와, 국제규격에 따른 ISO27001에 의한 정보보호 평가치와, 한국정보보호진흥원에 의한 정보보호관리체계(ISMS)에 의한 정보보호 평가치와, 국가정보원의 사이버 안전메뉴얼에 의한 각각의 평가결과를 모두 확인할 수 있다. 본 발명은 이렇게 함으로서 평상시 정보보호를 위한 위험분석 과정의 결과치들이 자동으로 사용자가 설정하는 사용자 정의 지표 및 기타 정보보호의 평가치를 위한 수준지표에 적용된 평가치를 반영할 수 있다. Therefore, the user has the information protection evaluation value according to the user-defined indicator according to the risk analysis result output from the
도 1은 본 발명에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리시스템을 도시한 블럭도,1 is a block diagram showing an information security operation management system supporting different information security level indicators mutual mapping according to the present invention;
도 2는 본 발명에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리방법을 도시한 순서도,2 is a flowchart illustrating an information security operation management method supporting mutual information protection level indicator mutual mapping according to the present invention;
도 3은 본 발명에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리방법에서 지표관리부재의 지표정의 단계를 도시한 순서도,3 is a flow chart showing the steps of index definition of the indicator management member in the information security operation management method supporting the mutual information protection level indicator mutual mapping according to the present invention;
도 4는 본 발명에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리방법에서 제1선택지표의 일예를 도시한 테이블,4 is a table showing an example of the first selection indicator in the information security operation management method supporting mutual information protection level indicators mutual mapping according to the present invention;
도 5는 본 발명에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리방법에서 제2선택지표의 일예를 도시한 테이블,5 is a table showing an example of the second selection indicator in the information security operation management method supporting mutual information protection level indicators mutual mapping according to the present invention;
도 6은 본 발명에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리방법에서 국제수준지표를 도시한 테이블,6 is a table showing international level indicators in the information security operation management method supporting mutual information protection level indicators mutual mapping according to the present invention;
도 7은 본 발명에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리방법에서 지표별 통합분류의 일예를 도시한 테이블,7 is a table showing an example of integrated classification for each indicator in the information security operation management method supporting mutual information protection level index mapping according to the present invention;
도 8은 본 발명에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리방법에서 지표별 연결관계를 도시한 화면,8 is a screen showing the connection relationship by indicator in the information security operation management method supporting mutual information protection level indicators mutual mapping according to the present invention;
도 9는 본 발명에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보보호운영관리방법에서 위험도 분석결과와 지표항목의 연결관계를 도시한 블럭도,9 is a block diagram showing a connection between a risk analysis result and an indicator item in an information security operation management method supporting mutual information protection level index mapping according to the present invention;
도 10은 본 발명에 따른 상이한 정보보호수준지표 상호매핑을 지원하는 정보 보호운영관리방법에서 위험도 분석결과와 지표항목이 연결된 상태를 출력한 화면이다. FIG. 10 is a screen showing a state in which a risk analysis result and an indicator item are connected in an information protection operation management method supporting mutual information protection level indicator mutual mapping according to the present invention.
*도면의 주요부분을 도시한 부호의 설명** Explanation of symbols showing the main parts of the drawings *
10 : 입력부 20 : 위험분석부재10: input 20: risk analysis member
21 : 자산관리부 22 : 취약점관리부21: Asset Management Department 22: Vulnerability Management Department
23 : 위협관리부 24 : 위험분석부23: threat management department 24: risk analysis department
30 : 지표연산부재 31 : 지표매핑부30: surface computing member 31: surface mapping unit
32 : 지표결과출력부 40 : 지표관리부재32: indicator result output unit 40: indicator control member
41 : 사용자정의지표DB 42 : 국제규격지표DB41: user-defined indicator DB 42: international standard indicator DB
43 : 제1선택지표DB 44 : 제2선택지표DB43: first choice indicator DB 44: second choice indicator DB
50 : 디스플레이50: display
Claims (13)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020080105454A KR100891345B1 (en) | 2008-10-27 | 2008-10-27 | Information security managment system supporting inter-mapping between each different information security index and method thereof |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020080105454A KR100891345B1 (en) | 2008-10-27 | 2008-10-27 | Information security managment system supporting inter-mapping between each different information security index and method thereof |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR100891345B1 true KR100891345B1 (en) | 2009-03-31 |
Family
ID=40698849
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020080105454A KR100891345B1 (en) | 2008-10-27 | 2008-10-27 | Information security managment system supporting inter-mapping between each different information security index and method thereof |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100891345B1 (en) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101931525B1 (en) * | 2018-05-02 | 2018-12-21 | 박정권 | Management operation system for information security |
| KR20210152824A (en) * | 2020-06-09 | 2021-12-16 | 주식회사 토브데이터 | Data evaluation management method for providing data compliance and system thereof |
| KR20210152823A (en) * | 2020-06-09 | 2021-12-16 | 주식회사 토브데이터 | Method and system for providing data compliance |
| KR20220070958A (en) * | 2020-11-23 | 2022-05-31 | 한국전력공사 | Security compliance automation method |
| KR20230060835A (en) | 2021-10-28 | 2023-05-08 | (주)시큐리티캠프 | Method of suggestion of work items and compensation |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20040011866A (en) * | 2002-07-31 | 2004-02-11 | 컨설팅하우스 주식회사 | Information Security Risk Index System and Method |
| KR20040011858A (en) * | 2002-07-31 | 2004-02-11 | 컨설팅하우스 주식회사 | Real Time Information Security Risk Assessment System and Method |
| KR20040104853A (en) * | 2003-06-04 | 2004-12-13 | (주)인젠 | Risk analysis system for information assets |
| KR20050093196A (en) * | 2004-03-18 | 2005-09-23 | 한재호 | Method and system for calculating an risk index in real-time of information assets |
-
2008
- 2008-10-27 KR KR1020080105454A patent/KR100891345B1/en active IP Right Grant
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20040011866A (en) * | 2002-07-31 | 2004-02-11 | 컨설팅하우스 주식회사 | Information Security Risk Index System and Method |
| KR20040011858A (en) * | 2002-07-31 | 2004-02-11 | 컨설팅하우스 주식회사 | Real Time Information Security Risk Assessment System and Method |
| KR20040104853A (en) * | 2003-06-04 | 2004-12-13 | (주)인젠 | Risk analysis system for information assets |
| KR20050093196A (en) * | 2004-03-18 | 2005-09-23 | 한재호 | Method and system for calculating an risk index in real-time of information assets |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101931525B1 (en) * | 2018-05-02 | 2018-12-21 | 박정권 | Management operation system for information security |
| KR20210152824A (en) * | 2020-06-09 | 2021-12-16 | 주식회사 토브데이터 | Data evaluation management method for providing data compliance and system thereof |
| KR20210152823A (en) * | 2020-06-09 | 2021-12-16 | 주식회사 토브데이터 | Method and system for providing data compliance |
| KR102345749B1 (en) * | 2020-06-09 | 2022-01-03 | 주식회사 토브데이터 | Data evaluation management method for providing data compliance and system thereof |
| KR102345748B1 (en) * | 2020-06-09 | 2022-01-03 | 주식회사 토브데이터 | Method and system for providing data compliance |
| KR20220117188A (en) * | 2020-11-23 | 2022-08-23 | 한국전력공사 | Security compliance automation method |
| KR20220117866A (en) * | 2020-11-23 | 2022-08-24 | 한국전력공사 | Security compliance automation method |
| KR20220116410A (en) * | 2020-11-23 | 2022-08-23 | 한국전력공사 | Security compliance automation method |
| KR20220117187A (en) * | 2020-11-23 | 2022-08-23 | 한국전력공사 | Security compliance automation method |
| KR20220117189A (en) * | 2020-11-23 | 2022-08-23 | 한국전력공사 | Security compliance automation method |
| KR20220070958A (en) * | 2020-11-23 | 2022-05-31 | 한국전력공사 | Security compliance automation method |
| KR20220117865A (en) * | 2020-11-23 | 2022-08-24 | 한국전력공사 | Security compliance automation method |
| KR102433233B1 (en) * | 2020-11-23 | 2022-08-18 | 한국전력공사 | Security compliance automation method |
| KR102594207B1 (en) | 2020-11-23 | 2023-10-30 | 한국전력공사 | Security compliance automation method |
| KR102578289B1 (en) | 2020-11-23 | 2023-09-15 | 한국전력공사 | Security compliance automation method |
| KR102578291B1 (en) | 2020-11-23 | 2023-09-15 | 한국전력공사 | Security compliance automation method |
| KR102578290B1 (en) | 2020-11-23 | 2023-09-15 | 한국전력공사 | Security compliance automation method |
| KR102590081B1 (en) | 2020-11-23 | 2023-10-19 | 한국전력공사 | Security compliance automation method |
| KR102594208B1 (en) | 2020-11-23 | 2023-10-30 | 한국전력공사 | Security compliance automation method |
| KR20230060835A (en) | 2021-10-28 | 2023-05-08 | (주)시큐리티캠프 | Method of suggestion of work items and compensation |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| de Gusmão et al. | Cybersecurity risk analysis model using fault tree analysis and fuzzy decision theory | |
| Mahfuth et al. | A systematic literature review: Information security culture | |
| US7823206B2 (en) | Method and apparatus for establishing a security policy, and method and apparatus of supporting establishment of security policy | |
| Elyas et al. | Towards a systemic framework for digital forensic readiness | |
| CA3116955A1 (en) | Automation of task identification in a software lifecycle | |
| KR100752677B1 (en) | Information technology risk management system and method the same | |
| Radziwill et al. | Cybersecurity cost of quality: Managing the costs of cybersecurity risk management | |
| KR100755000B1 (en) | Security risk management system and method | |
| Al-Matari et al. | Adopting security maturity model to the organizations’ capability model | |
| KR100891345B1 (en) | Information security managment system supporting inter-mapping between each different information security index and method thereof | |
| CN117769706A (en) | Network risk management system and method for automatically detecting and analyzing network security in network | |
| Eroğlu et al. | Enterprise information systems within the context of information security: A risk assessment for a health organization in Turkey | |
| Sauerwein et al. | From threat data to actionable intelligence: an exploratory analysis of the intelligence cycle implementation in cyber threat intelligence sharing platforms | |
| KR100524649B1 (en) | Risk analysis system for information assets | |
| Bobbert et al. | Zero Trust Validation: from Practice to Theory: An empirical research project to improve Zero Trust implementations | |
| US20200387843A1 (en) | Risk management of processes utilizing personal data | |
| JP2007287132A (en) | Information technology risk management system and its method | |
| Kamau et al. | Factors influencing sample size for internal audit evidence collection in the public sector in Kenya | |
| Palko et al. | Determining Key Risks for Modern Distributed Information Systems. | |
| Kelemen | Systematic review on process mining and security | |
| Kim et al. | A study on the impact analysis of security flaws between security controls: An empirical analysis of K-ISMS using case-control study | |
| Hakiem et al. | Whistleblowing System Deployment using ITIL v3 Framework | |
| EP1160643A2 (en) | Method of establishing a security policy, and apparatus for supporting establishment of security policy | |
| Hayat et al. | A goal based framework by adopting square process for privacy and security requirement engineering | |
| KR20040062735A (en) | Consulting method of information system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| A302 | Request for accelerated examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20130326 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20140326 Year of fee payment: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20160325 Year of fee payment: 8 |
|
| FPAY | Annual fee payment |
Payment date: 20170324 Year of fee payment: 9 |
|
| FPAY | Annual fee payment |
Payment date: 20180322 Year of fee payment: 10 |
|
| FPAY | Annual fee payment |
Payment date: 20190325 Year of fee payment: 11 |
|
| FPAY | Annual fee payment |
Payment date: 20200122 Year of fee payment: 12 |