KR101008148B1 - 정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법 - Google Patents
정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법 Download PDFInfo
- Publication number
- KR101008148B1 KR101008148B1 KR1020080013956A KR20080013956A KR101008148B1 KR 101008148 B1 KR101008148 B1 KR 101008148B1 KR 1020080013956 A KR1020080013956 A KR 1020080013956A KR 20080013956 A KR20080013956 A KR 20080013956A KR 101008148 B1 KR101008148 B1 KR 101008148B1
- Authority
- KR
- South Korea
- Prior art keywords
- information security
- module
- status
- information
- management system
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0631—Resource planning, allocation, distributing or scheduling for enterprises or organisations
- G06Q10/06311—Scheduling, planning or task assignment for a person or group
- G06Q10/063116—Schedule adjustment for a person or group
Landscapes
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Engineering & Computer Science (AREA)
- Strategic Management (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- Operations Research (AREA)
- Game Theory and Decision Science (AREA)
- Development Economics (AREA)
- Marketing (AREA)
- Educational Administration (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
본 발명의 또 다른 실시형태에 따르면, 상기 제4단계는 상기 CSO 리포트가 상기 정보보호 관리체계의 근간이 구성된 정도를 평가한 정성적 평가를 더 포함하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법을 제공한다.
상기 운영방법을 구현하는 시스템의 일 예로 현황분석모듈, 위험처리모듈, 통제이행모듈, 모니터링모듈 및 사후관리모듈을 포함하여 구성되는 정보보호 관리시스템을 들 수 있다. 각 모듈은 도4에 도시된 정보보호 성과지표 운영방법을 지원하기 위한 하드웨어 및 이를 구동하는 소프트웨어를 포함하는 시스템 자원이다.
상기 현황분석모듈은 관리자로부터 ISMS 예비 범위 및 ISMS 보안 정책 데이터를 입력 받아 제1 현황진단 분석결과 데이터를 생성한다. 구체적으로는 상기 ISMS 예비 범위를 기준으로 성과측정모델을 적용하여 현황분석 테이블을 생성하고 상기 ISMS 보안 정책을 이용하여 예비평가 테이블을 생성한다. 상기 현황분석 테이블 및 예비평가 테이블의 데이터를 비교한 차이를 이용하여 제1 현황진단 분석결과 데이터를 생성한다.
상기 위험처리모듈은 상기 제1 현황진단 분석결과 데이터에서 보안 정책의 개선 항목을 추출한다. 상기 개선 항목의 추출 요소 및 추출 방법 등은 기 설정되어 있는 것이 바람직하다.
상기 통제이행모듈은 통제 이행을 위한 통제 요소 및 요소별 통제의 수준에 대한 데이터를 생성한다. 구체적으로는 상기 추출된 개선 항목 및 업무 리스트를 이용하여 상기 개선 항목과 관련된 업무를 추출한다. 상기 추출된 관련 업무별로 정보보호를 위한 통제 요소를 추출한다. 또한 상기 추출된 통제 요소별로 수행해야 할 통제의 수준을 계산하여 통제 이행 데이터를 생성한다. 이렇게 생성된 통제 이행 데이터를 이용하여 관리자는 통제 이행을 용이하게 수행할 수 있다.
상기 모니터링모듈은 통제 현황 및 예비평가표를 비교하여 제2 현황진단 분석결과 데이터를 생성한다. 구체적으로는 상기 현황분석모듈에서 생성하는 현황분석 테이블 및 예비평가 테이블을 비교하여 정보보호 통제의 현황을 모니터링 할 지표를 추출한다. 추출된 지표를 기 저장된 배점 테이블을 이용하여 통제 현황을 상기 지표별로 달성률을 계산하고 ISKPI 매트릭스를 생성한다. 상기 생성된 ISKPI 매트릭스를 이용해서 제2 현황진단 분석결과를 생성한다.
상기 사후관리모듈은 개선계획에 따른 정보보호의 결과 데이터를 시스템에서 수집한 후 CSO 리포트를 생성한다. 구체적으로는 상기 제1 현황진단 분석결과 데이터 및 제2 현황진단 분석결과 데이터를 통해서 수행된 개선 활동의 결과를 수집하고 기 설정된 리포터 양식을 적용하여 CSO 리포트를 생성한다. 상기 제1 현황진단 분석결과 데이터 및 제2 현황진단 분석결과 데이터를 이용하여 개선 사항 및 개선 정도를 도출하며, 도출된 사항을 이용하여 성과지표를 도출한다. 필요에 따라서는 관리자가 입력하는 개선계획을 입력받아 성과지표를 도출할 수도 있다. 따라서 상기의 생성된 CSO 리포트를 이용하여 관리자는 개선 계획의 효과를 재검토할 수 있어 정보보호 계획의 수정이 가능해지며 성과 측정을 용이하게 할 수 있다.
상기와 같은 모듈을 포함하는 시스템은 본 발명의 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법을 지원할 수 있으며, 시스템 상에서 정보보호 성과지표를 이용한 정보보호 관리체계의 운영이 가능하도록 한다.
Claims (5)
- ISMS(Information Security Management System) 예비 범위 및 ISMS 보안 정책 데이터를 입력 받아 제1 현황진단 분석결과 데이터를 생성하는 현황분석모듈;상기 제1 현황진단 분석결과 데이터에서 보안 정책의 개선 항목을 추출하는 위험처리모듈;상기 추출된 개선 항목을 이용해서 통제 이행을 위한 통제 요소 및 요소 별 통제의 수준에 대한 데이터를 생성하는 통제이행모듈;상기 제1 현황진단분석 결과 데이터 및 예비평가표를 비교하여 평가지표를 추출하고 이를 이용하여 제2 현황진단 분석결과 데이터를 생성하는 모니터링모듈; 및개선계획에 따른 정보보호의 결과 데이터를 시스템에서 수집한 후 CSO (Chief Security Officer) 리포트를 생성하는 사후관리모듈을 포함하는 정보보호 관리시스템을 이용하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법에 있어서,상기 현황분석모듈을 이용하여 제1현황진단 분석결과 데이터를 생성하고 이를 상기 위험처리모듈로 전송하여 개선 항목을 추출하여 제공하고, 수립된 보안 정책을 입력 받아 현황분석모듈로 전송하는 제1단계;상기 통제이행모듈을 이용하여 통제 요소 및 요소 별 통제의 수준에 대한 데이터를 생성하여 제공하는 제2단계;상기 모니터링모듈을 이용하여 평가지표 추출 및 제2현황진단 분석결과 데이터 생성을 수행하는 제3단계; 및상기 사후관리모듈을 이용하여 정보보호 결과를 수집하고 CSO 리포트를 생성하는 제4단계;를 포함하며, 상기 제3단계에서 현황진단 분석결과는 자산의 속성과 생명주기로 정의된 정보보호 성과지표를 ISKPI (Information Security Key Performance Index) 매트릭스에 배치시켜 도출하는 것을 특징으로 하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법.
- 제1항에 있어서, 현황분석모듈은상기 계획, 이행, 평가 및 개선을 포함하는 정보보호 성과측정모델을 적용하여 현황분석표를 생성하여 제1 현황진단 분석결과 데이터를 생성하며, 상기 정보보호 성과측정모델은,상기 정보보호에 관한 활동을 수행 정도를 측정하는 제1과정;상기 정보보호에 관한 활동의 내용을 문서화 정도를 측정하는 제2과정;상기 정보보호에 관한 활동의 내용을 표준화시키거나 프로세스로 체계화시킨 정도를 측정하는 제3과정; 및상기 정보보호에 관한 활동의 내용의 결과를 평가 및 분석한 정도를 측정하는 제4과정;을 포함하는 것을 특징으로 하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법.
- 삭제
- 제1항에 있어서, 상기 제4단계는상기 정보보호 성과지표를 적용하여 정량화된 보안활동 결과를 도출하여 상기 CSO 리포트를 생성하며, 상기 정보보호 성과지표 도출은상기 정보보호에 대한 개별지표의 실천으로 보안활동 수준이 향상되는 것으로 정의되는 항목의 정량적 측정값을 도출하는 과정; 및상기 개별지표의 발생감소로 보안활동 수준이 향상되는 것으로 정의되는 항목의 정량적 측정값을 도출하는 과정;을 포함하는 것을 특징으로 하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법.
- 제4항에 있어서, 상기 제4단계는상기 CSO 리포트가 상기 정보보호 관리체계의 근간이 구성된 정도를 평가한 정성적 평가를 더 포함하는 것을 특징으로 하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080013956A KR101008148B1 (ko) | 2008-02-15 | 2008-02-15 | 정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080013956A KR101008148B1 (ko) | 2008-02-15 | 2008-02-15 | 정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20090088580A KR20090088580A (ko) | 2009-08-20 |
KR101008148B1 true KR101008148B1 (ko) | 2011-01-13 |
Family
ID=41207155
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020080013956A KR101008148B1 (ko) | 2008-02-15 | 2008-02-15 | 정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101008148B1 (ko) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101560259B1 (ko) * | 2015-02-27 | 2015-10-15 | 주식회사 씨에이에스 | 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템 |
KR20160126589A (ko) * | 2015-04-24 | 2016-11-02 | 선문대학교 산학협력단 | 사이버 보안 라이프 사이클에 기반한 사이버 보안 장치 및 방법, 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체 |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101505079B1 (ko) * | 2014-06-13 | 2015-03-24 | 주식회사 이볼케이노 | 정보보호업무 지원시스템 및 방법 |
KR101596456B1 (ko) * | 2015-03-25 | 2016-03-08 | 주식회사 이앤유 | 보안 관리 시스템 및 방법 |
CN112036826A (zh) * | 2020-08-28 | 2020-12-04 | 南京沐航交通科技有限公司 | 一种基于海上导航安全控制系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070061009A (ko) * | 2005-12-08 | 2007-06-13 | 한국전자통신연구원 | 보안 위험 관리 시스템 및 방법 |
KR100752677B1 (ko) * | 2006-04-19 | 2007-08-29 | ㈜ 메타리스크 | 정보기술 위험관리시스템 및 그 방법 |
-
2008
- 2008-02-15 KR KR1020080013956A patent/KR101008148B1/ko active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070061009A (ko) * | 2005-12-08 | 2007-06-13 | 한국전자통신연구원 | 보안 위험 관리 시스템 및 방법 |
KR100752677B1 (ko) * | 2006-04-19 | 2007-08-29 | ㈜ 메타리스크 | 정보기술 위험관리시스템 및 그 방법 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101560259B1 (ko) * | 2015-02-27 | 2015-10-15 | 주식회사 씨에이에스 | 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템 |
KR20160126589A (ko) * | 2015-04-24 | 2016-11-02 | 선문대학교 산학협력단 | 사이버 보안 라이프 사이클에 기반한 사이버 보안 장치 및 방법, 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체 |
KR101674198B1 (ko) * | 2015-04-24 | 2016-11-08 | 선문대학교 산학협력단 | 사이버 보안 라이프 사이클에 기반한 사이버 보안 장치 및 방법, 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체 |
Also Published As
Publication number | Publication date |
---|---|
KR20090088580A (ko) | 2009-08-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8256004B1 (en) | Control transparency framework | |
US20030004754A1 (en) | Hipaa compliance systems and methods | |
US20050182750A1 (en) | System and method for instrumenting a software application | |
KR100755000B1 (ko) | 보안 위험 관리 시스템 및 방법 | |
Bugeja et al. | IoTSM: an end-to-end security model for IoT ecosystems | |
López et al. | Quality measurement in agile and rapid software development: A systematic mapping | |
KR101008148B1 (ko) | 정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법 | |
KR101210027B1 (ko) | 원자력발전소 디지털계측제어계통의 사이버보안 관리 방법 및 장치 | |
Jespersen et al. | Developing a concept for external audits of psychosocial risks in certified occupational health and safety management systems | |
CN111274136B (zh) | 一种机载软件测试管理系统和测试过程管理方法 | |
Foli et al. | The link between supply chain risk management and innovation performance in SMEs in turbulent times | |
Mining | Data science in Action | |
KR102127656B1 (ko) | 정보보호 시스템 취약점의 자동 진단 분석을 위한 서버 및 그 시스템 | |
Chandra et al. | Measuring operational management information technology: COBIT 5.0 and capability level | |
Quinting et al. | Advancing the adoption of a new generation of certifications–a theoretical model to explain the adoption of continuous cloud service certification by certification authorities | |
Miloslavskaya et al. | Information security management maturity models | |
Kim et al. | Effects of AEO-MRA on the Performance of Exporters and Importers in Korea | |
Kim et al. | A study on the impact analysis of security flaws between security controls: An empirical analysis of K-ISMS using case-control study | |
Aouhassi et al. | Information system quality: State of the art and new model | |
Rifaut et al. | Measurement-oriented comparison of multiple regulations with GRL | |
Mullins-Jaime et al. | Interconnected pathways: the role of integrated programs, safety climate, and safety professional engagement in safety and other organizational outcomes | |
Peters et al. | Understanding service quality and customer churn by process discovery for a multi-national banking contact center | |
Radack | Security metrics: measurements to support the continued development of information security technology | |
Kiesow et al. | Design science for future AIS: transferring continuous auditing issues to a gradual methodology | |
Rot | Enterprise information technology security: risk management perspective |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E90F | Notification of reason for final refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20140107 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20150107 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20160106 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20170104 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20180105 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20200106 Year of fee payment: 10 |