KR101008148B1 - 정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법 - Google Patents

정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법 Download PDF

Info

Publication number
KR101008148B1
KR101008148B1 KR1020080013956A KR20080013956A KR101008148B1 KR 101008148 B1 KR101008148 B1 KR 101008148B1 KR 1020080013956 A KR1020080013956 A KR 1020080013956A KR 20080013956 A KR20080013956 A KR 20080013956A KR 101008148 B1 KR101008148 B1 KR 101008148B1
Authority
KR
South Korea
Prior art keywords
information security
module
status
information
management system
Prior art date
Application number
KR1020080013956A
Other languages
English (en)
Other versions
KR20090088580A (ko
Inventor
김도형
이희명
Original Assignee
주식회사 포스코
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 포스코 filed Critical 주식회사 포스코
Priority to KR1020080013956A priority Critical patent/KR101008148B1/ko
Publication of KR20090088580A publication Critical patent/KR20090088580A/ko
Application granted granted Critical
Publication of KR101008148B1 publication Critical patent/KR101008148B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0631Resource planning, allocation, distributing or scheduling for enterprises or organisations
    • G06Q10/06311Scheduling, planning or task assignment for a person or group
    • G06Q10/063116Schedule adjustment for a person or group

Landscapes

  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Engineering & Computer Science (AREA)
  • Strategic Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • Operations Research (AREA)
  • Game Theory and Decision Science (AREA)
  • Development Economics (AREA)
  • Marketing (AREA)
  • Educational Administration (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명의 일 측면은 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법에 관한 것으로, 특히 ISMS(Information Security Management System) 예비 범위 및 ISMS 보안 정책 데이터를 입력 받아 제1 현황진단 분석결과 데이터를 생성하는 현황분석모듈, 상기 제1 현황진단 분석결과 데이터에서 보안 정책의 개선 항목을 추출하는 위험처리모듈, 상기 추출된 개선 항목을 이용해서 통제 이행을 위한 통제 요소 및 요소 별 통제의 수준에 대한 데이터를 생성하는 통제이행모듈, 상기 제1 현황진단분석 결과 데이터 및 예비평가표를 비교하여 평가지표를 추출하고 이를 이용하여 제2 현황진단 분석결과 데이터를 생성하는 모니터링모듈 및 개선계획에 따른 정보보호의 결과 데이터를 시스템에서 수집한 후 CSO (Chief Security Officer) 리포트를 생성하는 사후관리모듈을 포함하는 정보보호 관리시스템에 있어서, 상기 현황분석모듈을 이용하여 제1현황진단 분석결과 데이터를 생성하고 이를 상기 위험관리모듈로 전송하여 개선 항목을 추출하여 제공하고, 수립된 보안 정책을 입력 받아 현황분석모듈로 전송하는 제1단계, 상기 통제이행모듈을 이용하여 통제 요소 및 요소 별 통제의 수준에 대한 데이터를 생성하여 제공하는 제2단계, 상기 모니터링모듈을 이용하여 평가지표 추출 및 제2현황진단 분석결과 데이터 생성을 수행하는 제3단계 및 상기 사후관리모듈을 이용하여 정보보호 결과를 수집하고 CSO 리포트를 생성하는 제4단계를 포함하며, 상기 제3단계에서 현황진단 분석결과는 자산의 속성과 생명주기로 정의된 정보보호 성과지표를 ISKPI (Information Security Key Performance Index) 매트릭스에 배치시켜 도출한다.
Figure R1020080013956
정보보호 관리체계, 정보보호 성과지표, 현황진단 분석결과

Description

정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법{Method for operating information security accomplishment indexes dependent on the introduction of information security management system}
본 발명의 일 측면은 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법에 관한 것으로, 특히 다양한 조직에서 중요한 자산을 보호하기 위해 정보보호 관리체계를 도입하여 정보보호 성과지표를 운영하는 방법에 관한 것이다.
최근에, 많은 조직이 아웃소싱(outsourcing) 및 글로벌화(globalization)를 추진함에 따라 중요 자산의 보호를 위한 정보보호 관리체계의 도입 및 운영이 무엇보다도 중요해지고 있다.
다양한 조직에서 중요한 자산을 보호하기 위해 정보보호 관리체계를 도입 및 운영하고 있으며, 이를 위한 대표적인 방법으로는 인증(certification) 제도와 컨설팅(consulting) 서비스가 사용되고 있다. 이 과정에서 표준적용의 문제점으로 문서화 증가와 실질적인 관리방법의 부족을 경험하게 되며, 조직의 특성 및 업무를 고려하지 않고 정보보호 통제항목(ISO 27001 controls)을 중심으로 정보보호 관리체계의 요구사항(ISMS(Information Security Management System) requirements)을 적용하는 문제가 발생하고 있다.
정보보호 관리체계(ISO 27001) 인증제도는 정보보호 현황진단 및 일반적인 감사기법을 활용하여 적용성 보고서(Statement of Application, SOA)를 작성하는 것이다. 그러나, 감사행위의 보증수준(assurance level)은 기대치와 상이할 수 있으며, 심사원 및 심사환경에 따라 결과가 다를 수 있다. 또한, 인증제도에서는 경영진 인터뷰를 통해 효과적인 커뮤니케이션을 시도하고 있지만 심사결과(SOA)가 서술식이고 정량적인 표현이 곤란하여 정보보호 전문지식을 보유하지 않은 경영진에게는 효과적이지 않다.
정보보호 관리체계(ISO 27001)의 컨설팅 서비스에서는 정보보호 관리체계의 구축을 위해 ISO 27001 프레임 워크(framework)를 준용한 다양한 컨설팅 방법이 사용된다. 이 절차의 특징으로 정보보호 통제항목(ISO 27001 controls)을 중심으로 정보보호 현황진단을 실시하고, 취약성 분석을 통해 계량화된 보고서가 작성된다. 그러나, 세부적인 정보보호 현황진단을 위해 정보보호 통제항목(ISO 27001 controls)의 구체화는 비용과 보상(payoff)을 발생시키며, 통제항목별 평가결과(Yes, No, Partial, N/A)는 구체적인 기준과 방법이 부족하여 컨설턴트 및 주변환경에 따라 결과가 만족스럽지 못할 수 있다.
이러한 요구사항을 기초로하여 실직적인 보안수준의 개선 및 측정을 위한 ISO 27004(ISM measurements)가 초안(draft) 단계에 있다. 또한, SI 분야에서는 정보보호 위험관리 시스템이 개발되고 있으나, 대상분야가 IT 분야(기술적 보안) 및 위험(risk)기반으로 제한되어 포괄적(관리, 물리, 기술) 및 적극적(proactive) 차 원의 정보보호 활동 및 정보보호 수준관리의 개념과는 차이가 있다.
본 발명의 일 측면은 실행 중심의 정보보호 관리체계를 도입하여 운영하는 과정에서 정보보호 성과측정모델을 활용한 정보보보 현황진단으로 시행착오를 최소화하며, 지속적인 정보보보 관리체계의 운영을 위한 보안활동의 정량화된 정보보호 성과지표를 도입하여 경영진의 지원을 위한 효과적인 방법론을 제공하는 것을 목적으로 한다.
본 발명의 다른 측면은, 계획, 이행, 평가 및 개선을 포함하는 개념의 정보보호 성과측정모델을 활용하여 정보보호 현황진단을 개선하고 정보보호 활동의 근간이 되는 보안규정(지침)을 내실화하며 실행되는 업무와의 차이점 발견을 용이하게 하는 것을 목적으로 한다.
본 발명의 또 다른 측면은, 정보보호 성과지표의 선정 및 정보보호 성과지표 매트릭스를 활용하여 보안목표 및 개선기회를 정의하고 보안활동의 성과측정을 정량화함으로써, 종합적인 보안활동의 요약, 분석 및 구체화로 커뮤니케이션을 촉진하는 것을 목적으로 한다.
본 발명의 일 측면은, ISMS(Information Security Management System) 예비 범위 및 ISMS 보안 정책 데이터를 입력 받아 제1 현황진단 분석결과 데이터를 생성하는 현황분석모듈, 상기 제1 현황진단 분석결과 데이터에서 보안 정책의 개선 항목을 추출하는 위험처리모듈, 상기 추출된 개선 항목을 이용해서 통제 이행을 위한 통제 요소 및 요소 별 통제의 수준에 대한 데이터를 생성하는 통제이행모듈, 상기 제1 현황진단분석 결과 데이터 및 예비평가표를 비교하여 평가지표를 추출하고 이를 이용하여 제2 현황진단 분석결과 데이터를 생성하는 모니터링모듈 및 개선계획에 따른 정보보호의 결과 데이터를 시스템에서 수집한 후 CSO (Chief Security Officer) 리포트를 생성하는 사후관리모듈을 포함하는 정보보호 관리시스템을 이용하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법에 있어서, 상기 현황분석모듈을 이용하여 제1현황진단 분석결과 데이터를 생성하고 이를 상기 위험처리모듈로 전송하여 개선 항목을 추출하여 제공하고, 수립된 보안 정책을 입력 받아 현황분석모듈로 전송하는 제1단계, 상기 통제이행모듈을 이용하여 통제 요소 및 요소 별 통제의 수준에 대한 데이터를 생성하여 제공하는 제2단계, 상기 모니터링모듈을 이용하여 평가지표 추출 및 제2현황진단 분석결과 데이터 생성을 수행하는 제3단계 및 상기 사후관리모듈을 이용하여 정보보호 결과를 수집하고 CSO 리포트를 생성하는 제4단계를 포함하며, 상기 제3단계에서 현황진단 분석결과는 자산의 속성과 생명주기로 정의된 정보보호 성과지표를 ISKPI (Information Security Key Performance Index) 매트릭스에 배치시켜 도출하는 것을 특징으로 하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법을 제공한다.
본 발명의 일 실시형태에 따르면, 현황분석모듈은 상기 계획, 이행, 평가 및 개선을 포함하는 정보보호 성과측정모델을 적용하여 현황분석표를 생성하여 제1 현황진단 분석결과 데이터를 생성하며, 상기 정보보호 성과측정모델은,상기 정보보호에 관한 활동을 수행 정도를 측정하는 제1과정, 상기 정보보호에 관한 활동의 내용을 문서화 정도를 측정하는 제2과정, 상기 정보보호에 관한 활동의 내용을 표준화시키거나 프로세스로 체계화시킨 정도를 측정하는 제3과정 및 상기 정보보호에 관한 활동의 내용의 결과를 평가 및 분석한 정도를 측정하는 제4과정을 포함하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법을 제공한다.
본 발명의 또 다른 실시형태에 따르면, 상기 제4단계는 상기 정보보호 성과지표를 적용하여 정량화된 보안활동 결과를 도출하여 상기 CSO 리포트를 생성하며, 상기 정보보호 성과지표 도출은 상기 정보보호에 대한 개별지표의 실천으로 보안활동 수준이 향상되는 것으로 정의되는 항목의 정량적 측정값을 도출하는 과정 및 상기 개별지표의 발생감소로 보안활동 수준이 향상되는 것으로 정의되는 항목의 정량적 측정값을 도출하는 과정을 포함하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법을 제공한다.
본 발명의 또 다른 실시형태에 따르면, 상기 제4단계는 상기 CSO 리포트가 상기 정보보호 관리체계의 근간이 구성된 정도를 평가한 정성적 평가를 더 포함하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법을 제공한다.
삭제
삭제
본 발명의 일 측면에 따르면, 정보보호 현황진단을 통해 정보보호 관리체계의 범위설정이 편리해지고, 부서별 역할 및 책임 정의와 업무표준화가 가능해진다.
본 발명의 다른 측면에 따르면, 정보보호 현황진단의 성과측정모델을 통해 기존의 평가표 방식의 문제점을 해결할 수 있다.
본 발명의 또 다른 측면에 따르면, 정보보호 성과지표를 통해 보안목표 및 개선기회를 정의하고, 보안활동의 성과측정을 정량화할 수 있다.
본 발명의 또 다른 측면에 따르면, 정보보호 성과지표는 종합적인 보안활동의 요약, 분석 및 구체화로 커뮤니케이션을 제공할 수 있다.
이하, 첨부된 도면을 참조하여 본 발명의 실시형태를 설명한다. 그러나, 본 발명의 실시형태는 여러 가지의 다른 형태로 변형될 수 있으며, 본 발명의 범위가 이하 설명하는 실시형태로만 한정되는 것은 아니다. 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있으며, 도면상의 동일한 부호로 표시되는 요소는 동일한 요소이다.
정보보호관리의 국제표준인 ISO 27001에서는 정보보호 관리체계의 요구사항 (ISMS requirements)을 정의하고 있으며, 이를 구조화(ISMS framework)하면 도 1과 같이 표현된다.
그리고, 일반적인 정보보호 관리체계의 도입 및 운영을 위한 절차는 도 2와 같이 정의되었는데, 본 발명에서는 일부 프로세스를 개선(정보보호 현황진단, 정보보호 성과지표, CSO((Chief Security Officer) 리포트)하여 도 3과 같은 절차로 구성한다.
또한, 본 발명에서 제시하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법은 도 4와 같은 흐름도로 정의한다. 개선된 정보보호 현황진단은 성과측정 모델(ISM measurement model, 도 6)을 적용하여 도 10과 같은 하향식 정보보호 현황진단 분석결과를 도출한다.
또한, 정보보호 현황진단의 현황분석표와 예비평가표를 통해 도출된 정보보호 성과지표를 도 9와 같이 정보보호 성과지표 매트릭스(ISKPI(Information Security Key Performance Index) matrix)에 적용하여 도 10과 같은 상향식 정보보호 현황진단 분석결과를 도출한다.
추가된 CSO 리포트는 도 11과 같은 정보보호 현황진단 분석결과(상향식, 하 향식)로 구성된 정보보호 성과지표 체계를 적용하여 정량화된 보안활동의 결과를 도출한다. 각각의 지표(기반지표, 이행지표, 결과지표)는 도 12와 같이 개선개회 및 목표수준 설정을 통해 지속적인 정보보호 관리체계이 운영되도록 구성된다.
정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법은 도 4와 같은데, 계획(Step1), 이행(Step 2), 평가(Step 3) 및 개선(Step 4)의 단계를 따른다.
계획단계(Step 1)는 현황분석단계(Process 1), 위험처리단계(Process 2), 문서 및 기록관리 단계(Process 8)로 구성되고, 이행단계(Step 2)는 통제이행단계 (Process 5), 문서 및 기록관리 단계 (Process 8)로 구성된다. 그리고, 평가단계 (Step 3)는 모니터링단계(Process 6), 문서 및 기록관리 단계(Process 8)로 구성되고, 개선단계(Step4)는 사후관리단계(Process 7), 문서 및 기록관리 단계(Process 8)로 구성된다. 여기서, 현황분석단계(Process 1)는 ISMS 범위선정단계(Task 1)와 ISMS 정책설정단계(Task 2)로 구분된다.
임시로 설정된 범위에 대하여 성과측정모델(도 6)을 적용하여 현황분석표가 작성된다. 그리고, 기 수립된 보안정책(부재시 신규작성)을 근거로 예비평가표가 작성된다. 현황분석표와 예비평가표는 도 7과 같은 갭 분석(gap analysis)을 통해 현황진단 분석결과(Task 3-5)를 도출하게 되며, 이상의 모든 절차는 문서로 기록(Process 8)된다.
위험처리단계(Process 4)는 현황분석단계(Process 1)의 산출물인 현황진단 분석결과를 기반으로 개선항목을 선택하여 통제이행단계(Process 5)와 보안정책 및 보안절차를 개정하는 동시에 이상의 모든 절차는 문서로 기록(Process 8)된다.
통제이행단계(Process 5)는 통제이행의 개선항목과 연관된 업무에 통제구현 및 사용자 교육을 실시하고 이상의 모든 절차는 문서로 기록(Process 8)된다.
모니터링단계(Process 6)는 현황분석단계(Process 1)의 산출물인 현황진단 분석표와 예비평가표를 기반으로 지표를 도출하고, 지표별 통제효과 및 수준을 결정한다. 모니터링단계(Process 6)의 산출물인 현황진단 분석결과(Task 26-2)는 지표점수 및 개선기회를 포함한다. 이상의 모든 절차는 문서로 기록(Process 8)된다.
사후관리단계(Process 7)는 현황분석단계(Process1)의 현황진단 분석결과 (Task 3-5)와 모니터링단계(Process 6)의 현황진단 분석결과(Task 21-7)를 통해 개선계획을 수립하고 결과를 확인한다. 이상의 모든 절차를 CSO 리포트 및 정보보호 성과지표를 통해 지속적인 정보보호 관리체계를 운영하게 된다.
본 발명의 특징적인 Task 및 도 4의 세부적인 기능에 관하여 설명해보기로 한다.
도 4의 T03와 같은 개선된 정보보호 현황진단은 도 6과 같은 PDCA(Plan, Do, Check, Act)를 포함하는 개념의 정보보호 성과측정 모델을 적용한다. 기존방식에서는 도 5a와 같이 ISO 27001 통제(133 Controls)가 적용되고 있는지 평가(Yes, Partial, No, N/A)하는 점검표 방식을 사용한다. 이 과정에서는 명확한 평가기준이 없었으며, 상세한 점검을 위해서 점검표 구체화에 많은 작업이 소요에도 불구하고 효과성은 미흡(개선기회 정의 곤란)하였다. 또한, ISO 통제항목을 기준으로 작성된 점검결과가 조직에 적용되기에는 의미를 해석함에 있어서 어려움이 많았다.
그러나, 도 6과 같은 PDCA 기반의 정보보호 성과측정 모델에서는 5단계 수준(임의수행, 계획, 이행, 평가, 개선)을 정의하고 활동의 결과물을 확인하였다. 여기서, 하위단계를 충족시키지 못하면 상위단계로 진입하는 것이 불가하다.
각 단계의 정보보호 활동은 다음과 같이 정의된다.
- 임의수행(random) : 정보보호 활동의 기준이 없이 수행됨
- 계획(plan) : 정보보호 활동의 기준이 문서화된 단계(규정 및 지침)
- 이행(do) : 정보보호 활동의 기록이 있거나 프로세스로 체계화된 단계(SOP, IT 시스템)
- 평가(check) : 정보보호 활동을 평가하는 단계(평가 프로세스, 지표)
- 개선(act) : 정보보호 활동을 지속적으로 개선하는 단계(이벤트 처리)
상기 정보보호 성과측정 모델을 적용한 정보보호 현황진단에서는 각각의 ISO 27001 통제(133 Controls)가 조직에 어떻게 적용되는지 파악하기 위하여 도 7과 같이 조직의 R&R(Role & Responsibility)과 정책문서를 고려한 예비평가표와 현재 수행되는 업무를 기반으로 현황분석표를 작성한다. 예비평가표와 현행분석표를 비교(GAP analysis)하면 선언적인 보안규정과 실행되는 업무와의 문제점을 발견하여 도 10과 같이 현황진단 분석결과가 도출된다.
도 4의 T21과 같은 정보보호 성과지표 도출을 위해 정보보호 현황진단의 예비평가표(정책 및 지침 분석, 도 4의 T21-2, 도 8) 및 현행분석표(수행업무 분석, 도 4의 T21-1, 도 8)를 측정가능(5W1H)한 항목으로 예비 정보보호 성과지표(ISKPI pool, 도 4의 21-5, 도 8)를 도출한다. 각각의 지표는 전략 연계성(strategy), 구체성(specific), 측정용이(Measurable), 수용성(Reasonable)을 고려하여 최종지표로 선정(scoring method, 도 8)된다.
개선된 정보보호 성과지표는 정보보호 활동의 정량화를 위해 기존의 위험관리 지표와 비교하면 보다 확장된 의미(관리, 물리, 기술을 포함)를 제공하는데, 도 4의 T21-6 및 도 9와 같은 정보보호 성과지표 매트릭스를 적용한다. 기존의 위험관리지표는 일부 IT 기반의 위험요소를 부분적으로 사용하였다. 예를 들면, 바이러스 백신 서버를 활용하여 바이러스 감염율을 위험지표로 사용하였다.
자산(asset)의 속성(property)과 생명주기(life cycle)로 정의된 정보보호 성과지표를 도 9와 같이 매트릭스에 배치(GAP analysis)시키면, 도 4의 T21-7 및 도 10과 같이 보안목표(security objectives)를 개선할 수 있는 정보보호 현황진단 분석결과가 도출된다. 조직의 보안수준이 저조하면 지표의 매트릭스 배치가 복잡하고 보안 요구사항 정의가 곤란하다. 그러나, 보안수준이 향상될수록 지표의 매트릭스 구성 및 보안 요구사항 정의가 간단해진다.
도 4의 T28과 같은 추가된 CSO 리포트는 정량화된 보안활동 결과를 도출하기 위해 도 10과 같이 하향식 정보보호 현황진단과 상향식 정보보호 성과지표를 재 사용한다. 도 10과 같이 정보보호 현황진단 분석결과로 구성된 정보보호 성과측정 체계를 적용하여 정량화된 보안활동 결과를 도출한다.
도 10의 정보보호 성과지표는 기반지표, 이행지표, 결과지표로 구성된다.
- 기반지표 : 정보보호 관리체계(정보보호 활동체계, 정보보호 문화정착)의 근간이 잘 구성되어 있는지에 따라 평가됨.
- 이행지표 : 개별지표의 실천으로 보안활동 수준이 향상되는 것으로 정의되는 정보보호 성과지표 항목의 측정값
- 결과지표 : 개별지표의 발생감소로 보안활동 수준이 향상되는 것으로 정의되는 정보보호 성과지표 항목의 측정값
도 11의 정보보호 성과지표는 이해관계자 및 용도에 따라 아래와 같이 운영될 수 있다.
- 종합지표(보안 관리자용, 도 11) : 기반지표, 이행지표, 결과지표로 정의
- 내부지표(부서 관리자용, 도 11) : 이행지표와 결과지표만으로 정의
이상의 기능을 제공하기 위해 각각의 정보보호 성과지표는 현재수준 및 목표수준을 정의하기 위한 지표정의서는 도 12와 같다.
상기와 같이 살펴본 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법은, 정보보호 관리체계를 갖는 소프트웨어에 의한 정보 처리가 하드웨어를 이용해 정보보호 관리시스템에서 구체적으로 실현될 수 있다. 그리고, 정보보호 관리체계는 매체에 기록되어 정보보호 관리시스템에 의해 읽혀진다.
상기 운영방법을 구현하는 시스템의 일 예로 현황분석모듈, 위험처리모듈, 통제이행모듈, 모니터링모듈 및 사후관리모듈을 포함하여 구성되는 정보보호 관리시스템을 들 수 있다. 각 모듈은 도4에 도시된 정보보호 성과지표 운영방법을 지원하기 위한 하드웨어 및 이를 구동하는 소프트웨어를 포함하는 시스템 자원이다.
상기 현황분석모듈은 관리자로부터 ISMS 예비 범위 및 ISMS 보안 정책 데이터를 입력 받아 제1 현황진단 분석결과 데이터를 생성한다. 구체적으로는 상기 ISMS 예비 범위를 기준으로 성과측정모델을 적용하여 현황분석 테이블을 생성하고 상기 ISMS 보안 정책을 이용하여 예비평가 테이블을 생성한다. 상기 현황분석 테이블 및 예비평가 테이블의 데이터를 비교한 차이를 이용하여 제1 현황진단 분석결과 데이터를 생성한다.
상기 위험처리모듈은 상기 제1 현황진단 분석결과 데이터에서 보안 정책의 개선 항목을 추출한다. 상기 개선 항목의 추출 요소 및 추출 방법 등은 기 설정되어 있는 것이 바람직하다.
상기 통제이행모듈은 통제 이행을 위한 통제 요소 및 요소별 통제의 수준에 대한 데이터를 생성한다. 구체적으로는 상기 추출된 개선 항목 및 업무 리스트를 이용하여 상기 개선 항목과 관련된 업무를 추출한다. 상기 추출된 관련 업무별로 정보보호를 위한 통제 요소를 추출한다. 또한 상기 추출된 통제 요소별로 수행해야 할 통제의 수준을 계산하여 통제 이행 데이터를 생성한다. 이렇게 생성된 통제 이행 데이터를 이용하여 관리자는 통제 이행을 용이하게 수행할 수 있다.
상기 모니터링모듈은 통제 현황 및 예비평가표를 비교하여 제2 현황진단 분석결과 데이터를 생성한다. 구체적으로는 상기 현황분석모듈에서 생성하는 현황분석 테이블 및 예비평가 테이블을 비교하여 정보보호 통제의 현황을 모니터링 할 지표를 추출한다. 추출된 지표를 기 저장된 배점 테이블을 이용하여 통제 현황을 상기 지표별로 달성률을 계산하고 ISKPI 매트릭스를 생성한다. 상기 생성된 ISKPI 매트릭스를 이용해서 제2 현황진단 분석결과를 생성한다.
상기 사후관리모듈은 개선계획에 따른 정보보호의 결과 데이터를 시스템에서 수집한 후 CSO 리포트를 생성한다. 구체적으로는 상기 제1 현황진단 분석결과 데이터 및 제2 현황진단 분석결과 데이터를 통해서 수행된 개선 활동의 결과를 수집하고 기 설정된 리포터 양식을 적용하여 CSO 리포트를 생성한다. 상기 제1 현황진단 분석결과 데이터 및 제2 현황진단 분석결과 데이터를 이용하여 개선 사항 및 개선 정도를 도출하며, 도출된 사항을 이용하여 성과지표를 도출한다. 필요에 따라서는 관리자가 입력하는 개선계획을 입력받아 성과지표를 도출할 수도 있다. 따라서 상기의 생성된 CSO 리포트를 이용하여 관리자는 개선 계획의 효과를 재검토할 수 있어 정보보호 계획의 수정이 가능해지며 성과 측정을 용이하게 할 수 있다.
상기와 같은 모듈을 포함하는 시스템은 본 발명의 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법을 지원할 수 있으며, 시스템 상에서 정보보호 성과지표를 이용한 정보보호 관리체계의 운영이 가능하도록 한다.
본 발명은 상술한 실시형태 및 첨부된 도면에 의해 한정되지 아니한다. 첨부된 청구범위에 의해 권리범위를 한정하고자 하며, 청구범위에 기재된 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 다양한 형태의 치환, 변형 및 변경이 가능하다는 것은 당 기술분야의 통상의 지식을 가진 자에게 자명할 것이다.
도 1은 종래의 정보보호관리체계(ISO 27001)의 요구사항을 구조화한 도면이다.
도 2는 종래의 정보보호관리체계(ISO 27001)의 도입에 따른 운영 프로세스를 체계화한 도면이다.
도 3은 본 발명의 정보보호관리체계의 프로세스를 체계화한 도면이다.
도 4는 본 발명의 정보보호관리체계의 도입에 따른 정보보호 성과지표 운영방법을 나타낸 흐름도이다.
도 5는 본 발명의 점검표 방식과 성과측정모델을 적용한 방식의 정보보호 현황진단의 방법을 비교한 도면이다.
도 6은 본 발명의 정보보호 성과측정모델을 도시한 도면이다.
도 7은 본 발명의 정보보호 현황진단 분석결과를 도시한 도면이다.
도 8은 본 발명의 정보보호 성과지표 도출의 과정 및 방법을 도시한 도면이다.
도 9는 본 발명의 정보보호 성과지표 매트릭스를 체계화한 도면이다.
도 10은 본 발명의 정보보호 성과지표 체계와 정보보호 현황진단 분석결과의 관계를 정의한 도면이다.
도 11은 본 발명의 정보보호 성과지표 체계 및 운영방식을 도시한 도면이다.
도 12는 본 발명의 정보보호 성과지표 정의서를 나타낸 도면이다.

Claims (5)

  1. ISMS(Information Security Management System) 예비 범위 및 ISMS 보안 정책 데이터를 입력 받아 제1 현황진단 분석결과 데이터를 생성하는 현황분석모듈;
    상기 제1 현황진단 분석결과 데이터에서 보안 정책의 개선 항목을 추출하는 위험처리모듈;
    상기 추출된 개선 항목을 이용해서 통제 이행을 위한 통제 요소 및 요소 별 통제의 수준에 대한 데이터를 생성하는 통제이행모듈;
    상기 제1 현황진단분석 결과 데이터 및 예비평가표를 비교하여 평가지표를 추출하고 이를 이용하여 제2 현황진단 분석결과 데이터를 생성하는 모니터링모듈; 및
    개선계획에 따른 정보보호의 결과 데이터를 시스템에서 수집한 후 CSO (Chief Security Officer) 리포트를 생성하는 사후관리모듈을 포함하는 정보보호 관리시스템을 이용하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법에 있어서,
    상기 현황분석모듈을 이용하여 제1현황진단 분석결과 데이터를 생성하고 이를 상기 위험처리모듈로 전송하여 개선 항목을 추출하여 제공하고, 수립된 보안 정책을 입력 받아 현황분석모듈로 전송하는 제1단계;
    상기 통제이행모듈을 이용하여 통제 요소 및 요소 별 통제의 수준에 대한 데이터를 생성하여 제공하는 제2단계;
    상기 모니터링모듈을 이용하여 평가지표 추출 및 제2현황진단 분석결과 데이터 생성을 수행하는 제3단계; 및
    상기 사후관리모듈을 이용하여 정보보호 결과를 수집하고 CSO 리포트를 생성하는 제4단계;
    를 포함하며, 상기 제3단계에서 현황진단 분석결과는 자산의 속성과 생명주기로 정의된 정보보호 성과지표를 ISKPI (Information Security Key Performance Index) 매트릭스에 배치시켜 도출하는 것을 특징으로 하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법.
  2. 제1항에 있어서, 현황분석모듈은
    상기 계획, 이행, 평가 및 개선을 포함하는 정보보호 성과측정모델을 적용하여 현황분석표를 생성하여 제1 현황진단 분석결과 데이터를 생성하며, 상기 정보보호 성과측정모델은,
    상기 정보보호에 관한 활동을 수행 정도를 측정하는 제1과정;
    상기 정보보호에 관한 활동의 내용을 문서화 정도를 측정하는 제2과정;
    상기 정보보호에 관한 활동의 내용을 표준화시키거나 프로세스로 체계화시킨 정도를 측정하는 제3과정; 및
    상기 정보보호에 관한 활동의 내용의 결과를 평가 및 분석한 정도를 측정하는 제4과정;
    을 포함하는 것을 특징으로 하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법.
  3. 삭제
  4. 제1항에 있어서, 상기 제4단계는
    상기 정보보호 성과지표를 적용하여 정량화된 보안활동 결과를 도출하여 상기 CSO 리포트를 생성하며, 상기 정보보호 성과지표 도출은
    상기 정보보호에 대한 개별지표의 실천으로 보안활동 수준이 향상되는 것으로 정의되는 항목의 정량적 측정값을 도출하는 과정; 및
    상기 개별지표의 발생감소로 보안활동 수준이 향상되는 것으로 정의되는 항목의 정량적 측정값을 도출하는 과정;
    을 포함하는 것을 특징으로 하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법.
  5. 제4항에 있어서, 상기 제4단계는
    상기 CSO 리포트가 상기 정보보호 관리체계의 근간이 구성된 정도를 평가한 정성적 평가를 더 포함하는 것을 특징으로 하는 정보보호 관리체계의 도입에 따른 정보보호 성과지표 운영방법.
KR1020080013956A 2008-02-15 2008-02-15 정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법 KR101008148B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080013956A KR101008148B1 (ko) 2008-02-15 2008-02-15 정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080013956A KR101008148B1 (ko) 2008-02-15 2008-02-15 정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법

Publications (2)

Publication Number Publication Date
KR20090088580A KR20090088580A (ko) 2009-08-20
KR101008148B1 true KR101008148B1 (ko) 2011-01-13

Family

ID=41207155

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080013956A KR101008148B1 (ko) 2008-02-15 2008-02-15 정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법

Country Status (1)

Country Link
KR (1) KR101008148B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101560259B1 (ko) * 2015-02-27 2015-10-15 주식회사 씨에이에스 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템
KR20160126589A (ko) * 2015-04-24 2016-11-02 선문대학교 산학협력단 사이버 보안 라이프 사이클에 기반한 사이버 보안 장치 및 방법, 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101505079B1 (ko) * 2014-06-13 2015-03-24 주식회사 이볼케이노 정보보호업무 지원시스템 및 방법
KR101596456B1 (ko) * 2015-03-25 2016-03-08 주식회사 이앤유 보안 관리 시스템 및 방법
CN112036826A (zh) * 2020-08-28 2020-12-04 南京沐航交通科技有限公司 一种基于海上导航安全控制系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070061009A (ko) * 2005-12-08 2007-06-13 한국전자통신연구원 보안 위험 관리 시스템 및 방법
KR100752677B1 (ko) * 2006-04-19 2007-08-29 ㈜ 메타리스크 정보기술 위험관리시스템 및 그 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070061009A (ko) * 2005-12-08 2007-06-13 한국전자통신연구원 보안 위험 관리 시스템 및 방법
KR100752677B1 (ko) * 2006-04-19 2007-08-29 ㈜ 메타리스크 정보기술 위험관리시스템 및 그 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101560259B1 (ko) * 2015-02-27 2015-10-15 주식회사 씨에이에스 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템
KR20160126589A (ko) * 2015-04-24 2016-11-02 선문대학교 산학협력단 사이버 보안 라이프 사이클에 기반한 사이버 보안 장치 및 방법, 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체
KR101674198B1 (ko) * 2015-04-24 2016-11-08 선문대학교 산학협력단 사이버 보안 라이프 사이클에 기반한 사이버 보안 장치 및 방법, 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체

Also Published As

Publication number Publication date
KR20090088580A (ko) 2009-08-20

Similar Documents

Publication Publication Date Title
US8256004B1 (en) Control transparency framework
US20030004754A1 (en) Hipaa compliance systems and methods
US20050182750A1 (en) System and method for instrumenting a software application
KR100755000B1 (ko) 보안 위험 관리 시스템 및 방법
Bugeja et al. IoTSM: an end-to-end security model for IoT ecosystems
López et al. Quality measurement in agile and rapid software development: A systematic mapping
KR101008148B1 (ko) 정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법
KR101210027B1 (ko) 원자력발전소 디지털계측제어계통의 사이버보안 관리 방법 및 장치
Jespersen et al. Developing a concept for external audits of psychosocial risks in certified occupational health and safety management systems
CN111274136B (zh) 一种机载软件测试管理系统和测试过程管理方法
Foli et al. The link between supply chain risk management and innovation performance in SMEs in turbulent times
Mining Data science in Action
KR102127656B1 (ko) 정보보호 시스템 취약점의 자동 진단 분석을 위한 서버 및 그 시스템
Chandra et al. Measuring operational management information technology: COBIT 5.0 and capability level
Quinting et al. Advancing the adoption of a new generation of certifications–a theoretical model to explain the adoption of continuous cloud service certification by certification authorities
Miloslavskaya et al. Information security management maturity models
Kim et al. Effects of AEO-MRA on the Performance of Exporters and Importers in Korea
Kim et al. A study on the impact analysis of security flaws between security controls: An empirical analysis of K-ISMS using case-control study
Aouhassi et al. Information system quality: State of the art and new model
Rifaut et al. Measurement-oriented comparison of multiple regulations with GRL
Mullins-Jaime et al. Interconnected pathways: the role of integrated programs, safety climate, and safety professional engagement in safety and other organizational outcomes
Peters et al. Understanding service quality and customer churn by process discovery for a multi-national banking contact center
Radack Security metrics: measurements to support the continued development of information security technology
Kiesow et al. Design science for future AIS: transferring continuous auditing issues to a gradual methodology
Rot Enterprise information technology security: risk management perspective

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140107

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150107

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160106

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170104

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180105

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20200106

Year of fee payment: 10