KR101259579B1 - System and method of opertating information security task - Google Patents

System and method of opertating information security task Download PDF

Info

Publication number
KR101259579B1
KR101259579B1 KR1020120126056A KR20120126056A KR101259579B1 KR 101259579 B1 KR101259579 B1 KR 101259579B1 KR 1020120126056 A KR1020120126056 A KR 1020120126056A KR 20120126056 A KR20120126056 A KR 20120126056A KR 101259579 B1 KR101259579 B1 KR 101259579B1
Authority
KR
South Korea
Prior art keywords
control
information
work
performance
requirements
Prior art date
Application number
KR1020120126056A
Other languages
Korean (ko)
Inventor
현재환
Original Assignee
(주)유와이즈원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)유와이즈원 filed Critical (주)유와이즈원
Priority to KR1020120126056A priority Critical patent/KR101259579B1/en
Application granted granted Critical
Publication of KR101259579B1 publication Critical patent/KR101259579B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0637Strategic management or analysis, e.g. setting a goal or target of an organisation; Planning actions based on goals; Analysis or evaluation of effectiveness of goals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Human Resources & Organizations (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Entrepreneurship & Innovation (AREA)
  • General Engineering & Computer Science (AREA)
  • Educational Administration (AREA)
  • Economics (AREA)
  • Strategic Management (AREA)
  • Game Theory and Decision Science (AREA)
  • Marketing (AREA)
  • General Business, Economics & Management (AREA)
  • Tourism & Hospitality (AREA)
  • Development Economics (AREA)
  • Quality & Reliability (AREA)
  • Operations Research (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

PURPOSE: An information protection work operation system and a method thereof are provided to perform information protection work without the help of a professional consultant for information protection. CONSTITUTION: An information protection control unit(3) transmits a work performance manual of a control item to a worker terminal(10) and requests work. The information protection control unit transmits work performance result information and approval request information to an information protection director terminal(20). The information protection control unit stores the work performance result information in an evidence database(4) corresponding to reception of payment approval information from the information protection director terminal. [Reference numerals] (1) Information protection work operation system; (10) Worker terminal; (2) Information protection DB; (20) Information protection director terminal; (3) Information protection control unit; (4) Evidence DB; (AA) Network;

Description

정보보호업무 운영시스템 및 방법{SYSTEM AND METHOD OF OPERTATING INFORMATION SECURITY TASK}SYSTEM AND METHOD OF OPERTATING INFORMATION SECURITY TASK}

본 발명은 정보보호업무 운영시스템 및 방법에 관한 것으로, 더욱 자세하게는 정보보호 관리체계를 이용하여 정보보호에 대한 깊은 이해가 없는 인력도 정보보호업무를 수행할 수 있도록 한 정보보호업무 운영시스템 및 방법에 관한 것이다.The present invention relates to a system and method for operating an information security service, and more particularly, to an information security service operating system and method that enables a person without a deep understanding of information security to perform an information security service using an information security management system. It is about.

정보보호 관리체계(Information Security Management System : 이하 ISMS라 함)는 정보통신망의 안정성 확보를 위하여 수립·운영하고 있는 기술적·물리적 보호조치 등 종합적인 관리체계에 대한 인증제도이다. 즉 ISMS는 관리적 관점의 정보보호체계로서, 조직의 운영에 있어 체계적인 관리의 틀을 마련하고 지속적인 정보보호 관리 업무를 수행하고 이를 증명하기 위해 증적(evidence)을 관리하여야 주어지는 인증이다. The Information Security Management System (hereinafter referred to as ISMS) is a certification system for a comprehensive management system, including technical and physical protection measures that are established and operated to ensure the stability of information and communication networks. In other words, ISMS is an information security system from an administrative point of view. It is a certification given to manage the evidence in order to establish a systematic management framework in the operation of the organization and to perform and prove the continuous information security management work.

최근 개인정보보호법 발효와 대형보안사고 급증으로 인해 관리적 관점의 ISMS 인증이 권고사항에서 강제사항으로 변경되어 2013년부터 시행될 예정이며, 최소한의 보호조치의무를 이행하였다는 객관적인 지표로 인정되어 정보보호 사고 발생시 과징금, 과태료의 50%경감과 소송에서 면책의 수단으로 활용될 수 있다. Due to the recent enactment of the Personal Information Protection Act and the proliferation of large-scale security accidents, ISMS certification from an administrative perspective has been changed from a recommendation to a mandatory one, and is scheduled to be implemented in 2013. In the event of an accident, 50% of fines and penalties can be reduced and used as a means of immunity in litigation.

이러한 ISMS에는 미국의 경우 FISMA(Federal Information Security Management Act), 국제표준으로 ISO27001, 대한민국 국내의 경우 한국인터넷진흥원의 KISA-ISMS 및 G-ISMS(Government-ISMS), 개인정보보호관리체계(Personal Information Management System : PIMS) 등이 있다. 이들 중 국내의 경우에 KISA-ISMS와 G-ISMS, PIMS 인증을 얻어야 한다.Such ISMS includes the Federal Information Security Management Act (FISMA) in the United States, ISO27001 as the international standard, KISA-ISMS and G-ISMS (Government-ISMS), and Personal Information Management (KIS) of the Korea Internet & Security Agency in Korea. System: PIMS). In Korea, KISA-ISMS, G-ISMS and PIMS should be obtained.

ISMS 인증은 정보보호를 위한 통제요건들 각각에 대한 실천 통제항목들이 정보보호 컨설턴트의 컨설팅을 통해 생성되며 이후 수많은 인력(정보보호 컨설턴트)들이 통제요건들 각각에 대한 실천 통제항목들이 지켜지고 있는가를 점검하고 이 점검결과를 증적으로 남기는 방식으로 이루어지고 있다. 상기 정보보호를 위한 통제요건들은 130개 정도의 요건들로 구성될 수 있으며, 상기 통제요건들에 각각에 대한 통제항목들의 개수는 모두 합하면 400개 정도 될 수 있다. The ISMS certification is based on the implementation of the control items for each of the control requirements for information protection through the consulting of an information security consultant. Afterwards, a number of personnel (information security consultants) check whether the action controls for each of the control requirements are followed. This check is done by leaving evidence. The control requirements for data protection may consist of about 130 requirements, and the number of control items for each of the control requirements may be about 400 in total.

이로 인해서 통제요건들 각각에 대한 실천 통제항목들의 생성이 정보보호 컨설턴트에 의해서 이루어지기 때문에 고비용이 소요되는 문제점이 발생한다. 또한 수많은 인력들이 주기적으로 동일한 실천 통제항목들이 지켜지는지를 점검하고 이를 증적(증거 자료)으로 남기는 반복작업을 수행해야 하는 어려움을 가진다. This creates a costly problem because the creation of action controls for each of the control requirements is made by the information security consultant. In addition, many people have the difficulty of periodically checking to see if the same practice controls are followed and performing repetitive work that leaves them as evidence.

정보보호에 대한 전문컨설턴트에 의하지 않고서도 정보보호에 대한 깊은 이해가 없는 인력도 정보보호업무를 수행할 수 있도록 한 정보보호업무 운영시스템 및 방법이 제안된다.
An information security service operation system and method is proposed that enables a person who does not have a deep understanding of information security to perform information security work without consulting a professional consultant.

본 발명의 해결하고자 하는 과제는 이상에서 언급한 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The problems to be solved by the present invention are not limited to the above-mentioned problems, and other problems that are not mentioned can be clearly understood by those skilled in the art from the following description.

본 발명의 일 양상에 따른 정보보호업무 운영시스템은, 정보보호를 위한 통제요건들, 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 및 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼을 저장한 정보보호 데이터베이스; 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행자가 업무를 수행하여 정보보호 책임자의 결재승인을 받은 업무수행결과정보를 증적(evidence)으로 저장한 증적 데이터베이스; 및 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무 수행시기에 해당 될 때 해당 업무 수행자 단말기로 해당 통제항목의 업무수행매뉴얼을 전송하면서 업무수행을 요청하며, 해당 업무 수행자 단말기로부터 수신되는 업무수행결과정보와 승인요청정보를 정보보호 책임자 단말기로 전송하여 상기 정보보호 책임자 단말기로부터 결재승인정보를 수신함에 따라 결재승인된 상기 업무수행결과정보를 증적으로 상기 증적 데이터베이스에 저장하는 정보보호 제어부를 포함한다.The information security service operation system according to an aspect of the present invention, the control requirements for information protection, the control items to be carried out to comply with the control requirements for each of the control requirements and compliance with the control requirements for each of the control requirements An information security database storing a work performance manual of each control item to be performed for An evidence database that stores, as an evidence, the performance information of the control items that are to be performed to comply with the control requirements for each of the control requirements, and has received the approval of the information protection officer; And requesting the work to be carried out by transmitting the work performance manual of the control item to the work performer terminal when the control items to be carried out to comply with the control requirements for each of the control requirements, when appropriate Transmitting work performance result information and approval request information received from the performer terminal to the information security officer terminal and receiving the payment approval information from the information security officer terminal, and storing the approved business performance result information in the evidence database as evidence. And an information protection control unit.

상기 통제요건들 각각은 정보보호관리체계(Information Security Management System)에 의해서 정해진 명제일 수 있다.Each of the control requirements may be a proposition defined by an information security management system.

상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각은 정보보호 컨설턴트에 의해서 미리 정의될 수 있다.Each of the control items that must be performed to comply with the control requirements for each of the above control requirements can be predefined by the information security consultant.

상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼은, 해당 통제항목의 업무수행일, 해당 통제항목의 업무수행자정보와 업무수행자의 업무수행결과정보에 대한 승인결재자인 상기 정보보호 책임자 정보, 해당 통제 항목의 업무수행이 이뤄지는 장소, 해당 업무수행자의 업무수행내용인 해당 통제항목내용, 해당 업무수행자가 해당 통제항목에 대한 업무수행을 하는 이유정보, 해당 통제항목에 대한 업무수행을 위한 방법정보를 포함할 수 있다.The work performance manual of each control item to be carried out to comply with the control requirements for each of the above control requirements is the approval of the date of performance of the control item, the information on the performer of the control item and the result of the performance of the work performer. The information on the person responsible for the information protection, the place where the performance of the control item is performed, the content of the control item which is the work performance of the business operator, the reason why the business operator performs the work on the control item, the control item It may include information on how to perform the work for.

상기 해당 업무수행자가 해당 통제항목에 대한 업무수행을 하는 이유정보는, 해당 통제항목에 대한 업무수행내용의 인증을 획득하거나 해당 통제항목에 대한 업무수행내용을 갱신하기 위한 것일 수 있다.The reason information that the performer performs the work on the control item may be to obtain certification of the work performance on the control item or to update the work performance on the control item.

상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼은, 해당 통제항목에 대한 업무수행결과정보를 증적으로 남기는데 필요한 양식서류 데이터를 더 포함할 수 있다.The performance manual for each of the control items to be performed for compliance with the control requirements for each of the control requirements may further include form document data necessary to leave the performance information on the control items as evidence.

상기 양식서류데이터는, 해당 통제항목에 대한 업무수행결과정보를 증적으로 남기기 위한 양식서 데이터, 양식서를 작성하는데 참조하기 위한 샘플 양식서 데이터, 해당 통제항목의 업무수행에 대한 절차 데이터를 포함할 수 있다.The form document data may include form data for leaving work performance result information for the control item, sample form data for reference in preparing the form, and procedural data for the performance of the control item.

상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무 수행시기는, 주기적 또는 비주기적일 수 있다.The timing of the performance of each of the control items to be performed to comply with the control requirements for each of the control requirements may be periodic or aperiodic.

상기 정보보호 제어부는, 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼 중 해당 통제항목에 대한 업무수행일이 주기적인가 또는 비주기적인가로, 해당 통제항목에 대한 업무수행시기가 주기적 또는 비주기적인가를 판단할 수 있다.The information protection control unit determines whether the work performance date for the control item is periodic or non-periodical in the work execution manual of each control item to be performed to comply with the control requirement for each control condition. It is possible to determine whether the timing of work is periodic or non-periodic.

상기 정보보호 제어부는, 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼 중 해당 통제항목에 대한 업무수행자정보를 이용하여 해당 통제항목에 대한 업무수행자를 파악할 수 있다.The information protection control unit can identify the performer of the control item by using the performer information on the control item in the work manual of each control item to be performed to comply with the control requirement for each control requirement. have.

상기 정보보호 제어부는, 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼 중 상기 정보보호 책임자 정보를 이용하여 해당 통제항목에 대한 업무수행자의 업무수행결과정보에 대한 승인결재자를 파악할 수 있다.The information protection control unit uses the information protection officer information in the work performance manual of each control item to be performed to comply with the control requirement for each control requirement, and the information protection controller performs the information on the work performance result of the business operator for the control item. The approvers can be identified.

본 발명의 다른 양상에 따른 정보보호 운영방법은, 정보보호를 위한 통제요건들, 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 및 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼을 저장한 정보보호 데이터베이스와, 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행자가 업무를 수행하여 정보보호 책임자의 결재승인을 받은 업무수행결과정보를 증적(evidence)으로 저장한 증적 데이터베이스를 구비한 정보보호업무 운영시스템에서 수행되며, 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무 수행시기에 해당 될 때 해당 업무 수행자 단말기로 해당 통제항목의 업무수행매뉴얼을 전송하면서 업무수행을 요청하는 단계; 해당 업무 수행자 단말기로부터 해당 통제항목의 업무수행결과정보를 수신하는 단계; 상기 해당 업무 수행자 단말기로부터 수신한 업무수행결과정보를 상기 수신한 업무수행결과정보에 대한 승인요청정보를 함께 정보보호 책임자 단말기로 전송하는 단계; 및 상기 정보보호 책임자 단말기로부터 결재승인정보를 수신함에 따라 결재승인된 업무수행결과정보를 증적(evidence)으로 상기 증적 데이터베이스에 저장하는 단계로 이루어진다. The information security operation method according to another aspect of the present invention, the control requirements for the protection of information, the control items to be carried out to comply with the control requirements for each of the control requirements and to comply with the control requirements for each of the control requirements Information security database that stores work performance manual of each control item to be performed, and the work of each control item to be performed to comply with the control requirements for each of the above control requirements. Perform the work of each control item to be carried out in the information security business operation system with the evidence database that stores the approved work performance information as evidence. When it is time to send the work manual of the control item to the performer terminal Requesting performance while doing so; Receiving work performance result information of the control item from the work operator terminal; Transmitting the task execution result information received from the corresponding task performer terminal to the information protection officer terminal together with the approval request information for the received task performance result information; And storing the approval result of the performance of the payment in the evidence database as an evidence upon receiving payment approval information from the information protection officer terminal.

상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무 수행시기에 해당 될 때 해당 업무 수행자 단말기로 해당 통제항목의 업무수행매뉴얼을 전송하면서 업무수행을 요청하는 단계는, 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼 중 해당 통제항목에 대한 업무수행일이 주기적인가 또는 비주기적인가로, 해당 통제항목에 대한 업무수행시기가 주기적 또는 비주기적인가를 판단할 수 있다. When the control requirements for each of the control requirements to be carried out to comply with the control requirements for each of the control period, the step of requesting the performance of the work while transmitting the work performance manual of the control item to the operator of the relevant control unit, For each control item, whether the date of performance of the control item is periodic or non-periodical in each of the control items to be performed to comply with the control requirement. It can be determined whether it is aperiodic.

상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무 수행시기에 해당 될 때 해당 업무 수행자 단말기로 해당 통제항목의 업무수행매뉴얼을 전송하면서 업무수행을 요청하는 단계는, 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼 중 해당 통제항목에 대한 업무수행자정보를 이용하여 해당 통제항목에 대한 업무수행자를 파악할 수 있다.When the control requirements for each of the control requirements to be carried out to comply with the control requirements for each of the control period, the step of requesting the performance of the work while transmitting the work performance manual of the control item to the operator of the relevant control unit, For each control requirement, the performer of the control item can be identified by using the performer information on the control item in each of the control manuals to be performed to comply with the control requirement.

상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무 수행시기에 해당 될 때 해당 업무 수행자 단말기로 해당 통제항목의 업무수행매뉴얼을 전송하면서 업무수행을 요청하는 단계는, 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼 중 상기 정보보호 책임자 정보를 이용하여 해당 통제항목에 대한 업무수행자의 업무수행결과정보에 대한 승인결재자를 파악할 수 있다.When the control requirements for each of the control requirements to be carried out to comply with the control requirements for each of the control period, the step of requesting the performance of the work while transmitting the work performance manual of the control item to the operator of the relevant control unit, The information security officer information of each control item to be performed to comply with the control requirement by control requirements can be used to identify the approver for the performance result information of the performer of the control item. .

본 발명의 실시예에 따르면, 정보보호에 대한 전문컨설턴트에 의하지 않고서도 정보보호에 대한 깊은 이해가 없는 인력도 정보보호업무를 수행할 수 있도록 함으로써, 정보보호업무를 수행하는데 있어서 비용을 절감할 수 있게 된다.According to an embodiment of the present invention, it is possible to reduce the cost of performing the information protection service by enabling the personnel without a deep understanding of the information protection without performing a professional consultant for information protection, Will be.

또한 정보보호전문가가 아닌 비전문가가 정보보호업무를 수행해도 정보보호전문가가 수행하는 것과 같은 결과를 도출할 수 있게 된다. In addition, even if a non-expert expert performs information security work, the same result as that of an information security expert can be obtained.

도 1은 본 발명의 실시예에 따른 정보보호업무 운영시스템의 구성을 나타낸 도면이다.
도 2는 통제요건 및 통제항목을 예시한 도면이다.
도 3은 업무수행결과정보를 증적으로 남기기 위한 양식서를 예시한 도면이다.
도 4는 해당 통제항목의 업무수행에 대한 절차 데이터를 예시한 도면이다.
도 5는 비주기적인 통제항목에 관한 질문을 예시한 도면이다.
도 6은 본 발명의 실시예에 따른 정보보호업무 운영방법에 대한 플로차트를 나타낸 도면이다.1 is a diagram showing the configuration of an information security service operating system according to an embodiment of the present invention.
2 is a diagram illustrating control requirements and control items.
3 is a diagram illustrating a form for leaving work performance result information as evidence.
4 is a diagram illustrating the procedure data for the performance of the control item.
5 is a diagram illustrating a question about an aperiodic control item.
6 is a flowchart illustrating a method for operating an information protection service according to an embodiment of the present invention.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다.  Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

본 발명의 실시예들은 당해 기술 분야에서 통상의 지식을 가진 자에게 본 발명을 더욱 완전하게 설명하기 위하여 제공되는 것이며, 아래의 실시예들은 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 아래의 실시예들로 한정되는 것은 아니다. 오히려, 이들 실시예는 본 개시를 더욱 충실하고 완전하게 하며 당업자에게 본 발명의 사상을 완전하게 전달하기 위하여 제공되는 것이다.  Embodiments of the present invention are provided to more fully describe the present invention to those skilled in the art, and the following embodiments may be modified in various other forms, The present invention is not limited to the following embodiments. Rather, these embodiments are provided so that this disclosure will be more thorough and complete, and will fully convey the concept of the invention to those skilled in the art.

본 명세서에서 사용된 용어는 특정 실시예를 설명하기 위하여 사용되며, 본 발명을 제한하기 위한 것이 아니다. 본 명세서에서 사용된 바와 같이 단수 형태는 문맥상 다른 경우를 분명히 지적하는 것이 아니라면, 복수의 형태를 포함할 수 있다. 또한, 본 명세서에서 사용되는 경우 "포함한다(comprise)" 및/또는"포함하는(comprising)"은 언급한 형상들, 숫자, 단계, 동작, 부재, 요소 및/또는 이들 그룹의 존재를 특정하는 것이며, 하나 이상의 다른 형상, 숫자, 동작, 부재, 요소 및/또는 그룹들의 존재 또는 부가를 배제하는 것이 아니다. 본 명세서에서 사용된 바와 같이, 용어 "및/또는"은 해당 열거된 항목 중 어느 하나 및 하나 이상의 모든 조합을 포함한다.  The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. As used herein, the singular forms "a", "an," and "the" include plural forms unless the context clearly dictates otherwise. Also, as used herein, "comprise" and / or "comprising" specifies the presence of the mentioned shapes, numbers, steps, actions, members, elements and / or groups of these. It is not intended to exclude the presence or the addition of one or more other shapes, numbers, acts, members, elements and / or groups. As used herein, the term "and / or" includes any and all combinations of one or more of the listed items.

본 명세서에서 제1, 제2 등의 용어가 다양한 부재, 영역 및/또는 부위들을 설명하기 위하여 사용되지만, 이들 부재, 부품, 영역, 층들 및/또는 부위들은 이들 용어에 의해 한정되어서는 안됨은 자명하다. 이들 용어는 특정 순서나 상하, 또는 우열을 의미하지 않으며, 하나의 부재, 영역 또는 부위를 다른 부재, 영역 또는 부위와 구별하기 위하여만 사용된다. 따라서, 이하 상술할 제1 부재, 영역 또는 부위는 본 발명의 가르침으로부터 벗어나지 않고서도 제2 부재, 영역 또는 부위를 지칭할 수 있다.Although the terms first, second, etc. are used herein to describe various elements, regions and / or regions, it should be understood that these elements, components, regions, layers and / Do. These terms do not imply any particular order, top, bottom, or top row, and are used only to distinguish one member, region, or region from another member, region, or region. Thus, the first member, region or region described below may refer to a second member, region or region without departing from the teachings of the present invention.

이하, 본 발명의 실시예들은 본 발명의 실시예들을 개략적으로 도시하는 도면들을 참조하여 설명한다. 도면들에 있어서, 예를 들면, 제조 기술 및/또는 공차에 따라, 도시된 형상의 변형들이 예상될 수 있다. 따라서, 본 발명의 실시예는 본 명세서에 도시된 영역의 특정 형상에 제한된 것으로 해석되어서는 아니 되며, 예를 들면 제조상 초래되는 형상의 변화를 포함하여야 한다.
Hereinafter, embodiments of the present invention will be described with reference to the drawings schematically showing embodiments of the present invention. In the figures, for example, variations in the shape shown may be expected, depending on manufacturing techniques and / or tolerances. Accordingly, embodiments of the present invention should not be construed as limited to any particular shape of the regions illustrated herein, including, for example, variations in shape resulting from manufacturing.

도 1은 본 발명의 실시예에 따른 정보보호업무 운영시스템의 구성을 나타낸 도면이다.1 is a diagram showing the configuration of an information security service operating system according to an embodiment of the present invention.

도 1을 참조하면 본 발명의 실시예에 따른 정보보호업무 운영시스템(1)은, 정보보호 데이터베이스(2), 정보보호 제어부(3) 및 증적 데이터베이스(4)를 포함하며, 네트워크에 접속되어 업무 수행자 단말기(10)와 정보보호 책임자 단말기(20)와 연결되어서 데이터 통신을 수행한다. 이에 따라 정보보호업무 운영시스템(1)은 상기 업무 수행자 단말기(10) 및 정보보호 책임자 단말기(20)와 데이터 통신을 수행하기 위한 통신모듈(미도시)을 구비하는 개념으로 이해되어야 할 것이다. 마찬가지로 업무 수행자 단말기(10) 및 정보보호 책임자 단말기(20)도 네트워크에 접속하여 데이터 통신을 수행하기 위한 통신모듈을 구비하는 개념으로 이해되어야 한다.Referring to FIG. 1, an information protection service operating system 1 according to an exemplary embodiment of the present invention includes an information protection database 2, an information protection control unit 3, and an evidence database 4, and is connected to a network to perform work. It is connected to the performer terminal 10 and the information protection officer terminal 20 to perform data communication. Accordingly, the information protection task operating system 1 should be understood as a concept having a communication module (not shown) for performing data communication with the task performer terminal 10 and the information protection officer terminal 20. Similarly, the task performer terminal 10 and the information protection officer terminal 20 should also be understood as a concept having a communication module for accessing a network to perform data communication.

정보보호 데이터베이스(2)는 정보보호를 위한 통제요건들, 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 및 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼을 저장한다. 이때, 상기 통제요건들 각각은 정보보호관리체계(Information Security Management System)에 의해서 정해진 명제일 수 있다. 상기 정보보호관리체계는 FISMA, ISO27001, KISA-ISMS, G-ISMS, PIMS들 중 어느 하나일 수 있다. The information security database (2) includes the control requirements for data protection, the controls to be carried out to comply with the control requirements for each of the above control requirements, and the controls to be carried out for compliance with the corresponding control requirements for each of the control requirements. Save each work manual. In this case, each of the control requirements may be a proposition determined by an information security management system. The information security management system may be any one of FISMA, ISO27001, KISA-ISMS, G-ISMS, and PIMS.

상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각은 정보보호 컨설턴트에 의해서 미리 정의될 수 있다. Each of the control items that must be performed to comply with the control requirements for each of the above control requirements can be predefined by the information security consultant.

이러한 통제요건 및 통제항목을 예시한 도면이 도 2에 도시되어 있다. 도 2는 조직, 예를 들어 회사 등의 물리적 보안 영역 중 데이터센터보안을 위한 통제목적에 따른 통제요건과, 각 통제요건에 따른 통제항목들이 예시되어 있다. A diagram illustrating such control requirements and control items is shown in FIG. 2. 2 illustrates control requirements according to control purposes for data center security among physical security areas of an organization, for example, a company, and control items according to each control requirement.

예를 들어 "데이터센터의 출입은 적절한 출입통제절차에 의하여 이행되어 져야 하며 출입자를 식별하고 기록ㆍ관리하여야 한다. 또한 출입자 기록 대장은 정기적으로 점검하여야 한다"라는 통제요건은, 상기 정보보호관리체계에 의해서 정의된 명제일 수 있으며, 이 통제 요건 준수를 위해 수행되어야 할 통제항목들에는 "데이터센터의 출입에 관한 정책과 절차가 수립되어 있는가", "출입 정책과 절차에 따라 출입이 이루어지고 있는가", "데이터센터의 출입자가 식별되고, 기록·관리 되는가", "출입기록대장은 정기적으로 점검되는가", 출입증이나 허가의 타당성이 정기적으로 검토되고 있는가"가 있다.For example, the information security management system described above requires that access to the data center should be carried out by appropriate access control procedures, and the identification, recording and management of the persons entering the data center should be checked regularly. The control items to be carried out to comply with this control requirement include "is there a policy and procedure for access to the data center" and "are accesses made in accordance with access policies and procedures?" "Is the access to the data center identified, recorded and managed?", "Is the access log book checked regularly?" Is the validity of the pass or permit regularly reviewed? "

그리고, 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼은, 육하원칙으로 정보보호 컨설턴트에 의해서 정의될 수 있다. 상기 육하원칙은 '언제, 누가, 어디서, 무엇을, 왜, 어떻게'로 구성된다. "언제"는 해당 통제항목에 대한 업무수행일일 수 있다. "누가"는 해당 통제항목의 업무수행자와 업무수행자의 업무수행결과정보에 대한 승인결재자인 상기 정보보호 책임자일 수 있다. "어디서"는 해당 통제 항목의 업무수행이 이뤄지는 장소일 수 있다. "무엇을"은 업무수행자가 수행하는 업무수행 내용인 해당 통제항목일 수 있으며, 이에 더하여 "무엇을"은 정보보호 도메인, 통제부문, 통제목적, 통제요건을 더 포함할 수 있다. "왜"는 업무수행자가 해당 통제항목에 대한 업무수행을 하는 이유를 나타내며 해당 통제항목에 대한 업무수행내용의 인증을 획득하거나 해당 통제항목에 대한 업무수행내용을 갱신하기 위한 것일 수 있다. "어떻게"는 해당 통제항목에 대한 업무수행을 위한 방법을 나타내며 업무수행샘플, 기 수행 산출물, 해당 통제항목에 대한 업무수행을 위한 정책서, 업무수행을 위한 업무활동 설명서, 업무수행을 위한 고려사항정보, 해당 통제항목에 대한 결과 산출물, 업무수행결과를 증적으로 등록하기 위한 증적등록방법을 포함할 수 있다.In addition, the work performance manual of each control item to be performed to comply with the control requirements for each of the control requirements may be defined by the information security consultant in principle. The principle of subordination consists of 'when, who, where, what, why and how'. "When" may be the date of performance of the control. “Who” may be the information security officer who is the performer of the control item and the approver for the performer's performance result information. "Where" may be the place where the performance of the control items takes place. "What" may be a corresponding control item that is performed by the performer, and in addition, "What" may further include the information protection domain, control sector, control objectives, and control requirements. "Why" indicates the reason why the performer performs the work on the control item and may be to obtain certification of the work performance on the control item or to update the work performance on the control item. “How” refers to the method for performing the control on the control item, including the business performance sample, the performance product, the policy document for the performance of the control item, the description of the business activity for the job performance, and the considerations for the performance of the control item. It may include evidence registration methods to register information, results of the control items, and business performance results as evidence.

예를 들어, "언제"는 해당 통제항목의 업무수행일에 해당 되며 '2012년 7월 15일' 수 있다. "누가"에서 해당 통제항목의 업무수행자는 '홍길동 사원'일 수 있으며 업무수행자의 업무수행결과정보에 대한 승인결재자인 정보보호 책임자는 '허준 CISO'일 수 있다. "어디서"는 해당 통제항목의 업무수행이 이뤄지는 장소에 해당 되며 'A.사무동'일 수 있다. "무엇을"은 업무수행자가 수행하는 업무수행 내용인 해당 통제항목에 해당 되며 '정책을 구현하기 위한 필요한 지침, 표준, 절차 등이 구현되었는가?'일 수 있다. "무엇을"은 통제요건인 '정보보호정책을 구체적으로 시행하기 위한 정보보호 지침, 절차 및 표준을 수립하여야 한다. 또한 필요한 경우 특정시스템 또는 서비스에 대한 상세한 정보보호정책을 수립할 수 있다'와, 통제목적인 '정책 문서의 유형'과, 통제부문인 '정책의 체계'와, 정보보호 도메인인 '정보보호 정책'이 더 해당 될 수 있다. "왜"는 업무수행자가 해당 통제항목에 대한 업무수행을 하는 이유에 해당 되며 해당 통제항목에 대한 업무수행내용의 인증을 획득하거나 해당 통제항목에 대한 업무수행내용을 갱신하기 위한 것으로, ISO27001 갱신을 위한 것일 수 있다.For example, "when" corresponds to the date of performance of the control and may be 'July 15, 2012'. In "Who", the performer of the control item may be 'Hong Gil-dong' and the information security officer who is the approver for the performer's performance result information may be the 'Chu Jun CISO'. "Where" corresponds to the place where the performance of the control takes place and may be 'A. Office'. "What" corresponds to the relevant control item, which is the work performed by the performer, and may be, "Is the necessary guidelines, standards and procedures for implementing the policy implemented?" "What" should establish information protection guidelines, procedures and standards for the specific implementation of the information protection policy. In addition, a detailed information security policy for a specific system or service can be established if necessary ',' type of policy document 'for control purposes,' system of policy 'as a control section, and' information security policy 'as an information protection domain. This may be more applicable. "Why" refers to the reason why the performer performs the work on the control item and to obtain certification of the work performance on the control item or to update the work performance on the control item. It may be for.

또한 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼은, 해당 통제항목에 대한 업무수행결과정보를 증적으로 남기는데 필요한 양식서류 데이터를 더 포함할 수 있다. 상기 양식서류데이터는, 해당 통제항목에 대한 업무수행결과정보를 증적으로 남기기 위한 양식서 데이터, 양식서를 작성하는데 참조하기 위한 샘플 양식서 데이터, 해당 통제항목의 업무수행에 대한 절차 데이터를 포함할 수 있다.In addition, the performance manual of each control item to be performed to comply with the control requirement for each of the control requirements may further include form document data necessary to leave the performance information of the control item as evidence. The form document data may include form data for leaving work performance result information for the control item, sample form data for reference in preparing the form, and procedural data for the performance of the control item.

예를 들어, 사무실 보안에 대한 업무수행결과정보를 증적으로 남기기 위한 양식서 데이터가 도 3에 도시되어 있으며, 이 사무실 보안에 대한 업무수행에 대한 절차 데이터가 도 4에 도시되어 있다. 따라서 해당 업무수행자는 도 4에 도시된 절차 데이터에 따라 업무수행을 하여 업무수행결과를 도 3에 도시된 양식서에 기입할 수 있게 된다. For example, form data for storing the work performance result information for office security is shown in FIG. 3, and procedure data for work performance for this office security is shown in FIG. 4. Therefore, the performer can perform the work according to the procedure data shown in FIG. 4 and fill in the form shown in FIG. 3.

증적 데이터베이스(4)는 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행자가 업무를 수행하여 정보보호 책임자의 결재승인을 받은 업무수행결과정보를 증적(evidence)으로 저장한다.The evidence database (4) provides evidence of the performance results obtained by the person performing the tasks of each of the control items that must be performed to comply with the control requirements for each of the above control requirements. Save it.

정보보호 제어부(3)는 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무 수행시기에 해당 될 때 해당 업무 수행자 단말기(10)로 해당 통제항목의 업무수행매뉴얼을 전송하면서 업무수행을 요청하며, 해당 업무 수행자 단말기(10)로부터 수신되는 업무수행결과정보와 승인요청정보를 정보보호 책임자 단말기(20)로 전송하여 상기 정보보호 책임자 단말기(20)로부터 결재승인정보를 수신함에 따라 결재승인된 상기 업무수행결과정보를 증적으로 증적 데이터베이스(4)에 저장한다. The information protection control unit 3 transmits the work performance manual of the control item to the corresponding service performer terminal 10 when the control time to be performed for compliance with the control requirement for each of the control requirements falls under the task execution time. While requesting work performance, and transmits the work performance result information and the approval request information received from the work performer terminal 10 to the information protection officer terminal 20 to receive payment approval information from the information protection officer terminal 20. The work performance result information approved according to the certificate is stored in the evidence database (4).

이때 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무 수행시기는, 주기적 또는 비주기적일 수 있다. 정보보호 제어부(3)는 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼 중 해당 통제항목에 대한 업무수행일이 주기적인가 또는 비주기적인가로, 해당 통제항목에 대한 업무수행시기가 주기적 또는 비주기적인가를 판단할 수 있다.At this time, the performance of each of the control items to be performed to comply with the control requirements for each of the control requirements may be periodic or aperiodic. The information protection control unit 3 determines whether the work performance date for the control item is periodic or non-periodical among the work execution manuals of the control items to be performed to comply with the control requirements for each of the control requirements. It is possible to determine whether the performance of the work is periodic or non-periodic.

주기적 업무는 일일 보안일지 기록, 입출입 관리대장 등 자주 발생하는 일을 묶어서 월 1회, 분기별, 년 1회 등과 같이 주기성을 가지고 수행되는 업무이다. 비주기적 업무는 조직의 퇴사자 발생, 정보자산 취득, 정보보안 사고 발생 등 이벤트가 발생해야 생성되는 업무를 나타내며, 좀 더 구체적인 예시가 도 4에 도시되어 있다. 이러한 비주기적인 업무수행은, 정보보호 제어부(3)의 제어하에 이루어지며 정보보호 책임자에 의해서 설정된 일자, 예를 들어 정보보호 점검일에 도 5에 예시한 비주기적인 통제항목에 관한 질문을 해당 업무수행자 단말기로 전송하며 해당 업무수행자 단말기로부터 답변받은 비주기적인 통제항목을 정보보호 책임자 단말기로 전송하며 정보보호 책임자 단말기로부터 수신한 상기 답변받은 비주기적인 통제항목의 업무수행일과 상기 답변받은 비주기적인 통제항목을 해당 업무수행자 단말기로 전송하여 해당 업무수행일에 업무수행이 이루어지도록 한다. 예를 들어, 상기 답변받은 비주기적인 통제항목이 "정보보호 업무 담당자의 인사이동이 있었습니까?"인 경우에 정보보호 제어부(3)는 이를 정보보호 책임자 단말기로 전송하며 정보보호 단말기로부터 상기 답변받은 비주기적인 통제항목의 업무수행일을 수신하면 상기 비주기적인 업무수행일 정보와 상기 답변받은 비주기적인 통제항목의 업무수행매뉴얼을 해당 업무수행자 단말기로 전송하면서 해당 업무수행자에게 상기 답변받은 비주기적인 통제항목에 대한 업무수행을 요청한다.Periodic tasks are tasks that are performed with periodicity such as once a month, quarterly, and once a year by tying up frequently occurring tasks such as daily security log records and entry / exit managers. Aperiodic tasks represent tasks generated when events occur, such as resignation of an organization, acquisition of information assets, and occurrence of an information security incident. A more specific example is shown in FIG. 4. Such non-periodic work is performed under the control of the information protection control unit 3 and corresponds to the question about the non-periodic control item illustrated in FIG. 5 on the date set by the information security officer, for example, the information security inspection date. The aperiodic control item transmitted to the performer's terminal and the aperiodic control item received from the performer's terminal is transmitted to the information security officer's terminal. The control items are transmitted to the terminal of the operator, so that the task is performed on the task execution date. For example, if the non-periodic control item received is "Have the personnel movement of the information security person in charge?", The information protection control unit 3 transmits it to the information security officer terminal and the response from the information protection terminal. Upon receiving the work performance date of the received aperiodic control item, the non-periodic work performance information and the work performance manual of the received aperiodic control item are transmitted to the work performer terminal, and the received answer to the work performer. Requests to perform work on periodic control items.

한편 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행자는 미리 정보보호 책임자에 의해서 지정되어 있으며, 이는 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼 중 해당 통제항목에 대한 업무수행자정보로 포함된다. 따라서 정보보호 제어부(3)는 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼 중 해당 통제항목에 대한 업무수행자정보를 이용하여 해당 통제항목에 대한 업무수행자를 파악할 수 있게 된다.Meanwhile, each of the control items to be carried out to comply with the control requirements for each of the above control requirements is designated by the information security officer in advance, which means that the control items to be carried out to comply with the corresponding control requirements for each of the above control requirements Each of these tasks is included as information on the performer of the control item. Therefore, the information protection control unit 3 uses the operator's information on the control item in the work manual of each control item to be performed for compliance with the control requirement for each control condition. I can figure it out.

또한 정보보호 제어부(3)는 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼 중 상기 정보보호 책임자 정보를 이용하여 해당 통제항목에 대한 업무수행자의 업무수행결과정보에 대한 승인결재자를 파악할 수 있다.
In addition, the information protection control unit 3 uses the information protection officer information in the work performance manual of each control item to be performed for compliance with the control requirement for each control requirement, and performs the work performed by the performer of the control item for the control item. Identify approvers for the information.

도 1에 도시된 본 발명의 실시예에 따른 정보보호업무 운영시스템(1)의 구성도는 단순히 기능적인 관점에서 분류된 것일 뿐, 실제 구현방식 또는 하드웨어 방식을 의미하는 것은 아니다. 도 1에 도시된 하나 이상의 구성 모듈은 하나 또는 그 이상의 구성 모듈로 통합 또는 세분화될 수 있으며, 이는 본 발명이 속하는 분야에서 통상의 지식을 가지는 자에게 자명하다고 할 것이다.
The configuration diagram of the information security service operating system 1 according to the embodiment of the present invention shown in FIG. 1 is merely classified from a functional point of view, and does not mean an actual implementation method or a hardware method. One or more of the configuration modules shown in FIG. 1 may be integrated or subdivided into one or more configuration modules, which will be apparent to those of ordinary skill in the art.

이하에서 도 6을 참조하여 본 발명의 실시예에 따른 정보보호업무 운영시스템의 동작에 대해서 살펴보기로 한다. Hereinafter, the operation of the information security service operating system according to an embodiment of the present invention will be described with reference to FIG. 6.

정보보호업무 운영시스템(1)의 정보보호 제어부(3)는 정보보호 데이터베이스(2)에 저장된 임의의 통제요건준수를 위해 수행되어야 하는 통제항목들 중 업무 수행시기에 이른 통제항목에 대해서, 해당 통제항목의 업무수행자의 업무수행자 단말기로 해당 통제항목의 업무수행매뉴얼을 전송하면서 업무수행을 요청한다(S10). 이때 해당 통제항목의 업무수행매뉴얼은 해당 통제항목에 대한 업무수행결과정보를 증적으로 남기는데 필요한 양식서류 데이터를 포함할 수 있다. 그리고, 상기 양식서류데이터는, 해당 통제항목에 대한 업무수행결과정보를 증적으로 남기기 위한 양식서 데이터, 상기 양식서를 작성하는데 참조하기 위한 샘플 양식서 데이터, 상기 양식서의 작성순서가 정의된 절차 데이터를 포함할 수 있다. The information protection control unit 3 of the information protection service operation system 1 controls the control items that are to be undertaken during the work period among the control items to be performed for compliance with any control requirements stored in the information protection database 2. Sending a work performance manual of the control item to the work performer terminal of the work performer of the item and requests the work performance (S10). At this time, the performance manual of the control item may include data of the form documents necessary to leave the performance information of the control item as evidence. The form document data may include form data for leaving work performance result information for the corresponding control item, sample form data for reference in preparing the form, and procedure data in which the order of preparing the form is defined. Can be.

예를 들어 임의의 통제요건이 "데이터센터의 출입은 적절한 출입통제절차에 의하여 이행되어 져야 하며 출입자를 식별하고 기록ㆍ관리하여야 한다. 또한 출입자 기록 대장은 정기적으로 점검하여야 한다"이고, 업무수행시기에 이른 통제항목이 "데이터센터의 출입자가 식별되고, 기록·관리 되는가"인 경우, 정보보호 제어부(3)는 통제항목 "데이터센터의 출입자가 식별되고, 기록·관리 되는가"가 지켜지고 있는가를 점검하는 업무 수행자의 업무수행자 단말기로, "데이터센터의 출입자가 식별되고, 기록·관리 되는가"에 대한 업무수행매뉴얼을 전송하면서 업무수행을 요청한다. For example, an arbitrary control requirement is "entry into the data center must be implemented by appropriate access control procedures, and must identify, record and manage the accessor. The accessor record book should be checked on a regular basis." If the control item that has passed the control is "identified, recorded and managed by the data center," the information security control unit 3 checks whether the control item "identified by the data center is identified, recorded and managed." It is a task performer terminal of a business performer who requests a task to be performed while transmitting a task manual about whether the person in the data center is identified, recorded and managed.

이에 따라서 업무수행자 단말기는 업무수행요청과 함께 수신한 통제항목의 업무수행매뉴얼 내 양식서류 데이터를 화면에 출력할 수 있다. 업무수행자는 업무수행자 단말기의 화면에 출력된 양식서류 데이터를 이용하여 해당 통제항목의 업무를 수행하고 그 업무수행결과를 양식서류 데이터 내 양식서에 입력한다. 예를 들어, 업무수행자 단말기는 업무수행요청과 함께 수신한 통제항목 "데이터센터의 출입자가 식별되고, 기록·관리 되는가"의 실천 매뉴얼에 포함된 양식서류 데이터를 화면에 출력한다. 이에 따라서 업무수행자는 업무수행자의 단말기의 화면에 출력된 양식서류 데이터를 이용하여 "데이터 센터의 출입자가 식별되고, 기록·관리되는가"에 검증업무를 수행하고 그 업무수행결과를 양식서류 데이터 내의 양식서에 입력한다. Accordingly, the service operator terminal may output the form document data in the work performance manual of the control item received with the work performance request on the screen. The performer performs the work of the relevant control item by using the form document data displayed on the screen of the performer terminal and inputs the result of the work to the form in the form document data. For example, the operator's terminal outputs the form document data included in the practice manual of the control item "Identifier of the data center is identified, recorded and managed" received with the task execution request on the screen. Accordingly, the performer performs the verification work on whether or not the person in the data center is identified, recorded and managed using the form document data displayed on the screen of the performer's terminal, and the result of the work is carried out in the form document data. Type in

이후 양식서에 업무수행결과정보의 입력이 완료되면 업무수행자 단말기는 업무수행결과정보를 정보보호업무 운영시스템(1)으로 전송한다. 예를 들어 양식서에 "데이터센터의 출입자가 식별되고, 기록·관리 되는가"에 대한 업무수행결과정보의 입력이 완료되면 업무수행자 단말기는 입력이 완료된 상기 업무수행결과정보를 정보호업무 운영시스템(1)으로 전송한다. After the completion of the input of the business performance result information on the form, the business operator terminal transmits the business performance result information to the information protection business operation system (1). For example, when input of work performance result information on whether a person in a data center is identified, recorded and managed on a form is completed, the work operator terminal may display the completed information on the work performance information operation system (1). To send.

정보보호업무 운영시스템(1) 내 정보보호 제어부(3)는 업무 수행자 단말기(10)로부터 수신한 업무수행결과정보 및 상기 수신한 업무수행결과정보에 대한 승인요청정보를 정보보호 책임자 단말기(20)로 전송한다(S12). 예를 들어 정보보호 제어부(3)는 업무수행자 단말기(10)로부터 "데이터센터의 출입자가 식별되고, 기록·관리 되는가"에 대한 업무수행결과정보를 수신하면, 해당 업무수행결과정보와 함께 수신한 해당 업무수행결과정보에 대한 승인요청정보를 정보보호 책임자 단말기(20)로 전송한다. The information protection control unit 3 in the information protection task operation system 1 receives the task performance result information received from the task performer terminal 10 and the approval request information for the received task performance result information. Transfer to (S12). For example, when the information protection control unit 3 receives the work performance result information on whether the person in the data center is identified, recorded, and managed from the work execution terminal 10, the information protection control unit 3 receives the work performance result information together with the work performance result information. The approval request information for the work performance result information is transmitted to the information protection officer terminal (20).

이에 따라서, 정보보호 책임자 단말기(20)는 해당 통제항목에 대한 업무수행결과정보를 화면에 출력함과 동시에 업무수행결과정보에 대한 승인요청정정보도 함께 출력한다. 예를 들어 정보보호 책임자 단말기(20)는 정보보호 운영시스템(1)으로부터 수신한 통제항목 "데이터센터의 출입자가 식별되고, 기록·관리 되는가"에 대한 업무수행결과정보를 화면에 출력함과 동시에 상기 수신한 업무수행결과정보에 대한 승인요청정정보도 함께 화면에 출력한다. 정보보호 책임자가 정보보호 책임자 단말기(20)의 화면에 출력된 업무수행결과정보를 검토하여 이상이 없는 경우에 결재승인정보를 정보보호 책임자 단말기(20)에 입력하면, 정보보호 책임자 단말기(20)는 입력된 결재승인정보를 정보보호업무 운영시스템(1)으로 전송한다.Accordingly, the information protection officer terminal 20 outputs the work performance result information for the control item on the screen and also outputs the approval request correction information for the work performance result information. For example, the information security officer terminal 20 outputs the work performance result information on the control item " is the person in the data center identified, recorded and managed? The approval request information on the received work performance result information is also output on the screen. When the information protection officer reviews the work performance result information displayed on the screen of the information protection officer terminal 20 and inputs the approval information to the information protection officer terminal 20 when there is no abnormality, the information protection officer terminal 20 The payment approval information is transmitted to the information protection service operating system (1).

정보보호업무 운영시스템(1) 내 정보보호 제어부(3)는 상기 정보보호 책임자 단말기(20)로부터 결재승인정보를 수신한 경우 상기 결재승인된 업무수행결과정보를 증적으로 증적 데이터베이스(4)에 저장한다. 예를 들어 정보보호 제어부(3)는 통제항목 "데이터센터의 출입자가 식별되고, 기록·관리 되는가"의 업무수행결과정보에 대한 결재승인정보를 수신한 경우 상기 결재승인된 업무수행결과정보를 증적으로 증적 데이터베이스(4)에 저장한다(S14). The information protection control unit 3 in the information protection service operation system 1 stores the approval result of the business performance in the evidence database 4 as a result of receiving approval information from the information protection officer terminal 20. do. For example, when the information protection control unit 3 receives the payment approval information for the business performance result information of the control item "Identifier of the data center is identified, recorded and managed", the information protection control unit 3 accumulates the approved business performance result information. In the evidence database 4 (S14).

이렇게 하나의 통제항목의 업무수행결과정보에 대해 결재승인이 되어서 증적으로 저장된 경우, 이와 같은 과정을 반복하여 임의의 통제요건이 지켜지기 위해서 수행되어야 할 모든 통제항목들에 대한 증적을 생성해서 증적 데이터베이스(4)에 저장한다.
In this case, if the result of approval of the performance of one control item is approved and stored as evidence, the process repeats this process to generate a record of all control items that must be performed in order to keep any control requirements. Save it to (4).

이제까지 본 발명에 대하여 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 따라서 본 발명의 범위는 전술한 실시예에 한정되지 않고 특허청구범위에 기재된 내용 및 그와 동등한 범위 내에 있는 다양한 실시 형태가 포함되도록 해석되어야 할 것이다. The present invention has been described above with reference to the embodiments. It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. Therefore, the disclosed embodiments should be considered in an illustrative rather than a restrictive sense. Therefore, the scope of the present invention is not limited to the above-described embodiments, but should be construed to include various embodiments within the scope of the claims and equivalents thereof.

1 : 정보보호업무 운영시스템
2 : 정보보호 데이터베이스
3 : 정보보호 제어부
4 : 증적 데이터베이스1: Information security business operation system
2: Information Security Database
3: Information protection control
4: evidence database

Claims (22)

정보보호를 위한 통제요건들, 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 및 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼을 저장한 정보보호 데이터베이스;
상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행자가 업무를 수행하여 정보보호 책임자의 결재승인을 받은 업무수행결과정보를 증적(evidence)으로 저장한 증적 데이터베이스; 및
상기 통제요건들 별 통제요건 준수를 위해 수행되어야 할 하는 통제항목들 각자가 해당 업무수행매뉴얼에 미리 설정된 업무 수행시기에 해당될 때 해당 업무 수행자 단말기로 해당 통제항목의 업무수행매뉴얼을 전송하면서 업무수행을 요청하며, 해당 업무 수행자 단말기로부터 수신되는 업무수행결과정보와 승인요청정보를 정보보호 책임자 단말기로 전송하여 상기 정보보호 책임자 단말기로부터 결재승인정보를 수신함에 따라 결재승인된 상기 업무수행결과정보를 증적으로 상기 증적 데이터베이스에 저장하는 정보보호 제어부를 포함하는 것을 특징으로 하는 정보보호업무 운영시스템.Stores the work performance manual for each of the control requirements for information protection, the control items to be carried out for compliance with the corresponding control requirements and the control items to be carried out for compliance with the control requirements for the control requirements. An information security database;
An evidence database that stores, as an evidence, the performance information of the control items that are to be performed to comply with the control requirements for each of the control requirements, and has received the approval of the information protection officer; And
When each of the control items to be performed to comply with the control requirements for each of the above control requirements falls within the task execution time set in the relevant work execution manual, the work performance of the control item is transmitted to the corresponding work performer's terminal. And transmits the performance result information and the approval request information received from the relevant business operator's terminal to the information security officer's terminal and receives the payment approval information from the information protection officer's terminal. And an information protection control unit for storing in the evidence database. 청구항 1에 있어서,
상기 통제요건들 각각은 정보보호관리체계(Information Security Management System)에 의해서 정해진 명제인 것을 특징으로 하는 정보보호업무 운영시스템.The method according to claim 1,
And each of the control requirements is a proposition defined by an information security management system. 청구항 2에 있어서,
상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각은 정보보호 컨설턴트에 의해서 미리 정의된 것을 특징으로 하는 정보보호업무 운영시스템.The method according to claim 2,
Information security service operating system, characterized in that each of the control items to be performed for compliance with the control requirements for each of the control requirements are predefined by the information security consultant. 청구항 1에 있어서,
상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼은, 해당 통제항목의 업무수행일, 해당 통제항목의 업무수행자정보와 업무수행자의 업무수행결과정보에 대한 승인결재자인 상기 정보보호 책임자 정보, 해당 통제 항목의 업무수행이 이뤄지는 장소, 해당 업무수행자의 업무수행내용인 해당 통제항목내용, 해당 업무수행자가 해당 통제항목에 대한 업무수행을 하는 이유정보, 해당 통제항목에 대한 업무수행을 위한 방법정보를 포함하는 것을 특징으로 하는 정보보호업무 운영시스템. The method according to claim 1,
The work performance manual of each control item to be carried out to comply with the control requirements for each of the above control requirements is the approval of the date of performance of the control item, the information on the performer of the control item and the result of the performance of the work performer. The information on the person responsible for the information protection, the place where the performance of the control item is performed, the content of the control item which is the work performance of the business operator, the reason why the business operator performs the work on the control item, the control item Information security service operating system comprising a method information for performing a task for. 청구항 4에 있어서,
상기 해당 업무수행자가 해당 통제항목에 대한 업무수행을 하는 이유정보는, 해당 통제항목에 대한 업무수행내용의 인증을 획득하거나 해당 통제항목에 대한 업무수행내용을 갱신하기 위한 것을 특징으로 하는 정보보호업무 운영시스템. The method of claim 4,
The information on the reason for performing the work on the control item is performed by the corresponding work performer for obtaining the certification of the work performance on the control item or updating the work performance on the control item. Operating system. 청구항 4에 있어서,
상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼은, 해당 통제항목에 대한 업무수행결과정보를 증적으로 남기는데 필요한 양식서류 데이터를 더 포함하는 것을 특징으로 하는 정보보호업무 운영시스템.The method of claim 4,
The work performance manual of each control item to be performed for compliance with the control requirement for each of the control requirements may further include form document data necessary to leave the performance information of the control item as evidence. Information Security Service Operation System. 청구항 6에 있어서,
상기 양식서류데이터는, 해당 통제항목에 대한 업무수행결과정보를 증적으로 남기기 위한 양식서 데이터, 양식서를 작성하는데 참조하기 위한 샘플 양식서 데이터, 해당 통제항목의 업무수행에 대한 절차 데이터를 포함하는 것을 특징으로 하는 정보보호업무 운영시스템.The method of claim 6,
The form document data includes form data for leaving work performance result information for the control item, sample form data for reference in preparing the form, and procedural data for the performance of the control item. Information security service operation system. 청구항 4에 있어서,
상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무 수행시기는, 주기적 또는 비주기적인 것을 특징으로 하는 정보보호업무 운영시스템.The method of claim 4,
Information security service operation system, characterized in that the performance of each of the control items to be performed to comply with the control requirements for each of the control requirements, periodically or aperiodic. 청구항 8에 있어서,
상기 정보보호 제어부는,
상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼 중 해당 통제항목에 대한 업무수행일이 주기적인가 또는 비주기적인가로, 해당 통제항목에 대한 업무수행시기가 주기적 또는 비주기적인가를 판단하는 것을 특징으로 하는 정보보호업무 운영시스템.The method according to claim 8,
The information protection control unit,
According to the above control requirements, whether the work performance date for the control item is periodic or non-periodical in the work performance manual of each control item to be performed to comply with the control requirement. Or information security service operating system, characterized in that it determines whether or not. 청구항 4에 있어서,
상기 정보보호 제어부는,
상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼 중 해당 통제항목에 대한 업무수행자정보를 이용하여 해당 통제항목에 대한 업무수행자를 파악하는 것을 특징으로 하는 정보보호업무 운영시스템.The method of claim 4,
The information protection control unit,
Information protection characterized by identifying the performer of the control item by using the performer information on the control item in the work execution manual of each control item to be performed to comply with the control requirement for each control requirement Business operation system. 청구항 4에 있어서,
상기 정보보호 제어부는,
상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼 중 상기 정보보호 책임자 정보를 이용하여 해당 통제항목에 대한 업무수행자의 업무수행결과정보에 대한 승인결재자를 파악하는 것을 특징으로 하는 정보보호업무 운영시스템.The method of claim 4,
The information protection control unit,
Identifying the approval approver on the work performance result information of the performer of the control item using the information protection officer information in the work performance manual of each control item to be performed to comply with the control requirement for each control requirement Information security service operating system, characterized in that. 정보보호를 위한 통제요건들, 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 및 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼을 저장한 정보보호 데이터베이스와, 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행자가 업무를 수행하여 정보보호 책임자의 결재승인을 받은 업무수행결과정보를 증적(evidence)으로 저장한 증적 데이터베이스를 구비한 정보보호업무 운영시스템의 정보보호업무 운영방법이,
상기 통제요건들 별 통제요건 준수를 위해 수행되어야 할 하는 통제항목들 각자가 해당 업무수행매뉴얼에 미리 설정된 업무 수행시기에 해당될 때 해당 업무 수행자 단말기로 해당 통제항목의 업무수행매뉴얼을 전송하면서 업무수행을 요청하는 단계;
해당 업무 수행자 단말기로부터 해당 통제항목의 업무수행결과정보를 수신하는 단계;
상기 해당 업무 수행자 단말기로부터 수신한 업무수행결과정보를 상기 수신한 업무수행결과정보에 대한 승인요청정보를 함께 정보보호 책임자 단말기로 전송하는 단계; 및
상기 정보보호 책임자 단말기로부터 결재승인정보를 수신함에 따라 결재승인된 업무수행결과정보를 증적(evidence)으로 상기 증적 데이터베이스에 저장하는 단계로 이루어지는 것을 정보보호업무 운영방법. Stores the work performance manual for each of the control requirements for information protection, the control items to be carried out for compliance with the corresponding control requirements and the control items to be carried out for compliance with the control requirements for the control requirements. Evidence of the information security database and the business performance result information obtained by approval of the information security officer by performing the work of each control item to be performed to comply with the control requirements for each of the above control requirements. The information security service operation method of the information security service operation system having the stored evidence database,
When each of the control items to be performed to comply with the control requirements for each of the above control requirements falls within the task execution time set in the relevant work execution manual, the work performance of the control item is transmitted to the corresponding work performer's terminal. Requesting;
Receiving work performance result information of the control item from the work operator terminal;
Transmitting the task execution result information received from the corresponding task performer terminal to the information protection officer terminal together with the approval request information for the received task performance result information; And
And storing the approved business performance result information as an evidence in the evidence database upon receiving payment approval information from the information protection officer terminal. 청구항 12에 있어서,
상기 통제요건들 각각은 정보보호관리체계(Information Security Management System)에 의해서 정해진 명제인 것을 특징으로 하는 정보보호업무 운영방법.The method of claim 12,
And each of the control requirements is a proposition specified by an information security management system. 청구항 13에 있어서,
상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각은 정보보호 컨설턴트에 의해서 정의된 것을 특징으로 하는 정보보호업무 운영방법.The method according to claim 13,
And each control item to be performed for compliance with the control requirements for each of the control requirements is defined by an information security consultant. 청구항 12에 있어서,
상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼은,
해당 통제항목의 업무수행일, 해당 통제항목의 업무수행자정보와 업무수행자의 업무수행결과정보에 대한 승인결재자인 상기 정보보호 책임자 정보, 해당 통제 항목의 업무수행이 이뤄지는 장소, 해당 업무수행자의 업무수행내용인 해당 통제항목내용, 해당 업무수행자가 해당 통제항목에 대한 업무수행을 하는 이유정보, 해당 통제항목에 대한 업무수행을 위한 방법정보를 포함하는 것을 특징으로 하는 정보보호업무 운영방법.The method of claim 12,
For each of the above control requirements, the business performance manual for each of the control items to be carried out to comply with the control requirements,
The date of performance of the control item, the information security officer information, which is the approver for the performance information of the control item and the performance result of the business operator, the place where the performance of the control item is performed, and the performance of the business operator. Information control operation method comprising the content of the control item, the reason that the performer performs the work on the control item, the method information for performing the work on the control item. 청구항 15에 있어서,
상기 해당 업무수행자가 해당 통제항목에 대한 업무수행을 하는 이유정보는, 해당 통제항목에 대한 업무수행내용의 인증을 획득하거나 해당 통제항목에 대한 업무수행내용을 갱신하기 위한 것을 특징으로 하는 정보보호업무 운영방법.The method according to claim 15,
The information on the reason for performing the work on the control item is performed by the corresponding work performer for obtaining the certification of the work performance on the control item or updating the work performance on the control item. How it works. 청구항 15에 있어서,
상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼은, 해당 통제항목에 대한 업무수행결과정보를 증적으로 남기는데 필요한 양식서류 데이터를 더 포함하는 것을 특징으로 하는 정보보호업무 운영방법.The method according to claim 15,
The work performance manual of each control item to be performed for compliance with the control requirement for each of the control requirements may further include form document data necessary to leave the performance information of the control item as evidence. How Information Security Works. 청구항 17에 있어서,
상기 양식서류데이터는, 해당 통제항목에 대한 업무수행결과정보를 증적으로 남기기 위한 양식서 데이터, 양식서를 작성하는데 참조하기 위한 샘플 양식서 데이터, 해당 통제항목의 업무수행에 대한 절차 데이터를 포함하는 것을 특징으로 하는 정보보호업무 운영방법.18. The method of claim 17,
The form document data includes form data for leaving work performance result information for the control item, sample form data for reference in preparing the form, and procedural data for the performance of the control item. How to operate information security services. 청구항 15에 있어서,
상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무 수행시기는, 주기적 또는 비주기적인 것을 특징으로 하는 정보보호업무 운영방법.The method according to claim 15,
Method of operating the information security service, characterized in that the performance of each of the control items to be performed to comply with the control requirements for each of the control requirements, periodically or aperiodically. 청구항 19에 있어서,
상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무 수행시기에 해당 될 때 해당 업무 수행자 단말기로 해당 통제항목의 업무수행매뉴얼을 전송하면서 업무수행을 요청하는 단계는,
상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼 중 해당 통제항목에 대한 업무수행일이 주기적인가 또는 비주기적인가로, 해당 통제항목에 대한 업무수행시기가 주기적 또는 비주기적인가를 판단하는 것을 특징으로 하는 정보보호업무 운영방법.The method of claim 19,
When the control requirements for each of the control requirements to be carried out for compliance with the control requirements of each of the control requirements to meet the timing of the task performing the task of transmitting the work manual of the control item to the operator of the control unit, requesting the performance of the work,
According to the above control requirements, whether the work performance date for the control item is periodic or non-periodical in the work performance manual of each control item to be performed to comply with the control requirement. Or aperiodic determining whether the information security service operating method. 청구항 15에 있어서,
상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무 수행시기에 해당 될 때 해당 업무 수행자 단말기로 해당 통제항목의 업무수행매뉴얼을 전송하면서 업무수행을 요청하는 단계는,
상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼 중 해당 통제항목에 대한 업무수행자정보를 이용하여 해당 통제항목에 대한 업무수행자를 파악하는 것을 특징으로 하는 정보보호업무 운영방법. The method according to claim 15,
When the control requirements for each of the control requirements to be carried out for compliance with the control requirements of each of the control requirements to meet the timing of the task performing the task of transmitting the work manual of the control item to the operator of the control unit, requesting the performance of the work,
Information protection characterized by identifying the performer of the control item by using the performer information on the control item in the work execution manual of each control item to be performed to comply with the control requirement for each control requirement How to do business. 청구항 15에 있어서,
상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무 수행시기에 해당 될 때 해당 업무 수행자 단말기로 해당 통제항목의 업무수행매뉴얼을 전송하면서 업무수행을 요청하는 단계는,
상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼 중 상기 정보보호 책임자 정보를 이용하여 해당 통제항목에 대한 업무수행자의 업무수행결과정보에 대한 승인결재자를 파악하는 것을 특징으로 하는 정보보호업무 운영방법.
The method according to claim 15,
When the control requirements for each of the control requirements to be carried out for compliance with the control requirements of each of the control requirements to meet the timing of the task performing the task of transmitting the work manual of the control item to the operator of the control unit, requesting the performance of the work,
Identifying the approval approver on the work performance result information of the performer of the control item using the information protection officer information in the work performance manual of each control item to be performed to comply with the control requirement for each control requirement Information security service operating method characterized in that.
KR1020120126056A 2012-11-08 2012-11-08 System and method of opertating information security task KR101259579B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120126056A KR101259579B1 (en) 2012-11-08 2012-11-08 System and method of opertating information security task

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120126056A KR101259579B1 (en) 2012-11-08 2012-11-08 System and method of opertating information security task

Publications (1)

Publication Number Publication Date
KR101259579B1 true KR101259579B1 (en) 2013-04-30

Family

ID=48443962

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120126056A KR101259579B1 (en) 2012-11-08 2012-11-08 System and method of opertating information security task

Country Status (1)

Country Link
KR (1) KR101259579B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101505079B1 (en) * 2014-06-13 2015-03-24 주식회사 이볼케이노 System and method of supporting task of information security
KR20200036488A (en) * 2018-09-28 2020-04-07 주식회사 엘지씨엔에스 Apparatus and method for managing information security
KR102122702B1 (en) * 2020-04-03 2020-06-15 정경섭 Server for managing documents related with information security certification review and system thereof

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006350813A (en) 2005-06-17 2006-12-28 Nippon Telegr & Teleph Corp <Ntt> Personal information protection management system and method
KR20100060130A (en) * 2008-11-27 2010-06-07 한국전자통신연구원 System for protecting private information and method thereof
KR20100118422A (en) * 2009-04-28 2010-11-05 에스케이 텔레콤주식회사 System and method for tracing signature security information
KR20110110431A (en) * 2010-04-01 2011-10-07 에스케이 텔레콤주식회사 Apparatus for information security and method thereof

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006350813A (en) 2005-06-17 2006-12-28 Nippon Telegr & Teleph Corp <Ntt> Personal information protection management system and method
KR20100060130A (en) * 2008-11-27 2010-06-07 한국전자통신연구원 System for protecting private information and method thereof
KR20100118422A (en) * 2009-04-28 2010-11-05 에스케이 텔레콤주식회사 System and method for tracing signature security information
KR20110110431A (en) * 2010-04-01 2011-10-07 에스케이 텔레콤주식회사 Apparatus for information security and method thereof

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101505079B1 (en) * 2014-06-13 2015-03-24 주식회사 이볼케이노 System and method of supporting task of information security
KR20200036488A (en) * 2018-09-28 2020-04-07 주식회사 엘지씨엔에스 Apparatus and method for managing information security
KR102213465B1 (en) * 2018-09-28 2021-02-09 주식회사 엘지씨엔에스 Apparatus and method for managing information security
KR102122702B1 (en) * 2020-04-03 2020-06-15 정경섭 Server for managing documents related with information security certification review and system thereof

Similar Documents

Publication Publication Date Title
US8769412B2 (en) Method and apparatus for risk visualization and remediation
US20150356477A1 (en) Method and system for technology risk and control
US20110238430A1 (en) Organization Optimization System and Method of Use Thereof
Choo et al. Pragmatic adaptation of the ISO 31000: 2009 enterprise risk management framework in a high-tech organization using Six Sigma
US20200053117A1 (en) Method, system, and/or software for finding and addressing an information/data or related system&#39;s security risk, threat, vulnerability, or similar event, in a computing device or system
Tsai et al. Combining decision making trial and evaluation laboratory with analytic network process to perform an investigation of information technology auditing and risk control in an enterprise resource planning environment
Ingalsbe et al. Threat modeling: Diving into the deep end
KR101259579B1 (en) System and method of opertating information security task
Martin et al. The Data Protection Impact Assessment According to Article 35 GDPR
WO2007109902A1 (en) System and method for implementing a safety occurrence reporting system
Broad Risk Management Framework: A lab-based approach to securing Information Systems
Mesquida et al. MIN-ITs: a framework for integration of it management standards in mature environments
Beres et al. On identity assurance in the presence of federated identity management systems
Grance et al. Guide to information technology security services
Ronolo Assuring Data Integrity towards Regulatory Compliance: A Study on Process Improvement in Data Integrity Compliance of Computerized Systems
Dzemydienė et al. Development of ICT infrastructure management services for optimization of administration of educational institution activities by using ITIL-v4
Kralik et al. Model for comprehensive approach to security management
Mödinger Metrics and key performance indicators for information security reports of universities
Wongsim et al. The adoption of process management for accounting information systems in Thailand
Sahid Securing Healthcare
Kemmler et al. An Integrated Service and Security Management System.
Harris et al. Information Technology: Agencies Need to Develop Modernization Plans for Critical Legacy Systems
Kelaniyage Centralized Change Management Platform for Melstacorp PLC
UJJAMAN Development of a Security Audit Framework for an Organization
Nikumaa Vulnerability Management Process

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160524

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170403

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180213

Year of fee payment: 6