KR101560259B1 - 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템 - Google Patents

정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템 Download PDF

Info

Publication number
KR101560259B1
KR101560259B1 KR1020150028072A KR20150028072A KR101560259B1 KR 101560259 B1 KR101560259 B1 KR 101560259B1 KR 1020150028072 A KR1020150028072 A KR 1020150028072A KR 20150028072 A KR20150028072 A KR 20150028072A KR 101560259 B1 KR101560259 B1 KR 101560259B1
Authority
KR
South Korea
Prior art keywords
improvement
item
unit
control
security
Prior art date
Application number
KR1020150028072A
Other languages
English (en)
Inventor
전영하
김형률
윤상구
Original Assignee
주식회사 씨에이에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 씨에이에스 filed Critical 주식회사 씨에이에스
Priority to KR1020150028072A priority Critical patent/KR101560259B1/ko
Application granted granted Critical
Publication of KR101560259B1 publication Critical patent/KR101560259B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Human Resources & Organizations (AREA)
  • Strategic Management (AREA)
  • Economics (AREA)
  • Operations Research (AREA)
  • Marketing (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Development Economics (AREA)
  • Educational Administration (AREA)
  • Game Theory and Decision Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템에 관한 것으로, 범용 법규 및 규칙 수용 가능한 통제 항목 관리를 통해 항목의 중복, 누락, 과잉 통제를 예방하고 항목을 최적화하며, 이를 이용하여 평가한 결과를 이전평가결과, 보편적 평균치, 조직 내 목표에 해당되는 기준치, 가중치를 적용하여 보정하기 위한 보정치, 각 업무별 소요비용 등의 통합, 분석하여 기준 대비 과부족을 판단하고, 과부족인 경우 개선가이드, 모범/참조 사례, 인력, 업무, 예산 측면에서 기준 조정을 위한 기준 등을 선정, 산출하여 제시하고 이를 내부 승인에 따라 피드백하여 점진적으로 업무 기준을 개선하기 위한 것이다.
이를 위하여 본 발명은, 각종 보안 점검 통제항목의 취합 및 중복 항목을 제거하여 통제항목 표준을 DB에 저장 및 관리하는 통제항목 관리부, 업무기준에 해당되는 조건 내용들과 평가항목 기준에 대한 선택 조건들에 따라 평가항목 기준 설정 및 보안 평가항목을 선택하는 보안 평가항목 선택부, 각종 보안 항목에 대한 수준 정보를 원격 취합하여 부문별 평균치를 산정하고 보편적인 기준치, 항목별 가중도에 따른 값의 보정을 위한 보정치, 및 항목별 소요비용에 대한 각각의 기준 지표를 DB에 등록 및 관리하는 지표 최적화 관리부, 개선 필요 부분에 대해 제시될 수 있는 업무, 조직, 예산에 대한 표준 정보, 개선 가이드에 대한 내용, 각종 규정/지침/매뉴얼/가이드/양식을 DB에 등록 및 관리하는 개선지표 관리부, 및 평가 결과 입력 내용들을 각종 평균치, 기준치, 보정치에 따른 지표들을 통해 산정된 결과와 비교하여 기준 대비 과부족 여부를 판정하고 최적 개선 방향에 해당되는 내용 선별 및 비용 평가를 통해서 업무 기준을 변경하는 피드백 처리부를 포함하여, 조직의 규모와 성격에 따라서 최적의 보안 통제 및 준수 관리를 수행할 수 있게 한다.

Description

정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템{Control items and compliance management system for acceptable general-purpose regulations/rules of information security management system}
본 발명은 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및준수 관리시스템에 관한 것으로, 보다 상세하게는 범용(복수)의 법규 및 규칙을 수용할 수 있는 통제 항목의 관리를 통해 통제 항목의 중복, 누락, 과잉 통제를 예방하고, 통제 항목을 최적화함으로써 조직의 규모와 성격에 따라서 최적의 보안 통제를 수행하며, 수준 평가에 따른 준수 현황을 파악하여 개선이 필요한 사항에 대해서 자동으로 모범 해법을 제시하여 업무 기준을 개선할 있도록 도울 수 있는 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템에 관한 것이다.
최근, 다양한 조직에서 중요한 정보자산을 보호하기 위해 정보보호 관리체계((Information Security Management System : 이하 ISMS라 함)를 도입 및 운영하고 있으며, 이를 위한 대표적인 방법으로는 인증(certification) 제도와 컨설팅(consulting) 서비스가 사용되고 있다.
정보보호 관리체계(ISMS) 인증제도는 정보보호 현황진단 및 일반적인 감사기법을 활용하여 적용성 보고서(Statement of Application, SOA)를 작성하는 것인데, 이러한 ISMS 인증은 정보보호를 위한 104개의 통제요건들에 대해 다수의 정보보호 컨설턴트들에 의해, 통제요건들 각각에 대한 실천 통제항목들이 제대로 준수되고 있는 가를 점검하고, 이 점검결과를 증적으로 남기면서 진단 평가 점수를 부여하는 방식으로 이루어지고 있다. 상기 정보보호를 위한 통제요건들은 ISMS 인증 이외에 PIPL 인증 및 기타 국가정보원, 행정자치부, 금융감독원 등 다양한 기관에서 제시한 표준 통제항목들로 혼재되어 있으며, 상기 통제요건들에 각각에 대한 통제항목들의 개수는 모두 합하면 400개 정도 될 수 있다.
이로 인해서 통제요건들 각각에 대한 실천 통제항목들의 생성이 정보보호 컨설턴트에 의해서 이루어지기 때문에 고비용이 소요되는 문제점이 발생한다. 또한 수많은 인력들이 주기적으로 동일한 실천 통제항목들이 지켜지는지를 점검하고 이를 증적(증거 자료)으로 남기는 반복작업을 수행해야 하는 어려움을 가진다.
정보보호 관리체계(ISO 27001)의 컨설팅 서비스에서는 정보보호 관리체계의 구축을 위해 ISO 27001 프레임 워크(framework)를 준용한 다양한 컨설팅 방법이 사용되며, 이 절차의 특징으로 정보보호 통제항목(ISO 27001 controls)을 중심으로 정보보호 현황진단을 실시하고, 취약성 분석을 통해 계량화된 보고서가 작성된다.
그런데 이 과정에서 표준적용의 문제점으로 문서화 증가와 실질적인 관리방법의 부족을 경험하게 되며, 조직의 특성 및 업무를 고려하지 않고 정보보호 통제항목(ISO 27001 controls)을 중심으로 정보보호 관리체계의 요구사항(ISMS requirements)을 적용하는 문제가 발생하고 있다.
이와 관련하여, 대한민국 공개특허 제10-2009-0084250호(2009.08.05 공개; 이하, 특허문헌1'이라 약칭함)에는, 국내 기준과 국제 기준의 보안 인증이 서로 다른 2가지 이상의 보안 평가 기준을 동시에 충족시키기 위한 멀티레벨 보안 구축방법에 관한 기술이 공지되어 있다.
특허문헌1에 의하면, 보안 아키텍처를 구축 때 요구받고 있는 2가지 이상의 서로 다른 보안 평가 기준의 동시적 충족을 위해서 수행해야 하는 정보보호정책 수립과 관리적·물리적·기술적 정보 보호대책의 설계 및 구현에 관한 구체적인 방법을 제공하고, 직접 적용시켜 정보보호체계를 구축하여 전체적인 정보보호 수준을 향상시킬 수 있게 하였다.
또한 대한민국 등록특허 제10-1008148호(2011.01.06 등록; 이하 '특허문헌2'이라 약칭함)에는, 정보보호 관리체계의 도입에 따른 정보보호 성과 지표운영방법에 관한 기술이 공지되어 있다.
특허문헌2에 의하면, ISMS 예비 범위 및 ISMS 보안 정책 데이터를 입력 받아 제1 현황진단 분석결과 데이터를 생성하는 현황분석모듈, 제1 현황진단 분석결과 데이터에서 보안 정책의 개선 항목을 추출하는 위험처리모듈, 추출된 개선 항목을 이용해서 통제 이행을 위한 통제 요소 및 요소 별 통제의 수준에 대한 데이터를 생성하는 통제이행모듈, 제1 현황진단분석 결과 데이터 및 예비평가표를 비교하여 평가지표를 추출하고 이를 이용하여 제2 현황진단 분석결과 데이터를 생성하는 모니터링모듈 및 개선계획에 따른 정보보호의 결과 데이터를 수집한 후 CSO 리포트를 생성하는 사후관리모듈을 포함하는 정보보호 관리시스템에서, 실행 중심의 정보보호 관리체계를 도입하여 운영하는 과정에서 정보보호 성과측정모델을 활용한 정보보보 현황진단으로 시행착오를 최소화하며, 지속적인 정보보보 관리체계의 운영을 위한 보안활동의 정량화된 정보보호 성과지표를 도입하여 경영진의 지원을 위한 효과적인 방법론을 제공할 수 있게 하였다.
또한 대한민국 등록특허 제10-1259579호(2013.04.24 등록; 이하 '특허문헌3'이라 약칭함)에는, 정보보호 관리체계를 이용하여 정보보호에 대한 깊은 이해가 없는 인력도 정보보호업무를 수행할 수 있도록 한 정보보호업무 운영시스템 및 방법에 관한 기술이 공지되어 있다.
특허문헌3에 의하면, 정보보호를 위한 통제요건들, 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 및 상기 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행매뉴얼을 저장한 정보보호 데이터베이스; 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무수행자가 업무를 수행하여 정보보호 책임자의 결재승인을 받은 업무수행결과정보를 증적(evidence)으로 저장한 증적 데이터베이스; 및 통제요건들 별 해당 통제요건 준수를 위해 수행되어야 하는 통제항목들 각각의 업무 수행시기에 해당 될 때 해당 업무 수행자 단말기로 해당 통제항목의 업무수행매뉴얼을 전송하면서 업무수행을 요청하며, 해당 업무 수행자 단말기로부터 수신되는 업무수행결과정보와 승인요청정보를 정보보호 책임자 단말기로 전송하여 정보보호 책임자 단말기로부터 결재승인정보를 수신함에 따라 결재승인된 업무수행결과정보를 증적으로 증적 데이터베이스에 저장하는 정보보호 제어부를 포함하는 운영시스템을 구축하여, 정보보호에 대한 전문컨설턴트에 의하지 않고서도 정보보호에 대한 깊은 이해가 없는 인력도 정보보호업무를 수행할 수 있게 하였다.
그러나 종래의 기술들에서는 정보보호 관리 상태에 대해 수준에 대한 판정까지만 시스템에서 관여하고, 다른 기업이나 기관의 평가 지표를 참조하여 조직 내 판정 결과와의 비교에 따라 상대적인 과부족 여부에 대한 추가 판정을 시스템을 통해서 진행 지 않으며, 개선 사항에 대해서 각 과부족 상태에 따라서 자동적으로 모범적인 개선 방향에 대해 시스템적으로 자동 제시하고 업무 기준을 변경시키는 방법 등도 제공하지 않으며, 단순히 오프라인상에서 별도의 방안을 마련하고 추진하는 종래의 전형적인 업무방식으로 방식으로 진행되는 단점이 있었다.
KR 10-2009-0084250 A 2009.08.05 공개 KR 10-1008148 B1 2011.01.06 등록 KR 10-1259579 B1 2013.04.24 등록
따라서 본 발명은 상기의 문제점을 해결하기 위해 안출한 것으로서, 본 발명은 범용(복수)의 법규 및 규칙을 수용할 수 있는 통제 항목의 관리를 통해 통제 항목의 중복, 누락, 과잉 통제를 예방하고, 통제 항목을 최적화하여 조직의 규모와 성격에 따라서 최적의 보안 통제를 수행할 수 있도록 하고, 통제 항목에 따른 평가 결과를 가지고 자체적인 기준과 외부 기관 및 기업 등의 표준 지표, 예산과 소요 비용 등을 산정 조건에 추가하여 상대적인 과부족 여부를 추가 판정하고, 과부족 상황에 따른 업무 개선 방향에 대한 모범 가이드를 제시 받아서 업무 기준을 변경할 수 있는, 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템을 제공하고자 하는 것이다.
상기의 목적을 달성하기 위한 본 발명의 일 실시 형태는, 각종 보안 점검 통제항목을 취합하고 중복된 항목을 제거하여 최적화된 통제항목 표준을 통합 통제체계 DB에 저장 및 관리하는 통제항목 관리부, 기존 조직 내의 각종 업무기준에 해당되는 조건 내용들과 평가항목 기준에 대한 선택 조건들을 업무기준 DB로부터 가져와 평가항목 기준을 설정하고 통합 통제체계 DB로부터 보안 평가항목을 선택하는 보안 평가항목 선택부, 외부의 각 조직으로부터 각종 보안 항목에 대한 수준 정보를 원격 취합하여 부문별 평균치를 산정하고, 평가 대상 조직 내의 보편적인 목표에 대한 기준치, 항목별 가중도에 따른 값의 보정을 위한 보정치, 및 항목별 소요비용에 대한 각각의 기준 지표를 지표 DB에 입력 및 관리하는 지표 최적화 관리부, 개선이 필요한 부분에 대해 제시될 수 있는 업무, 조직, 예산에 대한 표준 정보, 개선 가이드에 대한 내용, 모범 사례 및 참조 사례에 대한 각종 규정/지침/매뉴얼/가이드/양식을 개선기준 DB에 등록 및 관리하는 개선지표 관리부, 및 평가 결과에 의해서 입력된 내용들을 이전평가결과 DB와 지표 DB로부터 가져온 각종 평균치, 기준치, 보정치에 따른 지표들을 통해 산정된 결과와 비교하여 기준 대비 과부족 여부를 판정하고 개선기준 DB로부터 개선에 필요한 각종 표준정보, 개선 가이드에 대한 내용, 모범 및 참조 사례 자료들을 조회하여 최적 개선 방향에 해당되는 내용의 선별 및 비용 평가를 통해서 업무 기준을 변경할 사항과 개선시 절감 가능한 비용 규모를 제시하고 내부 승인에 따라 업무기준 DB의 기준 정보를 변경하는 피드백 처리부를 포함하는, 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템이다.
본 발명에 의하면, 범용(복수)의 법규 및 규칙을 수용할 수 있는 통제 항목의 관리를 통해 통제 항목의 중복, 누락, 과잉 통제를 예방하고, 통제 항목을 최적화함으로써 조직의 규모와 성격에 따라서 최적의 보안 통제를 수행할 수 있도록 하며, 외부의 기관, 기업 등 참조할 수 있는 산업 분야별 지표를 참고하여 조직에 맞게 지표를 최적화하고, 개선 가이드에 대한 내용(개선 사항과 개선을 위해서 참조해야 할 각종 사례)을 개선 기준 데이터베이스로 미리 상세히 구축함으로써 필요시 조건에 따라서 해당 정보를 참조하여 자동화된 프로세스에 의해서 개선해야 할 사항을 자동 제시하여 활용할 수 있도록 하며, 통제에 대한 평가 결과의 기준 대비 과부족 여부를 판단하여 업무 개선 사항을 구체적으로 피드백시킴으로써 통제 및 관리의 최적화를 이룰 수 있는 범용 법규/규칙 수용과 준수 관리 결과를 통한 업무개선 기준의 최적화가 업무 진행에 따라서 점진적으로 가능하게 하는 이점이 있다.
도 1은 본 발명의 일 실시 형태에 의한 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템의 전체적인 구성을 예시한 블록도이다.
도 2a 내지 도 2e는 도 1의 각 부 상세 구성도이다.
도 3은 본 발명의 일 실시 형태에 의한 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템에서 이루어지는 전체적인 처리과정을 예시한 동작 흐름도이다.
이하, 본 발명의 일 실시 형태에 의한 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템의 전체적인 구성 및 동작을 첨부 도면을 참조하여 상세히 설명한다.
본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정 해석되지 아니하며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 따라서, 본 명세서에 기재된 실시 예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시 예에 불과할 뿐이므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.
도 1은 본 발명에 따른 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템의 전체적인 구성을 개략적으로 예시한 블록도이고, 도 2a 내지 도 2e는 도 1의 각 부 상세 구성도로서, 본 발명은 통제항목 관리부(110), 보안평가 선택부(120), 지표최적화 관리부(130), 개선지표 관리부(140), 및 피드백 처리부(150)를 포함하여 구성될 수 있다.
통제항목 관리부(110)는 각종 보안 점검 통제항목을 취합하고 통제항목 취합시 입력된 각 통제항목의 특징을 나타내는 키워드를 비교하여 동일한지 여부를 판단하여 중복된 항목을 제거하여 최적화된 통제 항목 표준을 마련하며, 최적화된 통제항목 표준을 통합 통제체계 DB(210)에 저장하고 관리한다. 이러한 통제항목 관리부(110)에 의해 관리되는 항목은 법규 항목, 규정/지침 항목, 국내외 인증 항목, 기타 보안 관련 산업 표준에 대한 주요 보안 점검 통제 항목이며, 이들 통제 항목간의 중복이 발생되지 않도록 조치하여 통합 통제체계 DB(210)에 최적화된 통제 항목 표준까지 포함하여 저장하고 관리한다. 이를 위하여 통제항목 관리부(110)는 도 2a에 예시된 바와 같이 통제항목 취합 처리부(111)와 중복항목 제거부(112)를 포함하여 구성될 수 있으며, 통합 통제체계 DB(210)를 관리한다.
통제항목 취합 처리부(111)는 각종 정보보호 관련 법률 및 시행령/시행규칙에 포함되어 있는 법규 항목, 각 조직 내 각종 보안 관련 규정 및 지침에 포함되어 있는 규정/지침 항목, 정보보호 관리체계 인증(ISMS)과 개인정보 보호 인증(PIPL)의 각 인증 처리를 위한 각종 통제/점검 항목들로 구성되는 국내외 인증 항목, 국가정보원이나 행정자치부, 금융감독원과 같이 공공기관 그리고 기업 등 기타 보안 산업과 관련된 주요 표준 보안 점검 통제 항목을 취합하여 처리한다.
중복항목 제거부(112)는 통제항목 취합 처리부(111)에서 취합 처리된 주요 보안 점검 통제 항목들로부터 취합 시 입력된 해당 통제 항목의 의미를 축약한 키워드를 비교하여 동일한 의미의 통제항목에 대해서 중복된 통제항목으로 판단하여 한쪽 통제항목을 제거함으로써 통제 항목간의 중복이 발생되지 않도록 조치한다.
보안 평가항목 선택부(120)는 평가를 대상으로 하는 조직의 규모와 성격에 따라서 최적의 보안 수행 평가를 위해 최적의 평가항목을 선별하기 위해 구현되며, 기존 조직 내의 각종 업무기준에 해당되는 조건 내용들과 평가항목 기준에 대한 선택 조건들을 업무기준 DB(220)로부터 가져와서 평가항목의 기준을 설정하고 설정된 평가항목의 기준을 근거로 하여 통합 통제체계 DB(210)로부터 적정한 보안 평가항목을 선택한다. 이를 위하여 보안 평가항목 선택부(120)는 도 2b에 예시된 바와 같이 업무기준 조회부(121)와 평가항목 기준 설정부(122) 및 평가항목 선택부(123)를 포함하여 구성될 수 있다.
업무기준 조회부(121)는 업무기준 DB(220)로부터 기존 조직 내의 각종 업무기준을 조회하여 평가를 대상으로 하는 조직의 규모와 성격을 파악한다.
평가항목 기준 설정부(122)는 업무기준 조회부(121)에서 조회된 조직 내의 각종 업무기준에 해당되는 조건 내용(업무별 소요 기간, 투입 인원, 투입 인원 등급, 소요 예산 정보 등)들과 평가항목 기준에 대한 선택 조건(공공기관, 금융기관, 기업, 학교 등의 구분과 대/중/소에 해당되는 기업 규모 조건과 ISMS/PIPL/국가정보원/행정자치부/금융감독원 등에서 제시한 보안통제 조건 중에서 택일 또는 다중 선택 조건 정보)들을 업무기준 DB(220)로부터 가져와서 그에 따른 평가항목의 기준을 설정한다.
평가항목 선택부(123)는 평가항목 기준 설정부(122)에서 설정된 평가항목의 기준을 근거로 하여 통합 통제체계 DB(210)로부터 보안 평가항목을 선택한다. 예를들어 보안 점검 대상이 보건복지부 정도 규모의 경우라면, 대규모급(가급) 공공기관이기 때문에 ISMS 인증만 단일로 선택한다고 평가항목 선택 기준을 정하는 경우 ISMS의 104개 항목 전부 통제항목으로 선택되며, 해당 공공기관 산하의 소규모 기관(다급)으로 평가항목 선택 기준을 정하는 경우라면 ISMS 인증만 단일로 선택하는 경우 ISMS의 104개 통제항목 중 일부 항목은 점검 제외될 수 있는데 이를 자동 선별해 주는 것이며, 만일 ISMS와 PIPL, 기타 국가정보원과 행정자치부 등을 통합으로 점검하고자 하는 경우라면 약 400개의 통제항목 중 중복을 배제하고 약 180 여개의 통제항목이 점검 대상으로 자동 선별되는 등 평가 항목의 기준을 점검 대상의 조건 입력에 따라서 자동 설정해 주는 역할을 수행한다.
지표 최적화 관리부(130)는 외부의 각 조직으로부터 각종 보안 항목에 대한 수준 정보를 원격으로 취합하여 보편적인 수준을 파악할 수 있는 부문별 평균치를 산정하고, 평가 대상 조직 내의 보편적인 목표에 대한 기준치, 항목별 가중도에 따른 값의 보정을 위한 보정치, 및 항목별 소요비용에 대한 각각의 기준 지표를 지표 DB(230)에 입력하여 이를 최적화 관리한다. 이를 위하여 지표 최적화 관리부(130)는 도 2c에 예시된 바와 같이 자료 원격 취합부(131), 평균치 산정부(132), 보편적 기준치 설정부(133), 항목별 보정치 설정부(134), 및 항목별 소요비용 설정부(135)를 포함하여 구성될 수 있으며, 지표 DB(230)를 관리한다.
자료 원격 취합부(131)는 보안 통제 항목에 대해서, 외부의 공공기관, 금융기관, 기업, 학교, 연구소 등의 각 조직으로부터 각종 보안 항목에 대한 수준 평가 정보를 주기적으로 원격 취합하여 평균치 산정부(132)로 전달한다.
평균치 산정부(132)는 자료 원격 취합부(131)에서 취합 및 전달된 보안 통제 수준 진단 결과값에 대해서, 공공기관, 금융기관, 기업, 학교, 연구소 등을 종류 및 규모에 따라 구분하고, 각 종류 및 규모별로 수준 평가 값을 더한 후, 더하는데 참여한 기관 및 기업들의 숫자로 나눠서 평균치를 산정함으로써 각종 통제항목에 대한 유사업계의 평균적인 수준을 파악할 수 있도록 부문별 평균치를 산정하여 지표 DB(230)에 저장한다. 이 평균치는 나중에 조직 내의 통제항목별 결과 값과 유사업계의 평균치와 비교하여 유사업계 대비 적합한지 미흡한지 여부를 식별할 수 있도록 하는데 활용한다.
보편적 기준치 설정부(133)는 점검을 수행할 조직에서 각 통제항목에 대해서 가져가야할 보편적인 기준(목표)에 대한 기준 지표를 설정하여 지표 DB(230)에 저장한다. 이 기준치는 나중에 조직 내의 통제항목별 결과 값과 비교하여 목표치 이상을 달성했는지 여부를 식별하는데 활용한다.
항목별 보정치 설정부(134)는 보안 통제 항목에 대해서, 조직 내 시스템의 중요도에 따른 가중치(1~3 등급으로 구분), 시스템 자산의 취약점 심각도(어느 정도로 심각한 취약점에 해당될 수 있는 지를 1~3 등급으로 구분), 기존보호대책값(기존 자산의 보호를 위한 대책이 강구되었는지 여부를 1~3 등급으로 구분), 시스템의 사용도(빈번하게 사용되는 시스템인지 여부)에 대한 가중치(1~3 등급으로 구분), 법에서 명시된 요건으로 인해서 운영되는 시스템인지 여부에 따른 가중치(법에서 명시된 경우 2등급, 그렇지 않은 경우 1등급) 등에 따라, 각 가중치에 의한 값의 보정을 위한 보정치에 대한 기준 지표를 설정하여 지표 DB(230)에 저장한다.
항목별 소요비용 설정부(135)는 보안 통제 항목에 대해서, 조직 내에서 항목별로 업무 수행을 위해 소요되는 예산과 비용들의 값을 지표를 설정하여 지표 DB(230)에 저장한다. 이 값은 나중에 피드백 처리부(150)의 평가 결과 입력부(151)에 의해서 입력된 평가 결과값을 가지고, 통제 분석 처리부(152)에서 이전평가결과DB(250)에서 이전 평가시 예산과 소용 비용 등과 비교를 하여 더 많은 비용이 지출되었는지 여부 등을 판별하는데 활용된다.
개선지표 관리부(140)는 개선 사항과 개선을 위해서 참조해야 할 각종 사례를 개선기준 DB(240)로 구축하여 필요시 필요 조건에 따라서 해당 정보를 참조하여 자동화된 프로세스에 의해서 업무 진행 방향에 대해 개선해야 할 사항을 자동 제시할 수 있도록 하기 위하여 구현되며, 개선이 필요한 부분을 식별하여 해당 부분의 개선을 위해 제시될 수 있는 업무, 조직, 예산에 대한 표준 정보, 개선 가이드에 대한 내용을 입력하고, 우수 사례(Best Practice)에 대해서 축적된 모범 사례 및 참조 사례에 대한 각종 규정/지침/매뉴얼/가이드/양식을 개선기준 DB(240)에 등록하여 관리하며, 필요시 해당 정보를 조회 및 이용할 수 있도록 관리한다. 이를 위하여 개선지표 관리부(140)는 도 2d에 예시된 바와 같이 표준정보 입력부(141)와 개선 가이드 입력부(142) 및 모범사례 입력부(143)를 포함하여 구성될 수 있으며, 개선기준 DB(240)를 관리한다.
표준정보 입력부(141)는 개선이 필요한 부분의 개선을 위해 제시될 수 있는 업무, 조직, 예산에 대한 표준 정보를, 통제항목별로 미흡으로 판정되는 각 조건에 대해서 업무 개선기준을 사전에 입력하여 개선기준 DB(240)에 등록 및 관리할 수 있도록 한다. 예를들면 침입차단 시스템을 관리하는 업무에 대해서 투입된 내부 인력이 과잉인 경우 적정 인원은 몇 명이고, 예산이 부족하여 제대로 운용되고 있지 못하는 경우, 이를 위해 어느 정도 예산이 적정한지 제시해 주는 것과 같다.
개선 가이드 입력부(142)는 개선이 필요한 부분의 업무 내용 개선을 위해 제시될 수 있는 상세한 개선 가이드 내용 정보들을 입력하여 개선기준 DB(240)에 등록 및 관리한다. 예를들면 '침입차단 시스템의 구축은 메인 백본망만 구축하여 1차 방어만 하는 것보다 하부 네트워크에 2차 방어를 위한 침입차단 시스템을 추가하여 보안성을 높이도록 한다'와 같이 업무 방향에 대한 세부적인 가이드 내용을 제시하는 것과 같다.
모범사례 입력부(143)는 개선이 필요한 부분의 개선을 위해 제시될 수 있는 우수 사례(Best Practice)에 대해서 축적된 모범 사례 및 참조 사례에 대한 각종 규정/지침/매뉴얼/가이드/양식 파일들을 사전 입력하고 관리할 수 있도록 하여, 개선기준 DB(240)에 등록 및 관리하고, 나중에 이를 이용하여 특정 양식을 새로 만들어야 하는 경우 모범 사례를 참조할 수 있도록 하여, 용이하게 조직 내 양식을 만들 수 있도록 지원한다.
피드백 처리부(150)는 개선이 필요한 항목에 따라서 자동적으로 개선에 필요한 사항과 개선을 했을 경우 비용적인 측면에서 절감 가능한 비용을 정량적으로 산출하고 이를 제시하여 업무기준의 변경 근거를 명확하게 자동으로 제시하고, 승인 후 업무기준 자체를 자동으로 변경하는 자동화된 피드백 체계를 구현하기 위해 구비되며, 평가 결과로 입력된 내용들을 이전평가결과 DB(250)와 지표 DB(230)로부터 가져온 각종 평균치, 기준치, 보정치에 따른 지표들을 통해서 산정된 결과와 비교를 통해서 기준 대비 과부족 여부를 판정할 수 있도록 하고, 과부족으로 판정되어 개선여부가 필요한 사항에 대해서 개선 여부를 판단하여 개선기준 DB(240)로부터 개선에 필요한 각종 표준정보, 개선 가이드에 대한 내용, 모범 및 참조 사례 자료들을 조회하여 최적 개선 방향에 해당되는 내용을 선별하고, 비용 평가를 통해서 비용 측면에서 개선시 절감 가능한 비용을 산정하여 업무 기준 변경 제어부(157)를 통해서 업무 기준을 변경할 사항과 개선시 절감 가능한 비용 규모를 제시하고, 이에 대한 내부 승인에 따라서 업무기준 DB(220)의 기준 정보를 변경하는 피드백 작업을 실시한다. 이를 위하여 피드백 처리부(150)는 도 2e에 예시된 바와 같이 평가결과 입력부(151)와 통제분석 처리부(152)와 기준대비 과부족 판단부(153)와 개선여부 판정부(154)와 개선정보 선정부(155)와 비용평가 산정부(156)와 업무기준 변경 제어부(157) 및 업무기준 변경부(158)를 포함하여 구성될 수 있다.
평가결과 입력부(151)는 통제항목별로 점검에 따른 평가 결과 내용과 값을 입력하는데에 사용된다.
통제분석 처리부(152)는 평가결과 입력부(151)를 통해 입력된 평가 결과값을 지표 DB(230)로부터 보정치를 반영하여 처리를 하고, 이전평가결과 DB(250)로부터 가져온 이전 평가 결과 값과 지표 DB(230)로부터 가져온 조직내 목표에 해당되는 기준치, 유사업계의 평균치를 기준대비 과부족 판단부(153)에 전달하는 역할을 수행한다. 보정치 처리에 대해 예를들면, 취약점 조치율(취약점 조치율 = 조치된 취약점 수 / 발견된 취약점 총 개수 * 100)에 대해서 발견된 취약점 총 개수는 10개이고 조치된 취약점 수가 8개로 가정하는 경우에 80% 조치율(위험도 지수 6에 해당되는 것으로 가정)에 해당되며, 해당 서버는 중요도(지수를 1~3으로 구분) 측면에서 3에 해당되고, 시스템 자산의 취약점 심각도는 2에 해당되고, 기존보호 대책값은 3에 해당되고, 빈번하게 사용(지수를 1~3으로 구분)되는 시스템으로 2에 해당되고, 법으로 규정(법 규정 경우 지수 2, 아닌 경우 지수 1로 구분)된 시스템이 아니어서 1에 해당된다고 가정하는 경우에 보정치는 0.79 (보정치 = 해당지수/지수총계 = (3+2+3+2+1)/(3+3+3+3+2) )에 해당되므로, 보정치를 반영한 위험도 산정지수는 4.7 (위험도 보정치 = 6 * 0.79 )로 조정되어, 이 값이 기준대비 과부족 판단부(153)로 전달된다.
기준대비 과부족 판단부(153)는 평가결과 입력부(151)에서 입력된 평가 결과 값과 이전평가결과 DB(250)로부터 가져온 이전 평가 결과값, 통제분석 처리부(152)를 통해 전달받은 보정치가 적용된 평가 결과값과 각종 평균치, 기준치 지표들을 비교하여 기준 대비 과부족 여부를 판단한다.
개선여부 판정부(154)는 기준대비 과부족 판단부(153)에 의한 기준 대비 과부족 여부 판단 결과로부터 개선여부를 종합적으로 판정하고, 개선이 필요한 경우에는 개선정보 선정부(155)에 알리고, 그렇지 않은 경우에는 분석결과 제시부(160)에 알린다. 기준 대비 과부족 여부의 판단에 대해서 예를들면, 해당 시스템에 대한 취약점 조치율에 대한 이전평가 결과값이 50%로 보정치를 반영한 위험도 지수가 5.0 인 경우, 통제분석 처리부(152)를 통해서 이번 평가 결과로 받은 취약점 조치율 80%에 위험도 지수 4.7 을 기준으로 이전 취약점 조치율 보다 30% 개선되었고,위험도는 0.3이 낮아진 것 으로 적정으로 통과하는 것으로 판정되고, 업계 평균치가 취약점 조치율 70%으로 보정치를 반영한 위험도 지수가 4.8 이라면 10% 개선에 위험도 0.1 정도가 낮아진 것으로 적정으로 통과하는 것 으로 판정 되었지만, 조직 내 목표인 기준치가 취약점 조치율 90%에 위험도 지수 3.0 이하인 경우 조치율 측면에서는 10%가 낮고, 위험도 지수 측면에서는 1.8정도 가 높기 때문에 최종 판정 결과는 부족으로 판정되는 방식이 적용된다.
개선정보 선정부(155)는 개선여부 판정부(154)를 통해 과부족으로 판정되어 개선여부가 필요한 사항에 대해서 개선기준 DB(240)로부터 개선에 필요한 각종 표준정보, 개선 가이드에 대한 내용, 모범 및 참조 사례 자료들을 조회하여, 개선이 필요한 업무 항목에 대해서 최적의 개선 방향 내용을 선별한다. 예를들면 취약점 조치율 측면에서 부족으로 판정되는 경우 개선 표준정보에서 해당 취약점을 조치하지 않는 경우에 “해당 취약점을 통해서 해커에 의해서 시스템의 루트 계정이 탈취되어 해당 시스템에 담겨져 있는 모든 정보를 잃을 수 있다”는 내용과 같은 위험 내용, 해당 문제를 해결하기 위해서 “윈도우 시스템 폴더 내의 abcd.dll 파일에 대해 최신(1.54) 버전으로 즉시 패치를 권고함”과 같은 개선 가이드에 대한 내용, 모범 및 참조 사례로 “http://www.ooo.co.kr/download/abcd_pathch.html” 링크를 통해서 상세사항을 참조하기 바람”과 같은 내용이 개선을 위해서 선정된다.
비용평가 산정부(156)는 개선정보 선정부(155)를 통해 선정된 최적 개선 방향에 해당되는 내용에 대해, 통제분서 처리부(152)로부터 전달된 예산 및 소요 비용, 그리고 개선기준 DB(240)로부터 조회된 비용 기준을 비교, 평가하여 비용 측면에서 개선시 절감 가능한 비용을 산정한다. 예를들면 보안 제품이 부족한 취약점에 해당하는 경우, 취약점 종류별로 개선을 하는데 필요한 사항과 보완에 활용되는 제품의 종류, 그에 대한 도입 비용 등을 사전에 개선기준 DB(240)에 저장해 놓았기 때문에, 해당 취약점에 대한 개선 정보를 조회하여 이를 업무기준 변경 제어부(157)로 전달하여, 업무 기준에 예산 추가가 반영되도록 고려한다. 만일 인력수가 부족하여 취약점이 발생되는 경우, 해당 취약점의 기준이 되는 인력 수 및 해당 등급 인력 운용을 위해서 필요한 비용 등에 대한 정보를 조회해 와서 현재 해당 업무를 보는 인력 수를 비교하여, 가감해야 하는 인력 수를 파악하고 그에 따른 인력 운용 비용을 산정하여 업무기준 변경 제어부(157)로 전달하여, 업무 기준에 예산 추가가 반영되도록 고려한다.
업무기준 변경 제어부(157)는 개선여부 판단부(154)로부터 개선이 필요한 사항을 파악하고, 개선여부 판단부(154)와 개선정보 선정부(155) 및 비용평가 산정부(156)에 의해 판단되고 선별 및 산정된 결과를 전달받아서, 업무 기준을 변경할 사항과 개선시 절감 가능한 비용 규모 또는 개선을 위해서 추가해야 하는 예산 항목과 비용규모 등을 제시한다.
업무기준 변경부(158)는 업무기준 변경 제어부(157)가 제시한 내용에 대한 내부 승인에 따라서 업무기준 DB(220)의 기존 기준 정보를 개선정보로 변경하여 저장하는 피드백 작업을 실시한다.
통합 통제체계 DB(210)는 통제항목 관리부(110)에 의해 관리되며, 법규 항목(각종 정보보호 관련 법, 시행령/시행규칙에 포함되어 있는 항목), 규정/지침 항목(각 기업 내 각종 보안 관련 규정 및 지침에 포함되어 있는 항목), 국내외 인증 항목(정보보호 관리체계 인증(ISMS)과 개인정보 보호 인증(PIPL)의 각 인증 처리를 위한 각종 통제/점검 항목), 산업 표준 항목(국가정보원, 행정자치부, 금융감독원 등 기타 보안 산업 관련 표준 점검항목)에 대한 주요 보안 점검 통제 항목들을 저장하며, 통제항목 관리부(110)에 의해 취합 처리되고 중복 항목이 제거된 통제 항목들을 포함하여 저장한다.
업무 기준 DB(220)는 피드백 처리부(150)에 의해 일부 관리되고 보안평가 선택부(120)에서 사용되며, 기존 조직 내의 각종 업무 기준에 해당되는 조건 내용(업무별 소요 기간, 투입 인원, 투입 인원 등급, 소요 예산)들과 평가 항목 기준에 대한 선택 조건(공공기관, 금융기관, 기업, 학교, 연구소 등으로 구분되는 분류와 대/중/소 등의 규모 조건과 ISMS/PIPL/국가정보원/행정자치부/금융감독원의 보안통제 조건 중에서 택일 또는 다중 선택 조건)들을 저장한다.
지표 DB(230)는 지표 최적화 관리부(130)에 의해 관리되며, 외부의 각 조직(기관, 기업, 학교, 연구소 등)으로부터 각종 보안 항목에 대한 수준 정보를 지표 최적화 관리부(130)가 원격으로 취합하여 보편적인 수준을 파악할 수 있도록 산정한 유사업계 및 규모별 평균치, 평가 대상 조직 내의 보편적인 목표에 대한 기준치, 항목별 가중치 구분에 따른 값의 보정을 위한 보정치, 및 항목별 소요비용에 대한 각각의 기준 지표를 저장한다.
개선기준 DB(240)는 개선지표 관리부(140)에 의해 관리되며, 개선이 필요한 부분에 대하여 개선을 위해 제시될 수 있는 업무, 조직, 예산에 대한 표준 정보, 개선 가이드, 우수 사례(Best Practice)에 대해서 축적된 모범 사례 및 참조 사례에 대한 각종 규정/지침/매뉴얼/가이드/양식을 저장해놓고, 필요시 제공하는 역할을 수행한다.
이전 평가결과 DB(250) 및 이번 평가결과 DB(260)는 통제분석 처리부(152)에 의해 관리되며, 매 평가 작업이 진행되어 평가 결과가 입력되면 이를 저장하는 역할을 수행하고, 현재 작업 진행중인 평가에 대해서 바로 이전 평가결과를 조회하여 이번과 이전의 평가결과 사이의 차이를 쉽게 비교할 수 있도록 해준다.
이상과 같이 구성되는 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템의 상세 동작 및 그에 의한 작용 효과를 설명하면 다음과 같다.
도 3은 본 발명의 일 실시 형태에 의한 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 관리시스템에서 이루어지는 전체적인 처리과정을 예시한 동작 흐름도로서, 통제항목 관리단계(S110), 보안 평가항목 선택단계(S120), 지표 최적화 관리단계(S130), 개선지표 관리단계(S140), 및 피드백 처리단계(S150)를 포함하여 이루어질 수 있다.
통제항목 관리단계(S110)는 각종 보안 점검 통제항목에 대한 취합과 최적화를 통해 최적화된 통제 항목 표준을 마련하는 단계로서, 통제항목 관리부(110)에 의해 수행되며, 각종 정보보호 관련 법규 항목, 각 조직 내 각종 보안 관련 규정/지침 항목, 정보보호 관리체계 인증(ISMS)과 개인정보 보호 인증(PIPL) 관련 각종 통제/점검 항목, 기타 국가정보원, 행정자치부, 금융감독원 등 보안 산업 관련 표준 항목에 대한 주요 보안 점검 통제 항목을 취합 처리하는 단계(S111), 통제 항목간의 중복이 발생되지 않도록 중복되는 항목을 제거하는 단계(S112), 및 이를 통합 통제체계 DB(210)에 저장하는 단계(S113)를 포함하여 이루어진다.
이러한 통제항목 관리단계(S110)에서는 각종 정보보호 관련 법률, 시행령/시행규칙에 포함되어 있는 법규 항목, 각 조직 내 각종 보안 관련 규정 및 지침에 포함되어 있는 규정/지침 항목, 정보보호 관리체계 인증(ISMS)과 개인정보 보호 인증(PIPL)의 각 인증 처리를 위한 국내외 각종 통제/점검 항목, 기타 보안 산업 관련 표준 항목에 대한 주요 보안 점검 통제 항목을 취합 처리(S111)하고 통제 항목간의 중복이 발생되지 않도록 중복되는 항목을 제거(S112)하여 이를 통합 통제체계 DB(210)에 저장(S113) 및 관리한다.
보안 평가항목 선택단계(S120)는 평가를 대상으로 하는 조직의 규모와 성격에 따라서 최적의 보안 수행 평가를 위해 최적의 평가 항목을 선별하는 단계로서, 보안 평가 선택부(120)에 의해 수행되며, 업무 기준 DB에서 업무 기준을 조회하는 단계(S121), 기존 조직 내의 각종 업무 기준에 해당되는 업무별 소요 기간, 투입 인원, 투입 인원 등급, 소요 예산 등의 조건 내용들과, 평가 항목 기준에 대한 선택조건(공공기관, 금융기관, 기업, 학교, 연구소 등으로 구분되는 분류와 대/중/소 등의 규모 조건과 ISMS/PIPL/국가정보원/행정자치부/금융감독원 보안통제 조건 중에서 하나 또는 다중 선택 정보)들을 업무기준 DB(220)로부터 가져와서 평가항목의 기준을 설정하는 단계(S122), 설정된 평가 항목의 기준을 근거로 하여 통합 통제체계 DB(210)로부터 보안 평가 항목을 선택하는 단계(S123)를 포함하여 이루어진다.
이러한 보안 평가 선택단계(S120)에서는 업무 기준 DB(220)에서 업무 기준을 조회(S121)하여, 기존 조직 내의 각종 업무 기준에 해당되는 업무별 소요 기간, 투입 인원, 투입 인원 등급, 소요 예산 등의 조건 내용들과, 평가 항목 기준에 대한 선택조건(공공기관, 금융기관, 기업, 학교, 연구소 등으로 구분되는 분류와 대/중/소 등의 규모 조건과 ISMS/PIPL/국가정보원/행정자치부/금융감독원 보안통제 조건 중에서 하나 또는 다중 선택 정보)들을 업무기준 DB(220)로부터 가져와서 평가항목의 기준을 설정(S122)하고, 설정된 평가 항목의 기준을 근거로 하여 통합 통제체계 DB(210)로부터 보안 평가 항목을 선택(S123)한다.
지표 최적화 관리단계(S130)는 보안 통제 항목에 대해서 평가된 내용이 다른 외부 유사 규모의 기관이나 기업들의 평균과의 차이점, 보편적인 기준과 가중도에 따른 값 보정에 의해서 산출되는 통계 및 분석 결과로써 산출될 수 있도록 지표를 최적화하는 단계로서, 지표 최적화 관리부(130)에 의해 수행되며, 외부의 기관, 기업, 학교, 연구소 등의 각 조직으로부터 각종 보안 항목에 대한 수준 정보를 원격으로 취합하는 단계(S131), 외부 유사 규모의 기관이나 기업들의 보편적인 수준을 파악할 수 있도록 부문별 평균치를 산정하는 단계(S132), 조직 내에서 가져가야 할 보편적인 목표에 대한 기준치, 항목별 가중도에 따른 값의 보정을 위한 보정치, 및 항목별 소요비용에 대한 각각의 기준 지표를 각각 설정하는 단계(S133-S135), 및 상기 각 설정치를 지표 DB(230)에 입력하여 최적화된 지표를 저장 및 관리하는 단계(S136)를 포함하여 이루어진다.
이러한 지표 최적화 관리단계(S130)에서는 외부의 기관, 기업, 학교, 연구소 등의 각 조직으로부터 각종 보안 항목에 대한 수준 정보를 원격으로 취합(S131)하여 보편적인 수준을 파악할 수 있도록 부문별 평균치를 산정(S132)하고, 각 조직에서 가져가야 할 보편적인 기준치, 항목별 가중도에 따른 값의 보정을 위한 보정치, 및 항목별 소요비용에 대한 각각의 기준 지표를 설정(S133-S135)하여 지표 DB(230)에 저장(S136)해 놓고 필요시 참조할 수 있도록 하는 방법으로 각종 지표들을 최적화시켜 관리한다.
개선지표 관리단계(S140)는 개선 사항과 개선을 위해서 참조해야 할 각종 사례를 미리 데이터베이스로 구축하여, 개선내용이 필요한 조건에 따라서 해당 정보를 참조하여 자동화된 프로세스에 의해서 개선해야 할 사항을 자동 제시하기 위한 개선 지표를 관리하는 단계로서, 개선지표 관리부(140)에 의해 수행되며, 개선이 필요한 부분을 식별하여 해당 부분의 개선을 위해 제시될 수 있는 업무, 조직, 예산에 대한 표준 정보, 개선 가이드에 대한 내용을 각각 입력하는 단계(S141,S142), 우수 사례(Best Practice)에 대해 축적된 모범 사례 및 참조 사례에 대한 각종 규정/지침/매뉴얼/가이드/양식을 입력하는 단계(S143), 및 상기 입력된 정보들을 개선기준 DB(240)에 저장 및 등록하는 단계(S144)를 포함하여 이루어진다.
이러한 개선지표 관리단계(S140)에서는 개선이 필요한 부분을 식별하여 해당 부분의 개선을 위해 제시될 수 있는 업무, 조직, 예산에 대한 표준 정보, 개선 가이드에 대한 내용을 입력하고, 우수 사례(Best Practice)에 대해서 축적된 모범 사례 및 참조 사례에 대한 각종 규정/지침/매뉴얼/가이드/양식을 개선기준 DB(240)에 저장 및 등록하며, 필요시 해당 정보를 조회 및 이용할 수 있도록 관리한다.
피드백 처리단계(S150)는 개선이 필요한 항목에 따라서 자동적으로 개선에 필요한 사항에 대해서 개선을 해야할 가이드에 대한 내용, 그리고 개선을 했을 경우 비용적인 측면에서 절감 가능한 비용을 정량적으로 산출하고 이를 제시하여 업무 기준의 변경 근거를 명확히 자동 제시하고, 승인 후 기준 자체를 자동으로 변경하는 단계로서, 피드백 처리부(150)에 의해 수행되며, 평가 결과를 입력받는 단계(S151), 평가 결과에 의해서 입력된 내용들을 이전평가결과 DB(250)와 지표 DB(230)로부터 가져온 각종 이전평가결과, 유사한 외부 기관이나 기업의 평균치, 조직 내 목표에 해당되는 기준치, 가중치에 의해서 값을 보정하기 위한 보정치에 따른 지표들을 통해서 산정된 결과와 비교하여 기준 대비 과부족 여부를 판단하는 단계(S152, S153), 과부족으로 판정되어 개선여부가 필요한 사항에 대해서 개선 여부를 판정하는 단계(S154), 개선기준 DB(240)로부터 개선에 필요한 각종 표준정보, 개선 가이드에 대한 내용, 모범 및 참조 사례 자료들을 조회하여 최적 개선 방향에 해당되는 내용을 선정하는 단계(S155), 비용 평가를 통해서 비용 측면에서 개선시 절감 가능한 비용을 산정하는 단계(S156), 업무 기준 변경 제어부(157)를 통해서 업무 기준을 변경할 사항과 개선시 절감 가능한 비용 규모를 평가, 제시하는 단계(S157), 이에 대해 변경해야할 업무 기준 정보를 정하고 변경을 제시하는 단계(S158), 내부 내부 승인이 확인되면 업무기준 DB(220)로 피드백하여 업무 기준 정보를 변경 저장하는 단계(S159)를 포함하여 이루어진다.
이러한 피드백 처리단계(S150)에서는 평가 결과를 입력(S151)받아 평가 결과에 의해서 입력된 내용들을 이전평가결과 DB(250)와 지표 DB(230)로부터 가져온 각종 평균치, 기준치, 보정치에 따른 지표들을 통해서 산정된 결과와 비교하여 기준 대비 과부족 여부를 판단(S152,S153)한다. 상기 판정결과 과부족이 아닌 경우에는 분석결과를 제시(S160)하고 동작을 즉시 종료하며, 과부족으로 판정되어 개선여부가 필요한 사항에 대해서 개선 여부를 판정(S154)하여 개선기준 DB(240)로부터 개선에 필요한 각종 표준정보, 개선 가이드에 대한 내용, 모범 및 참조 사례 자료들을 조회하여 최적 개선 방향에 해당되는 내용을 선정(S155)하고, 비용 평가를 통해서 비용 측면에서 개선시 절감 가능한 비용을 산정(S156)하여 업무 기준 변경 제어부(157)를 통해서 업무 기준을 변경할 사항과 개선시 절감 가능한 비용 규모를 제시(S157)하고, 이에 대한 내부 승인에 따라서 업무기준 DB(220)의 기준 정보를 변경하는 피드백 작업을 실시(S158,S159)한다.
이상과 같은 본 발명에 의하면, 범용복수의 법규규칙을 수용할 수 있는 통제항목 관리체계를 구현함으로써 중복, 누락, 과잉 통제를 예방할 수 있으며, 통제 항목의 최적화를 통해 조직의 규모와 성격에 따라서 최적의 보안 통제를 수행할 수 있게 하는 이점을 제공한다.
또한 본 발명에 의하면, 지표의 최적화를 통해서 외부의 기관, 기업 등 참조할 수 있는 산업 분야별 지표를 참고하여 조직에 최적화와 수준 비교도 할 수 있을 뿐만 아니라 평가 결과의 기준 대비 과부족 여부를 판단하여 피드백을 통한 통제의 최적화와 보편적 수준과의 차이 파악 등을 구현할 수 있게 하는 이점을 제공한다.
또한 본 발명에 의하면, 사전 정의된 개선 가이드와 모범 및 참조 사례, 비용 측면에서 개선 방향 정보 들을 토대로, 과부족 여부에 따라 항목별로 최적의 개선 정보와 지표를 제공 받고, 이를 이용하여 업무 기준을 개선해야 하는 구체적인 방향을 피드백함으로써 점진적인 업무 기준 개선 효과도 달성할 수 있게 하는 이점을 제공한다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 이는 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명 사상은 아래에 기재된 특허 청구 범위에 의해서만 파악되어야 하고, 이의 균등 또는 등가적 변형 모두는 본 발명 사상의 범주에 속한다고 할 것이다.
110 : 통제항목 관리부 111 : 통제항목 취합 처리부
112 : 중복항목 제거부 120 : 보안평가 선택부
121 : 업무기준 조회부 122 : 평가항목 기준 설정부
123 : 평가항목 선택부 130 : 지표최적화 관리부
131 : 자료 원격 취합부 132 : 평균치 산정부
133 : 보편적 기준치 설정부 134 : 항목별 보정치 설정부
35 : 항목별 소요비용 설정부 140 : 개선지표 관리부
141 : 표준정보 입력부 142 : 개선 가이드 입력부
143 : 모범사례 입력부 150 : 피드백 처리부
151 : 평가결과 입력부 152 : 통제분석 처리부
153 : 기준대비 과부족 판단부 154 : 개선여부 판정부
155 : 개선정보 선정부 156 : 비용평가 산정부
157 : 업무기준 변경 제어부 158 : 업무기준 변경부
160 : 분석 결과 제시부 210 : 통합 통제체계 DB
220 : 업무기준 DB 230 : 지표 DB
240 : 개선 기준 DB 250 : 이전 평가결과 DB
260 : 이번 평가결과 DB

Claims (7)

  1. 각종 보안 점검 통제항목을 취합하고 중복된 항목을 제거하여 보안 점검 통제 항목 표준을 마련하며, 보안 점검 통제 항목 표준을 통합 통제체계 DB(210)에 저장하고 관리하는 통제항목 관리부(110);
    기존 조직 내의 각종 업무기준에 해당되는 조건 내용들과 평가항목 기준에 대한 선택 조건들을 업무기준 DB(220)로부터 가져와서 평가항목의 기준을 설정하고 설정된 평가항목의 기준을 근거로 하여 통합 통제체계 DB(210)로부터 보안 평가항목을 선택하는 보안 평가항목 선택부(120);
    외부의 각 조직(기관, 기업, 학교, 연구소)으로부터 각종 보안 항목에 대한 수준 정보를 주기적으로 원격 취합하여 각 조직의 종류와 규모에 따른 부문별 조직의 평균적인 수준을 파악할 수 있는 부문별 평균치를 산정하고, 각 조직에서 가져가야 할 목표 측면의 기준치, 항목별 가중도에 따른 값의 보정을 위한 보정치, 및 항목별 소요비용에 대한 각각의 기준 지표를 지표 DB(230)에 입력하여 이를 관리하는 지표 최적화 관리부(130);
    개선이 필요한 부분을 식별하여 해당 부분의 개선을 위해 제시될 수 있는 업무, 조직, 예산에 대한 표준 정보, 각종 개선 가이드에 대한 내용을 입력하고, 우수 사례(Best Practice)에 대해서 축적된 모범 사례 및 참조 사례에 대한 각종 규정/지침/매뉴얼/가이드/양식을 개선기준 DB(240)에 등록하여 관리하는 개선지표 관리부(140); 및
    평가 결과에 의해서 입력된 내용들을 이전평가결과 DB(250)와 지표 DB(230)로부터 가져온 이전평가결과 및 각종 평균치, 기준치, 보정치에 따른 지표들을 통해서 산정된 결과와 비교하여, 그 비교를 통해서 평가 결과 입력값들에 대한 기준 지표 대비 과잉 또는 부족 여부를 판정할 수 있도록 하고, 과잉 또는 부족으로 판정되어 개선여부가 필요한 사항에 대해서 개선 여부를 판단하여 개선기준 DB(240)로부터 개선에 필요한 각종 표준정보, 개선 가이드에 대한 내용, 모범 및 참조 사례 자료들을 조회하여 개선 방향에 해당되는 내용을 선별하고, 비용 평가를 통해서 비용 측면에서 개선을 위해서 추가해야할 비용 또는 개선시 절감 가능한 비용을 산정하여 업무 기준 변경 제어부를 통해서 인력, 업무, 투자 예산 관련 업무 기준을 변경할 사항과 개선시 절감 가능한 비용 규모를 제시하고, 이에 대한 내부 승인에 따라서 업무기준 DB(220)의 기준 정보를 변경하는 피드백 작업을 실시하는 피드백 처리부(150);를 포함하고,
    법규 항목(각종 정보보호 관련 법, 시행령/시행규칙에 포함되어 있는 항목), 규정/지침 항목(각 기업내 각종 보안 관련 규정 및 지침에 포함되어 있는 항목), 국내외 인증 항목(정보보호 관리체계 인증(ISMS)과 개인정보 보호 인증(PIPL)의 각 인증 처리를 위한 각종 통제/점검 항목), 산업 표준 항목(국가정보원, 행정자치부, 금융감독원, 기타 보안 산업 관련하여 제시된 통제/점검을 위한 표준 항목)에 대한 주요 보안 점검 통제 항목들이 저장되는 통합 통제체계 DB(210);
    기존 조직 내의 각종 업무 기준에 해당되는 조건 내용(업무별 소요 기간, 투입 인원, 투입 인원 등급, 소요 예산)들과 평가 항목 기준에 대한 선택 조건(공공기관, 금융기관, 기업, 학교, 연구소로 구분되는 분류와 대/중/소 규모 조건과 ISMS/PIPL/국가정보원/행정자치부/금융감독원 보안통제 조건 중에서 택일 또는 다중 선택 정보)들이 저장되는 업무 기준 DB(220);
    외부의 각 조직(기관, 기업, 학교, 연구소)으로부터 각종 보안 항목에 대한 수준 정보를 지표 최적화 관리부(130)가 원격으로 취합하여 부문별 수준을 파악할 수 있도록 산정한 부문별 평균치, 조직 내부에서 목표로 가져가야 할 기준치, 각 항목별 가중도에 따른 값의 보정을 위한 보정치, 및 항목별 소요비용에 대한 각각의 기준 지표가 저장되는 지표 DB(230);
    개선이 필요한 부분에 대하여 개선을 위해 제시될 수 있는 업무, 조직, 예산에 대한 표준 정보, 각종 개선 가이드, 우수 사례(Best Practice)에 대해서 축적된 모범 사례 및 참조 사례에 대한 각종 규정/지침/매뉴얼/가이드/양식 자료가 저장되는 개선 기준 DB(240);
    각 시기별로 입력된 이전 평가결과들이 저장되는 이전 평가결과 DB(250), 및 이번에 입력된 평가결과들이 저장되는 이번 평가결과 DB(260);를 포함하여 구성되는 것을 특징으로 하는 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템.
  2. 제1항에 있어서, 상기 통제항목 관리부(110)는,
    각종 정보보호 관련 법률 및 시행령/시행규칙에 포함되어 있는 법규 항목, 각 조직 내 각종 보안 관련 규정 및 지침에 포함되어 있는 규정/지침 항목, 정보보호 관리체계 인증(ISMS)과 개인정보 보호 인증(PIPL)의 각 인증 처리를 위한 각종 통제/점검 항목들로 구성되는 국내외 인증 항목, 기타 국가정보원, 행정자치부, 금융감독원의 보안 산업에 관련된 산업 표준 항목에 대한 주요 보안 점검 통제 항목을 취합하여 처리하는 통제항목 취합 처리부(111); 및
    통제항목 취합 처리부(111)에서 취합 처리된 주요 보안 점검 통제 항목들로부터 해당 통제항목의 키워드에 의해서 중복되는 내용의 항목을 제거하여 보안 점검 통제 항목의 표준을 마련하는 중복항목 제거부(112);를 포함하여 구성되는 것을 특징으로 하는 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템.
  3. 제1항에 있어서, 상기 보안 평가항목 선택부(120)는,
    업무기준 DB(220)로부터 기존 조직 내의 각종 업무기준을 조회하여 평가를 대상으로 하는 조직의 규모와 성격을 파악하는 업무기준 조회부(121);
    업무기준 조회부(121)에서 조회된 조직 내의 각종 업무기준에 해당되는 조건 내용(업무별 소요 기간, 투입 인원, 투입 인원 등급, 소요 예산)들과 평가항목 기준에 대한 선택 조건(공공기관, 금융기관, 기업, 학교, 연구소로 구분되는 분류와 대/중/소 규모 조건과 ISMS/PIPL/국가정보원/행정자치부/금융감독원 보안통제 조건 중에서 택일 또는 다중 선택한 조건 정보)들을 업무기준 DB(220)로부터 가져와서 평가항목의 기준을 설정하는 평가항목 기준 설정부(122); 및
    평가항목 기준 설정부(122)에서 설정된 평가항목의 기준 및 선택 조건을 근거로 하여 통합 통제체계 DB(210)로부터 보안 평가항목을 선택하는 평가항목 선택부(123);를 포함하여 구성되는 것을 특징으로 하는 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템.
  4. 제1항에 있어서, 상기 지표 최적화 관리부(130)는,
    보안 통제 항목에 대해서, 외부의 각 조직(기관, 기업, 학교, 연구소)으로부터 각종 보안 항목에 대한 수준 정보를 원격으로 취합하여 평균치 산정부(132)로 전달하는 자료 원격 취합부(131);
    자료 원격 취합부(131)에서 취합 및 전달된 보안 통제 항목별 평가값에 대해서, 각종 보안 항목별로 외부의 기관이나 기업의 종류와 규모에 따른 부문별 수준을 파악할 수 있도록 부문별 평균치를 분류, 산정하여 지표 DB(230)에 저장하는 평균치 산정부(132);
    보안 통제 항목에 대해서, 점검을 수행할 조직 내 목표에 해당되는 기준 지표인 기준치를 설정하여 지표 DB(230)에 저장하는 보편적 기준치 설정부(133);
    보안 통제 항목에 대해서, 항목별 가중도에 따른 값의 보정을 위한 보정치에 대한 기준 지표를 설정하여 지표 DB(230)에 저장하는 항목별 보정치 설정부(134); 및
    보안 통제 항목에 대해서, 조직 내에서 항목별로 업무 수행을 위해 소요되는 항목별 소요비용에 대한 기준 지표를 설정하여 지표 DB(230)에 저장하는 항목별 소요비용 설정부(135);를 포함하여 구성되는 것을 특징으로 하는 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템.
  5. 제1항에 있어서, 상기 개선지표 관리부(140)는,
    개선이 필요한 부분의 개선을 위해 제시될 수 있는 통제항목별 업무, 조직, 예산에 대한 표준 정보를 입력하여 개선기준 DB(240)에 등록 및 관리하는 표준정보 입력부(141);
    개선이 필요한 부분의 개선을 위해 제시될 수 있는 개선 가이드에 대한 내용 정보를 입력하여 개선기준 DB(240)에 등록 및 관리하는 개선 가이드 입력부(142); 및
    개선이 필요한 부분의 개선을 위해 제시될 수 있는 우수 사례에 대해서 축적된 모범 사례 및 참조 사례에 대한 각종 규정/지침/매뉴얼/가이드/양식을 입력하여 개선기준 DB(240)에 등록 및 관리하는 모범사례 입력부(143);를 포함하여 구성되는 것을 특징으로 하는 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템.
  6. 제1항에 있어서, 상기 피드백 처리부(150)는,
    평가 결과에 의해서 입력된 내용들을 입력받는 평가결과 입력부(151);
    평가결과 입력부(151)를 통해 입력된 평가결과들을 이전평가결과 DB(250)와 지표 DB(230)로부터 가져온 이전평가결과, 각종 평균치, 기준치, 보정치에 따른 지표들을 통해서 비교, 분석 처리할 정보들을 모으는 통제분석 처리부(152);
    평가결과 입력부(151)에서 입력된 평가 결과 값과 이전평가결과 DB(250)로부터 가져온 이전 평가 결과값, 통제분석 처리부(152)를 통해 전달받은 보정치가 적용된 평가 결과값과 각종 평균치, 기준치 지표들을 비교하여, 평가 결과 입력값들에 대한 기준 지표 대비 과잉 또는 부족 여부를 판단하는 기준대비 과부족 판단부(153);
    기준대비 과부족 판단부(153)에 의한 기준 지표 대비 과잉 또는 부족 여부 판단 결과로부터 개선여부를 판정하는 개선여부 판정부(154);
    개선여부 판정부(154)를 통해 기준 지표 대비 과잉 또는 부족으로 판정되어 개선여부가 필요한 사항에 대해서 개선기준 DB(240)로부터 개선에 필요한 각종 표준정보, 개선 가이드에 대한 내용, 모범 및 참조 사례 자료들을 조회하여 개선 방향에 해당되는 내용을 선별하는 개선정보 선정부(155);
    개선정보 선정부(155)를 통해 선정된 개선 방향에 해당되는 내용과 관련된 비용 평가를 통해서 비용 측면에서 개선시 추가해야 할 비용 또는 절감 가능한 비용을 산정하는 비용평가 산정부(156);
    개선여부 판정부(154)와 개선정보 선정부(155) 및 비용평가 산정부(156)에 의해 판단되고 선별 및 산정된 결과를 통해서, 업무 기준을 변경할 사항과 추가해야할 비용 또는 개선시 절감 가능한 비용 규모를 제시하고, 업무기준 변경여부를 제어하는 업무기준 변경 제어부(157); 및
    업무기준 변경 제어부(157)의 제어와 이에 대한 내부 승인에 따라서 업무기준 DB(220)의 기준 정보를 변경하여 저장하는 피드백 작업을 실시하는 업무기준 변경부(158);를 포함하여 구성되는 것을 특징으로 하는 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템.
  7. 삭제
KR1020150028072A 2015-02-27 2015-02-27 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템 KR101560259B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150028072A KR101560259B1 (ko) 2015-02-27 2015-02-27 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150028072A KR101560259B1 (ko) 2015-02-27 2015-02-27 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템

Publications (1)

Publication Number Publication Date
KR101560259B1 true KR101560259B1 (ko) 2015-10-15

Family

ID=54357066

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150028072A KR101560259B1 (ko) 2015-02-27 2015-02-27 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템

Country Status (1)

Country Link
KR (1) KR101560259B1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200036488A (ko) * 2018-09-28 2020-04-07 주식회사 엘지씨엔에스 통합보안업무관리장치 및 통합보안업무관리방법
KR102122702B1 (ko) * 2020-04-03 2020-06-15 정경섭 정보보호 인증심사 관련 문서를 관리하는 서버 및 그 시스템
WO2021011378A1 (en) * 2019-07-12 2021-01-21 The Nielsen Company (Us), Llc Deduplication across multiple different data sources to identify common devices
CN112529751A (zh) * 2020-11-20 2021-03-19 杭州趣链科技有限公司 基于区块链的环境净化的监测方法、装置及相关设备
CN114584339A (zh) * 2021-12-29 2022-06-03 奇安信科技集团股份有限公司 基于内生安全机制的网络安全防护方法和装置
KR20220086151A (ko) * 2020-12-16 2022-06-23 한국수력원자력 주식회사 연구과제 성과활용정보 관리 시스템 및 이를 이용한 연구과제 성과활용정보 관리 방법
CN116757885A (zh) * 2023-07-06 2023-09-15 北京中知智慧科技有限公司 一种企业知识产权维度评审系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008171253A (ja) 2007-01-12 2008-07-24 Risk Manage Co Ltd 情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム
KR101008148B1 (ko) * 2008-02-15 2011-01-13 주식회사 포스코 정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008171253A (ja) 2007-01-12 2008-07-24 Risk Manage Co Ltd 情報セキュリティマネジメントシステムにおける情報セキュリティ監査システム
KR101008148B1 (ko) * 2008-02-15 2011-01-13 주식회사 포스코 정보보호 관리체계의 도입에 따른 정보보호 성과지표운영방법

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200036488A (ko) * 2018-09-28 2020-04-07 주식회사 엘지씨엔에스 통합보안업무관리장치 및 통합보안업무관리방법
KR102213465B1 (ko) * 2018-09-28 2021-02-09 주식회사 엘지씨엔에스 통합보안업무관리장치 및 통합보안업무관리방법
WO2021011378A1 (en) * 2019-07-12 2021-01-21 The Nielsen Company (Us), Llc Deduplication across multiple different data sources to identify common devices
US11429575B2 (en) 2019-07-12 2022-08-30 The Nielsen Company (Us), Llc Deduplication across multiple different data sources to identify common devices
KR102122702B1 (ko) * 2020-04-03 2020-06-15 정경섭 정보보호 인증심사 관련 문서를 관리하는 서버 및 그 시스템
CN112529751A (zh) * 2020-11-20 2021-03-19 杭州趣链科技有限公司 基于区块链的环境净化的监测方法、装置及相关设备
KR20220086151A (ko) * 2020-12-16 2022-06-23 한국수력원자력 주식회사 연구과제 성과활용정보 관리 시스템 및 이를 이용한 연구과제 성과활용정보 관리 방법
KR102556149B1 (ko) * 2020-12-16 2023-07-18 한국수력원자력 주식회사 연구과제 성과활용정보 관리 시스템 및 이를 이용한 연구과제 성과활용정보 관리 방법
CN114584339A (zh) * 2021-12-29 2022-06-03 奇安信科技集团股份有限公司 基于内生安全机制的网络安全防护方法和装置
CN116757885A (zh) * 2023-07-06 2023-09-15 北京中知智慧科技有限公司 一种企业知识产权维度评审系统
CN116757885B (zh) * 2023-07-06 2024-04-23 北京中知智慧科技有限公司 一种企业知识产权维度评审系统

Similar Documents

Publication Publication Date Title
KR101560259B1 (ko) 정보보호 관리체계의 범용 법규/규칙 수용이 가능한 통제항목 및 준수 관리시스템
US11379773B2 (en) Method and system for risk measurement and modeling
US8744894B2 (en) Method and system for assessing, managing, and monitoring information technology risk
US8256004B1 (en) Control transparency framework
KR100755000B1 (ko) 보안 위험 관리 시스템 및 방법
Marquez et al. Criticality Analysis for Maintenance Purposes: A Study for Complex In-service Engineering Assets.
Bayuk et al. Measuring systems security
Kaur et al. Understanding Cybersecurity Management in FinTech
Wilbanks Whats your IT risk approach?
KR100524649B1 (ko) 정보 자산의 위험 분석 시스템
Moon et al. Mathematical model-based security management framework for future ICT outsourcing project
Mouatassim et al. Proposal for an implementation methodology of key risk indicators system: Case of investment management process in Moroccan asset management company
Laszka et al. Cyber-insurance as a signaling game: Self-reporting and external security audits
Kádárová et al. Holistic system thinking as an educational tool using key indicators
US20200389482A1 (en) Software application for continually assessing, processing, and remediating cyber-risk in real time
Pumvarapruek et al. Classifying cloud provider security conformance to cloud controls matrix
Kharisova et al. Some questions of IT control in economic entities
Oyedokun et al. Imperatives of Risk Analysis and Asset Management on Cyber Security in a Technology-Driven Economy
Krahulec et al. Business impact analysis in the process of Business continuity management
Rot Enterprise information technology security: risk management perspective
Anderson et al. Internal audit
Nsenkyiere et al. Comparative study on the auditing systems of sustainable forest management
Ivanyos et al. ECQA Governance SPICE assessor skills for evaluating integrated risk management scenarios
Vohradsky The Cyberrisk Quantification Journey.
Tansley A methodology for measuring and monitoring IT risk

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180731

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190731

Year of fee payment: 5